Perché la sicurezza delle informazioni è ardua - Una prospettiva economica
Ross Anderson
University of Cambridge Computer Laboratory,
JJ Thomson Avenue, Cambridge CB3 0FD, UK
Ross.Anderson@cl.cam.ac.uk
Traduzione dal testo in lingua inglese (pdf [1], 100 K) a cura di Agatino Grillo
Riassunto
Secondo una visione comune, l’information security si riduce all’adozione di misure tecniche; di conseguenza tutti i problemi di sicurezza saranno risolti quando si avranno a disposizione migliori politiche per il controllo accessi, protocolli crittografici formalmente corretti, firewall certificati, strumenti affidabili per l’intrusion detection, il contrasto del codice maligno, la valutazione dei sistemi e l’assurance.In questo articolo propongo un punto di vista diverso: la mancata sicurezza delle informazioni è dovuta sia a problemi tecnologici sia, in misura almeno uguale, a motivazioni economiche “perverse”; ciò premesso, molti fenomeni possono essere spiegati più chiaramente ed in maniera più convincente usando il linguaggio della microeconomia: network externalities, asimmetria delle informazioni, moral hazard, selezione avversa, scarico di responsabilità, problematiche dei “beni comuni”.
1 Introduzione
In un survey relativo alle frodi sui bancomat [4], si è rilevato che le diverse modalità delle frodi telematiche dipendono da chi ha la responsabilità finale. Negli USA, se un cliente disconosce una transazione, la banca ha l’onere di dimostrare che è stato il cliente a commettere un errore o a mentire; ciò costringe le banche statunitensi a proteggere in modo appropriato i propri sistemi.
Viceversa in Gran Bretagna, Norvegia ed Olanda, l’onere della prova ricade sui consumatori: la banca ha ragione fino a quando il cliente non è in grado di dimostrare che essa ha sbagliato. Dato che ciò è praticamente impossibile le banche in tali paesi diventano meno attente e prudenti ed in certi casi ciò ha portato ad una grande quantità di frodi. Le banche USA, inoltre, hanno subito molto meno frodi e sebbene oggi esse spendano meno denaro per la sicurezza rispetto agli istituti europei lo spendono in modo più efficace. [4].
Sono possibili molti altri esempi.
- I sistemi di pagamento dei medici che sono pagati dagli assicuratori piuttosto che dagli ospedali non riescono a garantire la privacy dei propri pazienti se essa entra in conflitto con la volontà degli assicuratori di collezionare informazioni sui propri clienti.
- Le normative sulla firma digitale trasferiscono il rischio della falsificazione della firma elettronica dalla banca che rilascia la firma (e che gestisce l’intero sistema) alla persona accusata di aver firmato in modo non corretto.
- Le valutazioni di conformità ai “Common Criteria” non sono effettuate da una terza parte indipendente, come nell’Orange Book, ma da un servizio commerciale pagato dal vendor.
Un tipo di incentivo differente ha fallito all’inizio degli anni 2000, quando gli attacchi di tipo DDOS (distributed denial of service) colpirono un gran numero di siti web molto popolari. Questi attacchi ebbero origine da un gran numero di PC compromessi ad insaputa dei legittimi propetari e dai quali fu lanciato un attacco coordinato di tipo “packet flood”.
Dato che questi PC erano contemporaneamente vittime e complici dell’attacco, la difesa ed il coordinamento contro questi attacchi furono molto difficili: i DDOS provenivano da differenti fonti ed era veramente complicato bloccarli [7].
Varian definisce tale situazione come una “mancanza di motivazione”[20]: mentre i singoli utilizzatori di computer accettano volentieri di spendere 100 dollari per un software anti-virus che li protegga da un attacco, essi, viceversa, non hanno nessuna motivazione per spendere anche un solo dollaro per impedire che le loro macchine siano utilizzate per attaccare Amazon o Microsoft.
Questo è un esempio di quello che gli economisti definiscono la problematica dei “beni comuni” o “Tragedy of the Commons”[15]. Se un centinaio di contadini pascola le proprie pecore sulla parte comune del villaggio, allora se un’altra pecora è aggiunta il suo proprietario acquisisce quasi tutti i benefici mentre gli altri novantanove soffrono solo di un piccolo declino nella qualità del pascolo. In tal modo essi non sono motivati al bene comune, cioè a garantire il pascolo, ma piuttosto ad aggiungere un’altra pecora così da avere il massimo del beneficio “individuale”; il risultato finale è però un disastro e porta alla distruzione del pascolo. La soluzione a queste problematiche è più di tipo “regolatorio” che tecnologico.
Un tipico villaggio sassone del decimo secolo aveva già meccanismi collaudati per gestire tali problemi; l’attuale mondo della sicurezza informatica non li ha ancora.
La proposta di Varian è che i costi degli attacchi distributed denial-of-service ricadano sugli operatori dei network dai quali ha origine il traffico ostile; essi possono a loro volta esercitare pressione sui loro utilizzatori perché installino software di difesa affidabile o fornire essi stessi tali strumenti come parte del servizio o package sottoscritto.
