Intervista a Ross Anderson
Inserito da Agatino Grillo il Mer, 2005-11-02 16:58
Crittografia | IT Colloquia | Novembre 2005 | Security
0511-RossAnderson IT Di Agatino Grillo
(English version)
IsacaRoma: Lei è professore di “Security Engineering” presso il “Computer Laboratory” dell’università di Cambridge. Può presentare se stesso ed il "Laboratory"?
Ross Anderson: Il “Computer Laboratory” è il dipartimento di “computer science” dell’università di Cambridge. Proprio in questo laboratorio, nel maggio 1949, fu messo in opera EDSAC, il primo vero computer del mondo, che ha fornito servizi informatici all’università fino al 1956 quando è stato sostituito dall’EDSAC 2. Sin da quei giorni Cambridge è stata un punto di riferimento mondiale nel campo del “system engineering”.
IR: Lei è uno dei fondatori della "security economics", una disciplina nuova ma che sta rapidamente crescendo. Ce ne potrebbe sintetizzare i temi?
RA: Abbiamo capito che molti errori di sicurezza accadono non tanto per motivi tecnici ma perché le motivazioni sono errate. Spesso chi presidia o utilizza un sistema non si rende conto dei costi reali dovuti agli errori di sicurezza. Per esempio, le banche che pure sono state capaci di trasferire la gran parte dei costi delle frodi sugli ATM ai propri clienti, negli anni ‘90 non hanno protetto in modo adeguato tali sistemi. Un altro esempio sono i sistemi informativi negli ospedali che spesso non sono in grado di proteggere la privacy dei propri pazienti perché chi li gestisce (amministratori degli ospedali e ricercatori medici) è più interessato a garantire l’accesso ai dati piuttosto che a restringerlo. Si veda a riguardo la mia “Economics and Security Resource Page” per ulteriori informazioni.
IR: "Why Information Security is Hard - An Economic Perspective" è stato il suo primo contributo alla “security economics”; quale è stata la genesi di questo saggio?
RA: Quando ho scritto il mio libro “Security Engineering” mi sono reso conto che le storie che dovevo raccontare per spiegare il perché degli errori di sicurezza avevano a che fare più con le motivazioni e gli aspetti economici che con gli errori tecnologici. Dopo aver finito di scrivere il libro ho deciso di raccogliere gli argomenti economici e gli esempi e presentarli in uno studio specifico. Tale studio è disponibile qui (pdf, 100K).
IR: Cos’è il workshop annuale in " Economics and Information Security"?
RA: Il primo workshop si è tenuto a Berkeley nel 2002, organizzato da Hal Varian, un economista insieme al quale ho inaugurato lo studio della “security economics” quale disciplina accademica autonoma. Insieme abbiamo tentato di riunire studiosi della sicurezza, economisti e professionisti dell’industria e delle istituzioni pubbliche.
Il workshop è via via cresciuto tanto che la prossima edizione si terrà, per la prima volta, in Europa, a Cambridge, Inghilterra, dal 26 al 28 giugno 2006. È disponibile a riguardo un “first announcement” ed il relativo “call for papers” in html, pdf (26 K) o in formato testo (3 K).
IR: E per quanto riguarda le sue ricerche in ambito crittografico?
RA: La crittografia è un tema sul quale ritorno periodicamente. L’ultima volta ho lavorato con Eli Biham e Lars Knudsen per creare Serpent, un algoritmo crittografico di tipo “cifratura di blocco” (block cipher) che è stato finalista per la competizione USA volta a trovare il nuovo Advanced Encryption Standard . Serpent è stato rilasciato nel circuito del public domain, sotto GNU PUBLIC LICENSE (GPL) e non vi è più nessuna restrizione per il suo uso.
IR: Ritiene possibile imparare i principali argomenti crittografici senza un back-ground accademico? Ha qualche suggerimento per chi non è uno specialista e volesse migliorare la propria conoscenza crittografica?
RA: Io ho imparato la crittografia on the job, lavorando in banca e come consulente. Una volta infatti non c’erano corsi accademici su tale materia. Oggigiorno, un ingegnere che dovesse utilizzare strumenti di crittografia ed altri strumenti di protezione farebbe bene a leggere il mio libro "Security Engineering" .
