Il Mac Minimalista - La sicurezza nel 2020

La sicurezza nel 2020

Oggi ho il piacere di presentarvi una traduzione a cura di Laura Dossena. Si tratta di Security in 2020, articolo scritto da Bruce Schneier, noto esperto internazionale in tema di sicurezza digitale.

Il saggio/articolo tratta di sicurezza informatica, ma è più che altro una previsione (generale ma dettagliata al contempo) di cosa potrebbe - ma quasi sicuramente succederà - nel prossimo decennio 2010-2020. Che vi interessiate o meno di sicurezza non importa, leggete questo scritto - o meglio, aggiungetelo su Instapaper. Sono circa 1800 parole che cambieranno profondamente il vostro modo di vedere gli anni a venire.

La sicurezza nel 2020

La sicurezza in astratto non esiste: possiamo definirla solo in relazione a qualcos’altro. Si è al sicuro da qualcosa. Nei prossimi 10 anni, la definizione classica di sicurezza IT, ovvero l’insieme di strumenti a tutela da hacker, criminali e altri malintenzionati, subirà un profondo cambiamento: anziché proteggere noi dai cattivi, sempre di più quell’insieme andrà a tutelare da noi le aziende e i relativi modelli di attività.

Dieci anni fa, il grande cambiamento di paradigma nella sicurezza IT è stata la deperimetrizzazione. Una sequenza di 18 caratteri, più che una parola, completa di prefisso E suffisso, probabilmente la più brutta mai inventata nel nostro settore. Il concetto, però, ovvero la dissoluzione dei confini tra rete interna ed esterna, era al contempo reale e importante.

Oggi la deperimetrizzazione è al culmine: accesso di partner e clienti, accessi guest, e-mail in outsourcing, VPN, fino al punto che qualunque confine di rete all’interno dell’organizzazione presenta talmente tanti buchi che, a volte, è più semplice far finta che non ci sia. Il cambiamento più importante, però, è concettuale. Siamo abituati a pensare alla rete come a una fortezza, con i buoni all’interno e i cattivi fuori, e mura e cancelli e guardie per garantire che solo i buoni possano entrare. Le reti moderne sono più delle città, entità dinamiche e complesse con molti confini diversi al loro interno. I rapporti di accesso, di autorizzazione e di fiducia sono anche più complicati.

Oggi, a contare sono altri due cambiamenti concettuali. Il primo è la consumerizzazione. Altra poderosa invenzione terminologica, è l’idea che i consumatori prima mettono le mani sui nuovi gadget elettronici per i fatti loro, e quindi pretendono di usarli anche per lavoro. I dipendenti hanno già configurato il proprio portatile esattamente come piace a loro, e non ne vogliono un altro solo per entrare nella VPN aziendale. Leggono già la posta elettronica sui BlackBerry o gli iPad. Possiedono già un computer domestico, che normalmente è molto più aggiornato di quello messo a disposizione dall’IT aziendale. Gli amministratori di rete stanno perdendo sempre di più il controllo sui client.

Questa tendenza non farà che aumentare. I dispositivi consumer diventeranno più diffusi, economici e integrati; e i più giovani ormai sono già abituati a utilizzare gli strumenti preferiti sulle reti scolastiche. È una rivisitazione della rivoluzione del PC: il concetto di centro informatico centralizzato è stato scosso alle fondamenta dalle masse che acquistavano un PC per farci girare VisiCalc; oggi, al posto dei PC ci sono iPad e smartphone Android.

Il secondo cambiamento concettuale deriva dal cloud computing: la crescente tendenza ad archiviare altrove i nostri dati. Chiamiamola decentralizzazione: messaggi email, fotografie, libri, musica e documenti sono memorizzati altrove e accessibili tramite i nostri dispositivi consumer. Più si è giovani, più si dà per scontato che le nostre risorse digitali siano disponibili sullo schermo più vicino. Si tratta di una tendenza significativa, perché segna la fine delle battaglie contro l’hardware e i sistemi operativi alle quali siamo tutti abituati. Windows contro Mac non conta più se tutto quel che ti serve è un browser. I computer diventano temporanei; i backup utente irrilevanti. È tutto là fuori da qualche parte, e gli utenti stanno progressivamente perdendo il controllo sui propri dati.

Nei prossimi 10 anni, sono destinati a emergere tre nuovi cambiamenti di paradigma, di due dei quali possiamo già vedere le prime manifestazioni. Chiamerò il primo deconcentrazione. Il computer generalista sta morendo e viene rimpiazzato da dispositivi pensati per scopi specifici. Alcuni di essi, come l’iPhone, sembrano generalisti ma sono controllati a vista dai rispettivi fornitori. Altri, come i computer per giocare dotati di connessione a Internet, o le fotocamere digitali, sono effettivamente finalizzati. In 10 anni, i computer saranno in maggioranza piccoli, specializzati e diffusi ovunque.