Queste osservazioni ci suggeriscono di analizzare in quali altri modi l’economia e la sicurezza informatica interagiscono.
2 Network externalities
Gli economisti hanno dedicato molti sforzi allo studio delle attività economiche strutturate in network quali le compagnie telefoniche, le aerolinee e le aziende di carte di credito.
Più gente utilizza un network più esso diventa di valore: più gente utilizza il telefono (o Internet) più tale sistema diventa utile per ciascun utilizzatore.
A volte ci si riferisce a ciò come alla “legge di Metcalfe“ e ciò non si limita ai sistemi di telecomunicazioni. Più merchant accettano carte di credito più esse diventano utili ai clienti e così più clienti le utilizzeranno; più clienti le utilizzeranno più aumenterà il numero di merchant che le accetteranno. Così se da un lato questi network crescono all’inizio molto lentamente (le carte di credito hanno avuto bisogno di circa due decadi per imporsi), dall’altro una volta che si è stabilito un feed-back positivo essi possono crescere molto rapidamente. Il telegrafo, il telefono, il fax e, più recentemente, Internet hanno tutti seguito questo modello.
Ma lo stesso principio si applica, oltre ai network fisici, anche ai network virtuali quali le comunità di utilizzatori di particolari architetture software.
Quando gli sviluppatori di software compresero che il PC avrebbe avuto maggior successo commerciale del Mac, essi cominciarono a sviluppare i propri prodotti prima per il PC e solo successivamente (ed eventualmente) per il Mac (e ciò è stato agevolato dal fatto che sviluppare per il PC era più facile).
Il volume crescente di software disponibile per il PC ma non per il Mac ha reso i consumatori più inclini a comprare software per PC che per il Mac ed alla fine ciò ha spinto il Mac fuori dai principali mercati.
Un effetto simile ha reso Microsoft Word il word processor dominante.
Una buona introduzione alla “network economics” si deve a Shapiro and Varian [17]. Per quel che ci interessa ci sono tre caratteristiche particolarmente importanti dei mercati dell’information technology.
- Primo, il valore di un prodotto per un utilizzatore dipende da quanti altri utilizzatori adottano lo stesso prodotto;
- Secondo, la tecnologia ha spesso alti costi fissi e bassi costi marginali; la prima copia di un chip o di un package software può costare milioni, le copie seguenti hanno un costo di produzione molto basso; ciò non è specifico dei mercati dell’informazione ma lo si è anche osservato per le aerolinee e gli hotel. In tutti questi settori, la competizione sui prezzi puri tenderebbe a portare i ricavi costantemente giù verso il costo marginale di produzione (che nel caso delle informazioni è zero). Così il business ha bisogno di vendere per valore piuttosto che per costo.
- Terzo, spesso i consumatori devono sostenere costi elevati per cambiare tecnologie; ciò porta a chiudere il mercato ai nuovi competitor. In tal modo tali mercati possono rimanere molto profittevoli anche dove esistono competitor con soluzioni molto economiche ma incompatibili con quella dominante. Uno dei principali risultati della teoria della “network economics” è che il Net Present Value di un cliente (la somma algebrica della totalità dei flussi di cassa originati dall’investimento) dovrebbe eguagliare i costi totali dovuti al passaggio ad un competitor [19].
Infatti i network che hanno successo tendono a creare forti legami più tra i fornitori complementari che tra questi e gli stessi clienti: i potenziali creatori di “killer application" devono essere coccolati.
Una volta che i clienti hanno effettuato un sostanziale investimento nelle apparecchiature e prodotti complementari, essi sono in trappola. Ovviamente questo è solo uno schema semplificato; ci sono, anche a livello accademico, numerose controversie, si veda ad esempio [14] ma quanto sopra esposto è più che sufficiente per adesso per i nostri scopi.
Questi effetti da “network” hanno conseguenze significative per i security engineer, conseguenze che sono spesso fraintese. I consulenti spesso si giustificano per il fallimento delle misure di sicurezza che hanno progettato e delle quali erano responsabili dicendo che i vincoli posti erano impossibili: “il cliente non voleva un sistema sicuro, ma la sicurezza possibile in tale prodotto lavorandoci solo una settimana con un budget di 10.000 dollari”. È importante capire che questo non nasce solo dalla stupidità del management. I grandi vantaggi che si possono ottenere proponendo per primi la propria soluzione nei sistemi economici con forti feed-back positivi sono all’origine della cosiddetta “filosofia Microsoft” che si può sintetizzare nello slogan: “rilasciamo martedì il prodotto e lo rendiamo funzionante dalla versione 3”. Sebbene a volte si attribuisca la difettosità dei prodotti Microsoft al cinismo ed alla mancanza di morale da parte di Bill Gates, ciò è, viceversa, un comportamento perfettamente razionale in molti mercati in cui si applica la “network economics”.
Un’altra obiezione comune è che le piattaforme software sono rilasciate con poco o nessun supporto per la sicurezza come nel caso di Windows 95/98 oppure che, anche nel caso siano forniti meccanismi per il controllo accessi, come nel caso di Windows NT, essi sono facilmente by-passabili dagli sviluppatori.