IR: Il suo libro, "Security Engineering", si concentra sugli strumenti, processi e metodi necessari per disegnare, implementare e testare interi sistemi e per adattare sistemi già esistenti via via che l’ambiente intorno si modifica. Perché il “Security Engineering” è così importante?
RA: Molti sistemi falliscono in ambito sicurezza perché la gente non capisce le minacce a cui sono sottoposti e quindi i meccanismi di protezione sono utilizzati in modo inappropriato. Non basta avere sistemi di cifratura robusti: questa è la parte facile! La parte difficile, hard, è utilizzare tali strumenti in modo corretto.
IR: Bruce Schneier ha scritto: "Il Security Engineering (...) richiede di pensare in modo diverso . Bisogna immaginare non come le cose possono funzionare ma concentrarsi su quello che potrebbe andare storto. Bisogna sempre pensare che esiste un avversario intelligente e pericoloso all’interno del sistema (…) che costantemente cerca nuovi odi per attaccarlo e renderlo non operativo. Bisogna pensare come un alieno." È questo il corretto approccio alla sicurezza?
RA: Sì, si deve ragionare come se si fosse un attaccante. Ciò richiede tempo per sviluppare e studiare come i sistemi, nel passato, hanno fallito in termini di sicurezza.
IR: "Security Engineering" è disponibile anche in cinese e giapponese; ci sarà una traduzione in italiano?
RA: Al momento non è prevista la traduzione in italiano. Se ci fosse qualcuno interessato può contattare il mio editore!
Ross Anderson è uno dei fondatori della disciplina della “security economics”, e presiede la “Foundation for Information Policy Research”. Membro di IEE, Institution of Electrical Engineers, è anche stato uno dei pionieri dello studio dei sistemi peer-to-peer, degli attacchi API ai processori crittografici e della “hardware tamper-resistance”. È uno dei creatori di Serpent, algoritmo finalista nella competizione per l’Advanced Encryption Standard. È professore di “Security Engineering” al “Computer Laboratory” dell’università di Cambridge ed autore di “Security Engineering -- A Guide to Building Dependable Distributed Systems”.
Contacts: Ross Anderson's home page
(English version)
IsacaRoma: Lei è professore di “Security Engineering” presso il “Computer Laboratory” dell’università di Cambridge. Può presentare se stesso ed il "Laboratory"?
Ross Anderson: Il “Computer Laboratory” è il dipartimento di “computer science” dell’università di Cambridge. Proprio in questo laboratorio, nel maggio 1949, fu messo in opera EDSAC, il primo vero computer del mondo, che ha fornito servizi informatici all’università fino al 1956 quando è stato sostituito dall’EDSAC 2. Sin da quei giorni Cambridge è stata un punto di riferimento mondiale nel campo del “system engineering”.
IR: Lei è uno dei fondatori della "security economics", una disciplina nuova ma che sta rapidamente crescendo. Ce ne potrebbe sintetizzare i temi?
RA: Abbiamo capito che molti errori di sicurezza accadono non tanto per motivi tecnici ma perché le motivazioni sono errate. Spesso chi presidia o utilizza un sistema non si rende conto dei costi reali dovuti agli errori di sicurezza. Per esempio, le banche che pure sono state capaci di trasferire la gran parte dei costi delle frodi sugli ATM ai propri clienti, negli anni ‘90 non hanno protetto in modo adeguato tali sistemi. Un altro esempio sono i sistemi informativi negli ospedali che spesso non sono in grado di proteggere la privacy dei propri pazienti perché chi li gestisce (amministratori degli ospedali e ricercatori medici) è più interessato a garantire l’accesso ai dati piuttosto che a restringerlo. Si veda a riguardo la mia “Economics and Security Resource Page” per ulteriori informazioni.
IR: "Why Information Security is Hard - An Economic Perspective" è stato il suo primo contributo alla “security economics”; quale è stata la genesi di questo saggio?
RA: Quando ho scritto il mio libro “Security Engineering” mi sono reso conto che le storie che dovevo raccontare per spiegare il perché degli errori di sicurezza avevano a che fare più con le motivazioni e gli aspetti economici che con gli errori tecnologici. Dopo aver finito di scrivere il libro ho deciso di raccogliere gli argomenti economici e gli esempi e presentarli in uno studio specifico. Tale studio è disponibile qui (pdf, 100K).