Anche su quelli che apparentemente sono dispositivi generalisti, vediamo sempre più applicazioni specializzate. Certo, il browser dell’iPhone si può usare per accedere al sito Web del New York Times, ma è molto più semplice utilizzare l’apposita app. Man mano che i computer diventano più piccoli ed economici, questa tendenza non potrà che accelerare: utilizzare hardware e software specializzati sarà più semplice. E le aziende, desiderando un maggiore controllo sull’esperienza utente, non potranno che spingere in questo senso.

Il secondo cambiamento è la deconsumerizzazione (ora è il mio turno di inventare termini veramente brutti): l’idea di poter ottenere più funzionalità IT anche in assenza di rapporti commerciali. Siamo tutti parte di questa tendenza: qualsiasi motore di ricerca fornisce gratuitamente i propri servizi in cambio di pubblicità. Non parlo solo di Google e Bing; la maggioranza dei siti di webmail e social network offre un servizio base gratuito in cambio di pubblicità, e magari servizi di tipo premium a pagamento. La maggior parte dei siti Web, anche quelli utili che sostituiscono un software client, sono gratis; vengono mantenuti per semplice altruismo, oppure per veicolare la pubblicità.

Presto, questo si estenderà all’hardware. Nel 1999, la società startup Internet FreePC tentò la formula dell’offerta di computer in cambio della possibilità di monitorare le abitudini di navigazione e di acquisto degli utenti. L’esperimento fallì, ma da allora i computer sono diventati sempre meno costosi: non ci vorrà molto perché diventi praticabile regalare netbook, o fotocamere digitali, in cambio di pubblicità. Esistono già società telefoniche che regalano minuti in cambio di pubblicità. I cellulari gratuiti non sono molto lontani. Ovviamente, non tutto l’hardware IT sarà gratuito. Alcuni dei componenti hardware più nuovi e ricercati costeranno troppo per questo, ed esisterà sempre un’esigenza di potere di calcolo concentrato che sia a portata dell’utente (i sistemi videoludici sono un esempio ovvio), ma si tratterà di eccezioni. Dove l’hardware costerà troppo per venire semplicemente regalato, tuttavia, venderemo hardware gratis o a prezzi molto contenuti, in cambio di un servizio predefinito; succede già con i cellulari.

Questo è importante perché distrugge alla radice quel che resta del normale rapporto commerciale tra aziende IT e utenti. Noi non siamo clienti di Google: siamo il prodotto che Google vende ai suoi clienti. È un rapporto a tre vie: noi, il fornitore di servizi IT e l’inserzionista o l’acquirente di dati. E con il prosperare di questi rapporti IT di non-clientela, vedremo sempre più le società IT trattarci come prodotti. Se compro un computer Dell, ovviamente sono un cliente Dell; ma se ottengo gratuitamente quel computer in cambio del libero accesso alla mia esistenza, chi sia la mia controparte nel rapporto commerciale è molto meno ovvio. La continua erosione della privacy degli utenti di parte di Facebook, allo scopo di soddisfare i suoi veri clienti, gli inserzionisti, e di aumentare le proprie entrate, è semplicemente un segno di quel che ci aspetta.

Il terzo cambiamento di paradigma l’ho definito depersonizzazione: l’informatica che rimuove l’utente dall’equazione, parzialmente o del tutto. Aspettiamoci di veder aumentare gli agenti software: programmi che agiscono per conto vostro, per categorizzare la posta elettronica in base alle preferenze dell’utente come osservate in passato, o inviare offerte commerciali personalizzate in base ai comportamenti d’acquisto precedenti. La funzione “people who liked this also liked”¹ di molti siti Web di e-commerce è solo l’inizio. Un sito che ti avverte se il biglietto aereo per certa destinazione scende al di sotto di una certa soglia di prezzo è semplicistico ma utile, e alcuni siti offrono già questa funzione. Dieci anni non basteranno per risolvere i complessi problemi di IA collegati alla realizzazione di agenti intelligenti veri e propri, ma sicuramente tra 10 anni gli agenti saranno allo stesso tempo più sofisticati e più diffusi, e richiederanno sempre meno l’intervento diretto dell’utente.