In effetti, i controlli di accesso in Windows NT sono spesso non pertinenti dato che la maggior parte delle applicazioni o viene eseguita con i privilegi di amministratore oppure, il che è equivalente, richiede di abilitare pericolosi servizi del sistema operativo.
Anche questo è spiegabile, in modo semplice, adottando il punto di vista della “network economics”: la sicurezza di tipo “mandatory” sottrarrebbe valore ai prodotti in quanto renderebbe la vita più difficile agli sviluppatori delle applicazioni.
Odlyzko osserva, ad esempio, che molte delle mancanze di “user-friendliness” sia da parte del software di Microsoft che di Internet sono dovute al fatto che entrambi, Microsoft e Internet, hanno raggiunto il successo basandosi sull’appeal con gli sviluppatori: in tal modo Microsoft scarica sugli utilizzatori il costo delle proprie inefficienze (compreso il costo del tempo perso aspettando per la ripartenza e la chiusura del PC [16]).
Chi controlla e chi progetta i network è apprezzato dagli sviluppatori della successiva generazione di applicazioni proprio perché ha previsto che la gran parte dei costi di assistenza ricada sugli utilizzatori piuttosto che sugli sviluppatori stessi anche se ciò rende impossibile una gestione della sicurezza efficace. Questa è una delle ragioni per cui la crittografia a chiave pubblica riscuote tanto successo; ciò ne semplificherà lo sviluppo ma al costo di imporre un irragionevole carico amministrativo sugli utilizzatori che né sono abili né hanno voglia di comprendere tutto ciò [9]. Il mezzo tecnico per cercare di risolvere questo problema è di rendere la “security administration” maggiormente “user-friendly” o “plug-and-play” ma molti tentativi in questa direzione hanno avuto un successo parziale. L’approccio più sottile è, invece, cercare di realizzare un sistema di autenticazione i cui operatori beneficino degli effetti del network; questo è quello che fa Microsoft Passport e ne discuteremo successivamente.
Infine è da menzionare che, grazie agli attacchi distributed denial of service, i governi hanno cominciato a prendere in considerazione gli aspetti economici del fallimento della sicurezza.
Una recente proposta raccomanda un’azione dei governi in risposta alle imperfezioni di mercato, ove ad esempio i prezzi non riflettano in modo accurato i costi ed i vantaggi di una migliore network security [11]. In ogni caso questa è solo l’inizio della storia.
3 Applicazioni competitive e corporate warfare
La “network economics” ha molti altri effetti sul security engineering. Piuttosto che utilizzare uno standard ben analizzato ed un architettura già testata, le aziende spesso preferiscono un approccio basato sulla segretezza per aumentare il legame con i clienti e rendere più onerosi gli investimenti che i competitor dovrebbero sostenere per produrre dei prodotti compatibili. Quando possibile, esse usano algoritmi protetti da brevetto, anche se tali algoritmi non sono i migliori presenti sul mercato, e ciò come mezzo per imporre condizioni sulle licenze ai produttori.
Per esempio il DVD Content Scrambling System è stato usato come mezzo per convincere i produttori di apparecchiature compatibili ad accettare la sottoscrizione di un’ampia lista di misure di protezione del copyright [5]. Dopo aver imposto tale sistema si potrebbe impedire che il sistema operativo Linux possa essere utilizzato sulle prossime generazioni di PC. Gli sforzi di imporre standard non aperti continua in molte applicazioni dal SDMI e CPRM ai sistemi completamente proprietari come le console di gioco.
Un altro obiettivo molto comune è la differenziazione dei prezzi; di solito è molto vantaggioso per le aziende prezzare un prodotto o servizio non secondo il suo costo ma secondo il suo valore per il cliente.
Ciò è comune nel mondo dei viaggi aerei: si possono spendere 200 dollari per sorvolare l’Atlantico in classe economica, o 2.000 dollari per avere la business class o, infine, 5.000 dollari per stare in prima classe. Molti analisti si sorprendono per l’ampiezza di queste differenze, ma un economista francese, Jules Dupuit, aveva già scritto nel 1849: “Non è a causa delle poche migliaia di franchi che si dovrebbero spendere per mettere un tetto sopra il trasporto di terza classe o per migliorare i sedili di terza classe che alcune compagnie hanno previsti trasporti con sedili in legno. Quello che la compagnia sta cercando di fare è impedire ai passeggeri che possono pagare la seconda classe di fare il viaggio in terza classe; ciò colpisce i poveri, non perché essa voglia danneggiarli, ma per spaventare i ricchi . .. Ed è ancora per la stessa ragione che le compagnie avendo reso crudele la terza classe, e media la seconda classe, propone il lusso quando si occupa dei clienti della prima classe: avendo rifiutato al povero quanto gli era necessario essi danno al ricco ciò che è superfluo. [10]"
Questo è un modello di business comune nel software e nel settore dei servizi online: un programma o un servizio di base può essere gratuito; la versione migliore essere a pagamento e il “Gold service" richiedere un prezzo ridicolo.
