Bruce Schneier: domande e risposte

Crittografia | IT Colloquia | Ottobre 2005 | Security
0510-Bruce A colloquio con il famoso esperto di sicurezza, fondatore e CTO della società Counterpane, ideatore e realizzatore della newsletter Crypto-Gram, autore di “Applied Cryptography” ed altri testi.
di Agatino Grillo
(English version)

IsacaRoma: La sua biografia la definisce come autore di saggi, esperto di tecnologie, “guru” della sicurezza. Da quali esperienze professionali ed accademiche proviene? Come è giunto alla crittografia ed alla sicurezza?  
Bruce Schneier: la sicurezza è una forma mentis; i migliori esperti di sicurezza sono coloro che in modo quasi naturale si confrontano con tali temi. Sono coloro che girando il mondo e, ovunque si trovino, si chiedono come aggirare le misure di sicurezza: come votare due volte, come rubare in un negozio, come muoversi senza essere riconosciuti. Di solito poi non mettono in pratica questi cattivi pensieri pur pensandoci continuamente.
Per quanto riguarda i miei trascorsi accademici ho cominciato con la fisica e l’informatica; ho lavorato in ambito crittografico prima per il governo statunitense e poi come consulente indipendente. La cosa interessante nell’essere un consulente e che ti ritrovi ad occuparti di moltissime cose in ambiti diversi. Molti di questi problemi finiscono, poi, col suggerire percorsi di ricerca che allargano l’orizzonte dei propri interessi.

IR: È possibile imparare la crittografia senza avere un background accademico? Ha dei suggerimenti da dare a non specialisti che volessero migliorare la propria conoscenza delle tecniche crittografiche?
BS: La crittografia è una vera e propria branca della matematica e dunque per essere dei veri crittografi è necessario avere una conoscenza matematica almeno a livello di laurea di primo livello (graduate). Non è necessario studiare la matematica della crittografia all’università ma certo questa è la via migliore e più facile.
Naturalmente per usare semplicemente gli strumenti crittografici non è necessario conoscere la matematica a tale livello.
Ci sono molti buoni testi su come implementare la crittografia; in particolare raccomando il mio ultimo libro scritto con Niels Ferguson: “Practical Cryptography”.
Sfortunatamente può capitare che qualcuno, pur senza un solido background culturale, si ritenga un esperto crittografico e cerchi di realizzare sistemi che ritiene sicuri. In gergo chiamiamo tali personaggi “snake oil” (venditori di pozioni miracolose ndr) e questo rappresenta un bel problema per la sicurezza. Ci dovremmo sempre ricordare che chi non ha alle spalle numerosi anni di studio accademico rivolto all’analisi delle vulnerabilità degli algoritmi esistenti non dovrebbe permettersi di proporre nuovi algoritmi di crittografia.

IR: Il suo primo bestseller è stato “Applied Cryptography” ed era rivolto ad una audience specializzata. Il suo libro più recente, “Beyond Fear”, affronta il problema della sicurezza andando dal particolare al generale: sicurezza personale, crimine, corporate security. C’è una evoluzione nella sua visione della sicurezza?
BS: La mia carriera è stata una serie continua di generalizzazioni. Le mie radici sono nella matematica della crittografia. Così questo è stato il mio campo sia per il mio primo libro “Applied Cryptography” che per i miei primi studi accademici. Passando gli anni, ho cominciato a capire che la crittografia è solo uno tra gli strumenti e che raramente essa rappresenta l’anello più debole della catena della sicurezza. Adesso la maggior parte dei miei lavori di consulente riguarda temi generali di sicurezza e non più la crittografia. Ho scritto “Secrets and Lies” sulla sicurezza delle reti e dei computer e ho fondato la “Counterpane Internet Security, Inc” per fornire servizi di sicurezza alle grandi aziende.
I concetti fondamentali della sicurezza sono gli stessi sia se si parla dei computer sia se si parla del mondo reale. Il mio ultimo libro “Beyond Fear” utilizza il modo sistemico che viene naturale usare quando si parla di sicurezza informatica e lo applica ad altre aree della sicurezza: sicurezza aerea, sicurezza nazionale, sicurezza personale, eccetera.
Ultimamente mi interesso a come la gente vede la sicurezza e a come prende le proprie decisioni di sicurezza. Le mie attuali ricerche sulla sicurezza riguardano gli aspetti economici e comportamentali, quelli legali e la psicologia del “decision making”.

IR: Lei è il fondatore e CTO di “Counterpane Internet Security, Inc”. si tratta di una società di consulenza sulla sicurezza informatica?
BS: “Counterpane Internet Security, Inc.” è una società di “managed security services”.  In altre parole, forniamo servizi di sicurezza in outsourcing ad un gran numero di aziende ed organizzazioni.  Tra i nostri servizi ci sono: monitoraggio centralizzato in real-time a cura di esperti, security management, e-mail scanning, log retention, vulnerability testing, e ovviamente security consulting.  L’azienda è nata sei anni fa e ad oggi monitorizza oltre 500 reti in tutto il mondo. Counterpane è qualcosa di più vasto rispetto a me anche se ovviamente io sono l’impiegato più noto dell’azienda.

IR: Recentemente ha scritto sui nuovi adempimenti per cui in Italia occorre mostrare i documenti ed essere registrati in un archivio per poter utilizzare una postazione web in un Internet caffè. Che ne pensa di questa iniziativa italiana?
BS: Il diritto all’anonimato è uno dei punti fermi delle democrazie e dei regimi liberali. Un governo dovrebbe preoccuparsi di difendere l’anonimato in Internet non di renderlo impossibile.

IR: Cos’è Crypto-Gram?
BS: Crypto-Gram è la mia newsletter gratuita mensile sulla sicurezza. È interamente scritta da me e propone analisi e commenti su eventi attuali che hanno a che fare con la sicurezza. Non è dedicata solo alla sicurezza informatica. Mi occupo di terrorismo, sicurezza personale ed anche di corporate security. È possibile leggere i numeri arretrati ed anche registrarsi per ricevere i nuovi numeri via web.  Ne esiste anche una versione sotto forma di blog.

IR: Che ci dice della versione italiana della newsletter disponibile sul sito web di un Security Service Provider italiano? È una traduzione ufficiale? Communication Valley è una specie di partner italiano di Counterpane?
BS: Crypto-Gram è tradotta in molte lingue a cura di persone interessate a diffondere le newsletter  quanto più possibile. Non esiste nessuna traduzione ufficiale e né io né Counterpane abbiamo relazioni d’affari con i traduttori.  Posso dire però di essere felice che esista una traduzione italiana di Crypto-Gram.
Confermo, inoltre, che Communication Valley  è un "Value-Added Reseller"  (VAR) di Counterpane della quale offre i servizi di  Managed Security Monitoring (MSM) come si può leggere  in: http://www.counterpane.com/pr-emeavars.html

IR: Qual è la sua opinione sui tentativi di imporre, per via normativa, maggiore sicurezza nei prodotti ICT e nel software?
BS: Come ho scritto ripetutamente le norme e gli obblighi legali sono l’unica strada che abbiamo per aumentare in maniera significativa la sicurezza dei computer e delle reti.

Chi è Bruce Schneier?


Bruce Schneier è un esperto di sicurezza tecnologica autore di 8 libri su quest’argomento.
Ha un Masters in “Computer Science” ottenuto dall’American University ed una laurea in Fisica all’Università di Rochester.
Schneier è l’autore degli algoritmi crittografici Blowfish e Twofish, l’ultimo dei quali è stato finalista del Federal Advanced Encryption Standard..

Contatti:
schneier@counterpane.com