Analogamente, il collegamento tra gli oggetti e la rete Internet sarà presto sufficientemente economico da diventare praticabile. Esiste già un patrimonio di ricerca considerevole relativo a dispositivi medicali compatibili con Internet, reti elettriche intelligenti che comunicano con gli smartphone e auto connesse in rete. Le Nike già comunicano con l’iPhone. I cellulari dicono già alla rete dove vi trovate. Le appliance Internet-enabled per ora sono utilizzate in modo limitato, ma presto diventeranno la norma. Le aziende acquisiranno unità HVAC, ascensori e sistemi di inventario intelligenti. E, con il ridursi dei costi delle comunicazioni a corto raggio, come RFID e Bluetooth, tutto diventerà “intelligente”.

L’“Internet delle cose” non avrà bisogno di voi: i dispositivi intelligenti della vostra casa intelligente comunicheranno direttamente con l’azienda elettrica. La vostra macchina intelligente parlerà con i sensori stradali e, in un futuro, con le altre auto. I vestiti con la lavanderia. Il telefono cellulare con i distributori automatici, come già succede in alcuni paesi. Le ramificazioni sono difficili da immaginare; probabilmente, saranno più bizzarre e meno banali di quanto descritto dalla stampa di oggi. Quel che è certo è che gli oggetti intelligenti parleranno di voi, senza che abbiate molto controllo su quello che diranno.

Una tendenza del passato: deperimetrizzazione. Due tendenze del presente: declientelizzazione e decentralizzazione. Tre tendenze del futuro: deconcentrazione, deconsumerizzazione e depersonizzazione. Ecco l’IT del 2020: non lo controllate, agisce a vostra insaputa e senza il vostro consenso, e non necessariamente nel vostro interesse. E le cose andranno così nel migliore dei casi: non ho ancora nemmeno iniziato a parlare dei cattivi.

Questo perché la sicurezza IT del 2020 si concentrerà meno sulla protezione dell’utente dai tradizionali malintenzionati, e più sulla protezione dei modelli di business aziendali dall’utente. La deperimetrizzazione parte del presupposto che nessuno sia da considerare affidabile, fino a prova contraria. La consumerizzazione richiede che le reti presuppongano che tutti i dispositivi utente siano non sicuri, fino a prova contraria. La decentralizzazione e la deconcentrazione non funzionano se si può fare in modo che il dispositivo esegua software o acceda a dati non autorizzati. La deconsumerizzazione non è praticabile a meno di impedire all’utente di bypassare le pubblicità, o qualsiasi altro elemento il fornitore impieghi per monetizzare l’utente stesso. E la depersonizzazione richiede che i dispositivi autonomi siano, appunto, autonomi.

Nel 2020, ovvero tra 10 anni, in base alla legge di Moore i computer saranno 100 volte più potenti. Questo cambierà le cose in modi che non sappiamo: quel che sappiamo, però, è che la natura umana non cambia. Cory Doctorow ha giustamente sottolineato che per tutti gli ecosistemi complessi esistono parassiti. I tradizionali parassiti della società sono i criminali, ma a questo contesto una definizione ampia si adatta meglio. Con la perdita di controllo dei sistemi da parte degli utenti e la sua acquisizione da parte dei fornitori IT, per i propri scopi, la definizione di “parassita” cambierà. Che si tratti di delinquenti che tentano di scipparvi solida dal conto corrente, appassionati di cinema che tentano di bypassare le protezione anticopia impiegate dagli studios per proteggere i propri profitti, o utenti Facebook che tentano di sfruttare il servizio senza rinunciare alla propria privacy o venire costretti a visualizzare pubblicità, i parassiti continueranno a provare a sfruttare i sistemi IT. Esisteranno sempre, come sempre sono esistiti e, come avviene anche oggi, la sicurezza avrà il difficile compito di restare al passo.

Benvenuti nel futuro. Le aziende impiegheranno accorgimenti di sicurezza tecnici, supportati da altri di tipo legale, per proteggere i propri modelli di business. E, a meno di non essere utenti modello, i parassiti saremo noi.

Saggio scritto originariamente come introduzione a Security 2020, di Doug Howard e Kevin Prince.
1. Mi permetto [io Diego] di aggiungere la traduzione (che Laura ha deciso di omettere): “le persone che hanno acquistato questo [riferito all’oggetto acquistato dall’utente] hanno comprato anche”. ↩
Posted 1 anno fa by diegopetrucci

3 note
1. A code91 è piaciuto
2. A danielesavi è piaciuto
3. marcofreccero ha rebloggato questo post da ilmacminimalista
4. postato da ilmacminimalista

Cos'è Il Mac Minimalista

Il Mac Minimalista è un blog sui mac e il minimalismo, e su come questi due campi apparentemente diversi possano fondersi.

Se questa è la tua prima visita ti consiglio di leggere la pagina di presentazione.

Per seguire il blog, oltre al Feed, puoi aggiungere il profilo su Twitter e Facebook.

Il Mac Minimalista è gestito da Diego Petrucci. Per contattarmi, scrivimi su Twitter.