In molti casi, il programma è lo stesso eccetto per alcune caratteristiche che sono disabilitate per gli utilizzatori non paganti. Molti meccanismi di protezione anche crittografici hanno come unica vera funzione quella di mantenere tali differenze.
Un’altra strategia di business consiste nella manipolazione dei costi necessari per cambiare fornitore (switching). Le aziende dominanti in un settore cercano di aumentare artificiosamente il costo di switching sia con metodi indiretti come il controllo dei canali di marketing e lo sviluppo di industrie di fornitori complementari oppure direttamente rendendo, ad esempio, i propri sistemi incompatibili e complicati per il reverse engineering. Ovviamente, allo stesso tempo, i concorrenti cercano di fare il contrario attraverso metodi per riutilizzare la base di prodotti complementari già in uso ed eliminando le barriere che l’incumbent ha innalzato magari estendendo il controllo sui vendor complementari usando meccanismi tecnologici.
A volte i meccanismi di sicurezza hanno come obiettivo sia una differenziazione che un più alto costo di switching. Un esempio, che potrebbe diventare un caso politico, è il “controllo degli accessori” (accessory control). Secondo una azienda che vende chip per l’autenticazione nel mercato automobilistico, alcune aziende di stampanti hanno iniziato ad inserire protocolli di autenticazione crittografica nelle stampanti laser per assicurarsi che siano usati solo i propri toner originali . Se viene utilizzato un toner di un concorrente la qualità di stampa viene degradata da 1200 dpi a 300 dpi. Nei telefoni cellulari la maggior parte del profitto viene dalle batterie e l’autenticazione può essere utilizzata per individuare i prodotti dei concorrenti così che essi possono essere scaricati più velocemente [3].
Un altro esempio viene da Passport di Microsoft; si tratta di un sistema il cui scopo apparente è il single signon: un utente Passport non deve utilizzare password differenti per ogni sito web a cui è collegato, con i relativi problemi e rischi. Al contrario i siti che utilizzano Passport condividono un server di autenticazione centrale gestito da Microsoft per mezzo del quale ogni utente effettua il log-in una sola volta. Utilizzando la “web redirection”, i visitatori che usano Passport sono indirizzati a questo server e le richieste e risposte di autenticazione sono trasmesse indietro ed avanti dal browser dell’utilizzatore per mezzo di cookie cifrati. So far, so good.
Ma le funzioni reali di Passport sono più sottili [18].
In primo luogo, con le funzioni di aggiornamento e patching del software stesso, Microsoft può raccogliere una grande quantità di dati sulle abitudini di consumo di chi fa shopping online e permette ai siti web partecipanti di scambiarsi tali informazioni. Ma se ogni sito può scambiare dati con gli altri siti allora il valore del network aumenta per ciascun partecipante via via che aumentano i siti che adottano Passport e si crea una forte network externality: così un network di autenticazione può divenire quello dominante e Microsoft spera, ovviamente, che sia il suo.
In secondo luogo, i protocolli di autenticazione usati tra il merchant ed il server Passport sono varianti proprietarie di Kerberos e così il server deve utilizzare software Microsoft piuttosto che di Apache o Netscape; ciò potrebbe essere superato dalle nuove release del prodotto ma i siti partecipanti ancora oggi non possono usare i propri server di autenticazioni e così si rimane in un modo o nell’altro alla mercè di Microsoft.
Così Passport non è tanto un prodotto di sicurezza ma un mezzo per controllare sia i web server che il mercato delle informazioni di acquisto. Esso arriva in bundle con altri servizi quali il servizio di web-mail Hotmail, già usato da 40 milioni di persone, e permette una media di 400 autenticazioni al secondo.
I difetti noti di Passport sono relativi al fatto che Microsoft mantiene tutti i dettagli delle carte di credito degli utilizzatori creando un vasto potenziale obiettivo di attacco; inoltre sono possibili vari attacchi di tipo “middle person”; è possibile, infine, essere impersonati da qualcuno che si è impossessato dei cookie relativi a Passport. In effetti Passport ha una funzione di “log-out” che dovrebbe cancellare i cookie di ciascun merchant così che si possa usare un PC condiviso con minore rischio ma questa caratteristica non funzionava correttamente per gli utilizzatori di Netscape quando fu usato la prima volta [13].
I continui sforzi per creare o abbattere i monopoli e per segmentare e controllare i mercati determinano molte delle condizioni ambientali che rendono il lavoro del security engineer più arduo. Inoltre, probabilmente a breve, i governi vorranno dire la loro rispetto agli standard di sicurezza per motivi di competitività e di efficacia dei propri mercati dei prodotti di sicurezza ( ed anche per la maggiore severità delle leggi sull’accesso ai dati).
Fin qui per quanto riguarda la sicurezza delle informazioni commerciali.
Cosa dire del settore pubblico?
Via via che la guerra per le informazioni (Information Warfare), in attacco e difesa, diventa sempre più uno strumento politico importante che conseguenze si potrebbero avere?
4 Information Warfare - attacco e difesa
Uno degli aspetti più importanti della diffusione di nuove tecnologie è se esse favoriscano l’attacco o la difesa nella guerra informativa. L’equilibrio si è rapidamente spostato avanti ed indietro: così come, nella prima guerra mondiale, le mitragliatrici diedero un vantaggio a chi si difendeva ed i carri armati, nel successivo conflitto mondiale, ristabilirono il vantaggio per chi attaccava.