IR: Cos’è il workshop annuale in " Economics and Information Security"?
RA: Il primo workshop si è tenuto a Berkeley nel 2002, organizzato da Hal Varian, un economista insieme al quale ho inaugurato lo studio della “security economics” quale disciplina accademica autonoma. Insieme abbiamo tentato di riunire studiosi della sicurezza, economisti e professionisti dell’industria e delle istituzioni pubbliche.
Il workshop è via via cresciuto tanto che la prossima edizione si terrà, per la prima volta, in Europa, a Cambridge, Inghilterra, dal 26 al 28 giugno 2006. È disponibile a riguardo un “first announcement” ed il relativo “call for papers” in html, pdf (26 K) o in formato testo (3 K).
IR: E per quanto riguarda le sue ricerche in ambito crittografico?
RA: La crittografia è un tema sul quale ritorno periodicamente. L’ultima volta ho lavorato con Eli Biham e Lars Knudsen per creare Serpent, un algoritmo crittografico di tipo “cifratura di blocco” (block cipher) che è stato finalista per la competizione USA volta a trovare il nuovo Advanced Encryption Standard . Serpent è stato rilasciato nel circuito del public domain, sotto GNU PUBLIC LICENSE (GPL) e non vi è più nessuna restrizione per il suo uso.
IR: Ritiene possibile imparare i principali argomenti crittografici senza un back-ground accademico? Ha qualche suggerimento per chi non è uno specialista e volesse migliorare la propria conoscenza crittografica?
RA: Io ho imparato la crittografia on the job, lavorando in banca e come consulente. Una volta infatti non c’erano corsi accademici su tale materia. Oggigiorno, un ingegnere che dovesse utilizzare strumenti di crittografia ed altri strumenti di protezione farebbe bene a leggere il mio libro "Security Engineering" .
IR: Il suo libro, "Security Engineering", si concentra sugli strumenti, processi e metodi necessari per disegnare, implementare e testare interi sistemi e per adattare sistemi già esistenti via via che l’ambiente intorno si modifica. Perché il “Security Engineering” è così importante?
RA: Molti sistemi falliscono in ambito sicurezza perché la gente non capisce le minacce a cui sono sottoposti e quindi i meccanismi di protezione sono utilizzati in modo inappropriato. Non basta avere sistemi di cifratura robusti: questa è la parte facile! La parte difficile, hard, è utilizzare tali strumenti in modo corretto.
IR: Bruce Schneier ha scritto: "Il Security Engineering (...) richiede di pensare in modo diverso . Bisogna immaginare non come le cose possono funzionare ma concentrarsi su quello che potrebbe andare storto. Bisogna sempre pensare che esiste un avversario intelligente e pericoloso all’interno del sistema (…) che costantemente cerca nuovi odi per attaccarlo e renderlo non operativo. Bisogna pensare come un alieno." È questo il corretto approccio alla sicurezza?
RA: Sì, si deve ragionare come se si fosse un attaccante. Ciò richiede tempo per sviluppare e studiare come i sistemi, nel passato, hanno fallito in termini di sicurezza.
IR: "Security Engineering" è disponibile anche in cinese e giapponese; ci sarà una traduzione in italiano?
RA: Al momento non è prevista la traduzione in italiano. Se ci fosse qualcuno interessato può contattare il mio editore!
Chi è Ross Anderson?
Ross Anderson è uno dei fondatori della disciplina della “security economics”, e presiede la “Foundation for Information Policy Research”. Membro di IEE, Institution of Electrical Engineers, è anche stato uno dei pionieri dello studio dei sistemi peer-to-peer, degli attacchi API ai processori crittografici e della “hardware tamper-resistance”. È uno dei creatori di Serpent, algoritmo finalista nella competizione per l’Advanced Encryption Standard. È professore di “Security Engineering” al “Computer Laboratory” dell’università di Cambridge ed autore di “Security Engineering -- A Guide to Building Dependable Distributed Systems”.
Contacts: Ross Anderson's home page
» email this story | printer friendly version | 4046 reads