Le difficoltà di sviluppare sistemi sicuri usando un approccio “penetrate-and-patch” è ben noto alla comunità della sicurezza almeno dai tempi del rapporto Anderson nei primi anni settanta [2]; nuova luce può essere portata su questo tema usando un argomento essenzialmente economico, che ci permette di trattare le vulnerabilità in modo quantitativo [6].
Per semplificare le cose, supponiamo che un prodotto grande e complesso come Windows 2000 abbia un milione di vulnerabilità con un MTBF (Mean Time Between Failure - tempo medio tra un guasto e l'altro) di un milione di ore. Supponiamo che Paddy lavori per l’Irish Republican Army (IRA) e che il suo incarico sia di penetrare nei sistemi informativi delle forze armate britanniche per ottenere la lista degli informatori a Belfast; mentre Brian è l’esperto dell’esercito il cui compito è quello di fermare Paddy.
L’obiettivo di Brian è dunque individuare le vulnerabilità prima che lo faccia Paddy.
Paddy può effettuare solo 1.000 ore di testing l’anno. Brian invece ha a disposizione l’intero sorgente di Windows, dozzine di ricercatori, il controllo dei laboratori di valutazione commerciali, un inside track al CERT e può liberamente scambiare le sue informazioni con gli altri paesi dell’alleanza UK-USA (e può anche può utilizzare l’appoggio del governo per allertare i consulenti ed i security manager delle industrie critiche quali le Telco su come proteggere i propri sistemi informativi). Supponiamo che i vantaggi di Brian si traducano in 10.000.000 di ore l’anno di testing.
Dopo un anno, Paddy ha trovato una vulnerabilità mentre Brian ne ha trovato 100.000. Ma la probabilità che Brian abbia trovato la stessa vulnerabilità di Paddy è solo del 10%. Dopo 10 anni egli l’avrà trovata ma nel frattempo Paddy ne avrà trovato altre nove diverse da quelle note al suo avversario.
In altri termini, Paddy ha la termodinamica dalla sua parte: anche un attaccante con risorse limitate può trovare facilmente vulnerabilità in sistemi grandi e complessi.
Non c’è nulla che può essere fatto per fermare ciò: fino a quando ci saranno tante vulnerabilità di sicurezza da farne le statistiche tester differenti troverano bug differenti.
(Le attuali statistiche sono a volte più complicate ed implicano una gran quantità di somme esponenziali; i lettori possono trovare i dettagli in [6].)
Esistono vari modi per mezzo dei quali si potrebbe sperare di sfuggire dalla trappola statistica:
- Primo, sebbene sia ragionevole aspettarsi in un programma con 35 milioni di linee di codice come Windows 2000 di avere un milione di bug, forse solo l’1% di essi sono critici per la sicurezza. Questo cambia il gioco leggermente ma non più di tanto; Paddy adesso ha bisogno di reclutare 100 volontari per essere aiutato (o, più realisticamente di scambiare informazioni nel mercato “undergroud” con altri elementi sovversivi). Ancora lo sforzo richiesto dall’attaccante è significativamente minore da quanto richiesto per una difesa efficace.
- Secondo, ci potrebbe essere una singola fix per un gran numero di bug di sicurezza. Per esempio, se la metà di essi fossero “stack overflow” allora forse essi potrebbe essere rimossi da un nuovo compilatore.
- Terzo, si potrebbe rendere la parte critica per la sicurezza del sistema abbastanza piccola che i bug possano essere facilmente trovati. Ciò è stato compreso, in via empirica, nei primi anni settanta. Tuttavia la discussione precedente ha reso chiaro che un TCB (Trusted Computing Base) minimo non sarà facilmente disponibile a breve e renderà comunque lo sviluppo delle applicazioni più difficile e dunque disincentiverà i programmatori a scegliere tale piattaforma.
Difendere un moderno sistema informativo è simile a difendere un grande e molto popolato territorio nel selvaggio West del 19° secolo: gli uomini dai cappelli neri, i banditi, possono scorazzare dappertutto, mentre gli sceriffi, gli uomini dai cappelli bianchi, devono difendere ogni luogo.
Un’altra possibile analogia riguarda l’uso della pirateria in alto mare come strumento di politica di stato da parte di molte potenze europee nei secoli sedicesimo e diciassettesimo: fino a quando le grandi potenze non si accordarono per negare rifugi sicuri fu impossibile debellare la pirateria.
Il vantaggio tecnico in favore degli attaccanti è peggiorato inoltre dall’asimmetria delle informazioni. Supponiamo che tu diriga una agenzia USA che ha come finalità l’“economic intelligence” e che uno scienziato informatico lavori per te ed abbia appena scoperto un meraviglioso nuovo exploit su Windows 2000. Se rendi noto ciò a Microsoft proteggerai 250 milioni di americani, se rimani in silenzio sarai in grado di condurre una operazione ostile contro 400 milioni di europei e 100 milioni di giapponesi. Inoltre le operazioni ostili condotte con successo contro gli stranieri ti farebbero guadagnare credito mentre le conseguenze di qualsiasi operazione condotta con successo contro obiettivi USA non sarebbero presi in considerazione dai tuoi superiori.
Ciò spiega perché si preferisce attaccare piuttosto che difendersi.
Infine, (anche se ciò al momento non è molto comue) l’equilibrio in favore dell’attacco piuttosto che della difesa è ancora più pronunciato nei piccoli paesi; tali paesi hanno, in proporzione, meno cittadini da difendere e più avversari da attaccare.
In altre parole la politicizzazione in aumento degli attacchi e delle difesa delle informazioni potrebbe diventare un fattore destabilizzante negli affari internazionali.
5 Distinguere il bene dal male
Da quando Auguste Kerckhoffs ha scritto i suoi due studi sul security engineering nel 1883 [12], la gente ha discusso dei pericoli della “security-by-obscurity”, che consiste nel puntare sullo stato di ignoranza dell’attaccante rispetto alle caratteristiche di mezzi di protezione. Gli economisti possano darci nuovi elementi di comprensione su questo approccio. Abbiamo già visto che la progettazione in segretezza è spesso usata deliberatamente per stabilire i monopoli; ma perché anche nei mercati dei prodotti di sicurezza, che sono abbastanza competitivi, i prodotti cattivi tendono ad eliminare quelli buoni?
La teoria dell’informazione asimmetrica ci dà la spiegazione di uno di tali meccanismi.
Consideriamo il mercato delle auto usate nel quale ci sono 100 buone auto (le “prugne”), dal valore di 3.000 dollari cadauno, e 100 auto con problemi (i “limoni”) ciascuna delle quali vale solo 1.000 dollari. I venditori sanno bene quali sono le auto buone ma gli acquirenti no. Così quale sarà il prezzo di equilibrio per le auto usate?
Se i consumatori capiscono che la probabilità di acquistare una “prugna” è uguale a quella di acquistare un “limone” il prezzo di mercato si attesterà a 2.000 dollari. Ma a quel prezzo solo i “limoni” saranno offerti al pubblico ed una volta che gli acquirenti lo avranno capito il prezzo rapidamente calerà a 1.000 dollari e nessun “prugna” sarà venduta.
In altre parole, quando il compratore non ha abbastanza informazioni sulla qualità dei prodotto ci sarà una discesa sostenuta sia del prezzo che della qualità.
La persone dell’Infosec frequentemente si lamentano di tale fenomeno che coinvolge prodotti in molti mercati; quando detto prima, che si deve a Akerlof [1], spiega perché ciò accade.
Il fatto che i cattivi prodotti scacciano quelli buoni diventa un problema anche peggiore quando le persone che devono valutare tali prodotti non sono le stesse che rispondono dei danni in caso di errore.
Molto è stato scritto su come le performance aziendali possono essere negativamente influenzate quando gli executive hanno incentivi sui risultati misurati sul “welfare” dei propri impiegati. Per esempio i manager spesso acquistano prodotti e servizi ben sapendo che essi non sono perfetti o addirittura hanno difetti solo perché sono offerti da fornitori dal grande nome e ciò al fine di minimizzare la probabilità di essere licenziati quando le cose vanno male. Gli avvocati delle aziende non condannano ciò come una frode, ma la definiscono una “due diligence”.
Solo nella ultima decade del ventesimo secolo, molti business hanno cercato di risolvere questo problema estendendo le stock option ad un maggior numero di impiegati. Ma questi incentivi non sembrano essere sufficienti per assicurare una practice prudente ai security manager. Questo potrebbe essere un tema interessante per un PhD; esso nasce dal fatto che anche i security manager hanno poche informazioni sulle minacce e così non possono fare scelte razionali (adottare nuove misure di protezioni o stipulare un’assicurazione?) o è semplicemente dovuto al fatto che è difficile selezionare i security manager?
Questo problema è stato a lungo dibattuto, anche se non precisamente in questi termini; la soluzione proposta è di solito l’uso di un sistema di valutazione. Ciò potrebbe consistere in un accordo tra privati quali un test delle apparecchiature effettuato da compagnie di assicurazione per conto di aziende loro clienti o passare per una entità pubblica che utilizzi l’Orange Book o i Common Criteria.
Pur con tutti i suoi difetti, l’Orange Book ha avuto la virtù che le valutazioni erano effettuate dalla parte che rispondeva degli eventuali errori o difetti: il governo; successivamente l’equivalente europeo, l’ITSEC, ha introdotto una innovazione perniciosa: la valutazione non è più pagata dal governo ma dai vendor interessati alla valutazione dei propri prodotti. Tale cambiamento è stato introdotto nei Common Criteria; ma esso ha causato un incentivo critico perverso.
Il cambiamento è motivato dal fatto di impedire che il vendor faccia il “giro delle sette chiese” per trovare un contractor che faccia una valutazione più favorevole al suo prodotto o che richieda analisi meno approfondite o che gli faccia spendere meno denaro o tempo o tutte queste cose insieme.
Per essere onesti, ciò è proprio quello che si è verificato e le valutazioni sono state definite in modo che i contractor potessero ottenere le approvazioni CLEF (commercial licensed evaluation facility). Semplicemente si è ritenuto che il rischio che una CLEF possa essere assegnata dalla stessa entità che la richiedeva compensasse gli effetti indesiderati delle pressioni commerciali.
Ma in nessuno della mezza dozzina di casi nei quali sono stato coinvolto l’approccio dei “Common Criteria” si è dimostrato soddisfacente. Alcuni esempi sono mostrati nel mio libro, “Security Engineering” [3]. I fallimenti sono originati, di solito, dalla necessità di venir incontro ai desideri dei clienti, anche (e quindi specialmente) quando essi sono in conflitto gli interessi degli utilizzatori per i quali la valutazione, si suppone, è stata predisposta.
La mancanza di sanzioni per i comportamenti errati (ad esempio un processo in base a cui i team di valutazione possano perdere il loro accreditamento se essi perdono la loro “capacità”, o dimostrano incompetenza o disonestà) è probabilmente un fattore che contribuisce.
Ma c’è un incentivo perverso ancora più significativo.
Dal punto di vista dell’utilizzatore una valutazione può in realtà sottrarre valore ad un prodotto.
Per esempio se si usa per generare la firma elettronica un prodotto “valutato” e qualcuno cerca in modo fraudolento di usare tale firma contro di te, si potrebbe tentare di convincere il giudice della propria buona fede chiedendo il rilascio della documentazione completa dello strumento di firma ai tuoi esperti di parte. Una “certificazione” “Common Criteria” potrebbe rendere una corte meno propensa ad obbligare il vendor a rendere pubblica tale documentazione e ciò potrebbe pregiudicare in modo serio i tuoi diritti.
Una persona cinica potrebbe pensare che questo è esattamente il motivo per cui i vendor di prodotti che trasferiscono la responsabilità della sicurezza ai clienti (come le smart card con firma digitale), che vengono utilizzati per le “due diligence” (come i firewall) o per impressionare gli utenti ingenui e sprovveduti (come i prodotti di controllo accesso ) sono proprio quelli più entusiasti dei “Common Criteria”.
Così un economista è portato naturalmente a diffidare di una “certificazione” Common Criteria; fortunatamente, gli incentivi perversi sopra discussi dovrebbero limitare la diffusione dei CC ai settori dove una certificazione ufficiale, anche se irrilevante, erronea o fuorviante, offre vantaggi competitivi.
6 Conclusioni
Molto è stato scritto sul fallimento dei meccanismi della sicurezza delle informazioni per proteggere gli utilizzatori finali dalle violazioni della privacy e dalla frode: ciò non coglie il punto essenziale.Le vere motivazioni che guidano la progettazione dei sistemi di sicurezza di solito non hanno nulla a che fare con obiettivi altruistici ma piuttosto con il desiderio di costituire un monopolio, di differenziare i prezzi per i diversi utilizzatori per lo stesso servizio e di scaricare le responsabilità. Ciò è perfettamente razionale.
In un mondo ideale, l’eliminazione degli incentivi economici perversi che creano sistemi insicuri dovrebbe essere un obiettivo comune e privo di connotazioni politiche; il security engineering dovrebbe quindi occuparsi della gestione razionale dei rischi e non di scaricare le responsabilità a qualcun altro. Ma dato che l’information security ha a che fare con il potere ed il denaro, con la creazione di barriere commerciali, con la segmentazione dei mercati e la differenziazione dei prodotti, chi si occupa di sicurezza non può limitarsi a conoscere solo gli strumenti tecnologici, quali la crittoanalisi e l’information flow, ma deve comprendere ed applicare anche le analisi economiche (le informazioni asimmetriche ed il moral hazard ad esempio).
Tanto velocemente un incentivo perverso può essere rimosso dai regolatori tanto il business (e i governi) sono pronti a crearne due nuovi.
In altre parole, la gestione dell’information security è più complicata e presenta più problemi politici di quanto di solito si pensi; le soluzioni appaiono essere subdole e parziali mentre un approccio basato esclusivamente sui mezzi tecnologici è destinata a fallire.
È arrivato il tempo, per ingegneri, economisti, avvocati e politici, di forgiare un approccio comune.
Riconoscimenti
Ho ricevuto numerosi commenti alle prime versioni di questo documento da Avi Rubin, Hal Finney, Jack Lang, Andrew Odlyzko e Hal Varian.Post scriptum
I terribili eventi dell’11 settembre sono accaduti subito prima che questo studio fosse completato. È stato necessario un po’ di tempo per digerire quanto accaduto e piuttosto che riscrivere l’intero documento è sembrato più opportuno aggiungere questo breve post scriptum.Credo che il tipo di argomentazioni economiche qui proposte dovrebbero essere applicabili per proteggere sia i “bricks” che i “clicks” (cioè le aziende "old economy" con una presenza fisica sul territorio che quelle con un business solo online). Potrebbero essere necessari anni perché i giudici decidano riguardo alle responsabilità; ciò nonostante rimane un forte interesse nell’assicurare che la responsabilità “operativa” per la protezione non sia separata dalla responsabilità per il fallimento della protezione stessa.
Le argomentazioni della sezione 4 sono ancora più attuali. In un mondo in cui i “cappelli neri” possono attaccare chiunque mentre i “cappelli bianchi” devono difendere ogni posto, i primi hanno un grande vantaggio economico.
Ciò suggerisce che la protezione difensiva locale non è sufficiente; deve esistere un ruolo decisivo per la difesa globale della quale la deterrenza e la retribuzione sono una parte inevitabile.
L’eliminazione della pirateria, ricordata precedentemente, potrebbe essere un paragone utile. Sebbene, dalla fine del diciassettesimo secolo, i principali governi abbiano cominciato a stringere accordi sull’inaccettabilità dei pirati come strumenti della politica di stato, non c’è stata una soluzione unica. Ci sono volumi molti trattati, numerose azioni navali e la destituzione di un certo numero di governi “disonesti”, lungo un periodo di un secolo, per rendere pacifico il mondo degli oceani.
Il progetto si collegò, in modo complesso, con altre campagne quali l’abolizione della schiavitù e la diffusione del colonialismo. I liberali erano di fonte ad un dilemma morale: era accettabile conquistare e colonizzare un certo territorio al fine di sopprimerne la pirateria e la schiavitù? Alla fine i fattori economici divennero politicamente decisivi; la pirateria, semplicemente, rappresentava un costo inaccettabile per il business. La storia potrebbe non ripetersi ma sarebbe opportuno non ignorarla.
Referenze
[1] GA Akerlof, “The Market for 'Lemons': Quality Uncertainty and Market Mechanism” Quarterly Journal of Economics v 84 (August 1970) pp 488-500
[2] J Anderson, “Computer Security Technology Planning Study”, ESD-TR-73-51, US Air Force Electronic Systems Division (1973) http://csrc.nist.gov/publications/history/index.html
[3] RJ Anderson, “Security Engineering - A Guide to Building Dependable Distributed Systems”,
Wiley (2001) ISBN 0-471-38922-6
[4] RJ Anderson, “Why Cryptosystems Fail” in Communications of the ACM vol 37 no 11 (November 1994) pp 32-40
[5] JA Bloom, IJ Cox, T Kalker, JPMG Linnartz, ML Miller, CBS Traw, “Copy Protection for DVD Video”, in Proceedings of the IEEE v 87 no 7 (July 1999) pp 1267-1276
[6] RM Brady, RJ Anderson, RC Ball, “Murphy's law, the tness of evolving species, and the limits of software reliability”, Cambridge University Computer Laboratory Technical Report no. 476 (1999); at http://www.cl.cam.ac.uk/~rja14
[7] CERT, “Results of the Distributed-Systems Intruder Tools Workshop”, Software Engineering Institute, Carnegie Mellon University, http://www.cert.org/reports/dsitworkshop-final.html, December 7, 1999
[8] W Curtis, H Krasner, N Iscoe, “A Field Study of the Software Design Process for Large Systems”, in Communications of the ACM v 31 no 11 (Nov 88) pp 1268-1287
[9] D Davis, “Compliance Defects in Public-Key Cryptography”, in Sixth Usenix Security Symposium Proceedings (July 1996) pp 171-178
[10] “De l'influence des péages sur l'utilité des voies de communication", 1849, Annales des Ponts et Chausses.
[11] European Union, “Network and Information Security: Proposal for a European Policy Approach”, COM(2001)298 final, 6/6/2001
[12] A Kerckhos, "La CryptographieMilitairein Journal des Sciences Militaires", 9 Jan 1883, pp 5-38; http://www.fabien-petitcolas.net/kerckhoffs/
[13] DP Kormann, AD Rubin, “Risks of the Passport Single Signon Protocol”, in Computer Networks (July 2000); at http://avirubin.com/vita.html
[14] SJ Liebowitz, SE Margolis, “Network Externalities (Effects)”, in The New Palgrave's Dictionary of Economics and the Law, MacMillan, 1998; see http://wwwpub.utdallas.edu/~liebowit/netpage.html
[15] WF Lloyd, “Two Lectures on the Checks to Population”, Oxford University Press (1833)
[16] AM Odlyzko, “Smart and stupid networks: Why the Internet is like Microsoft”, ACM netWorker, Dec 1998, pp 38-46, at http://www.acm.org/networker/issue/9805/ssnet.html
[17] C Shapiro, H Varian, “Information Rules”, Harvard Business School Press (1998), ISBN 0-87584-863-X
[18] J Spolsky, “Does Issuing Passports Make Microsoft a Country?” at http://joel.editthispage.com/stories/storyReader$139
[19] H Varian, “Intermediate Microeconomics “A Modern Approach”, Fifth edition, WW Norton and Company, New York, 1999; ISBN 0-393-97930-0
[20] H Varian, “Managing Online Security Risks”, Economic Science Column, The New York Times, June 1, 2000, http://www.nytimes.com/library/financial/columns/060100econ-scene.html
L' Economics and Security Resource Page [2] di Ross Anderson