Il termine Trusted Computing, o più semplicemente TC (conosciuto anche come TCPA), significa Informatica fidata. Ma l'utilizzo del termine che ne ha fatto l'industria informatica è radicalmente diverso dalla sua accezione originale.
Tale tecnologia viene proposta per migliorare la sicurezza dei sistemi digitali, ma i meccanismi sui quali si basa hanno fatto scaturire questioni su chi avrà effettivamente il controllo dei dispositivi.
In questo modo l'utente o l'amministratore di un sistema non è più colui che decide di chi (o di cosa) fidarsi o meno, ma l'industria informatica ha già deciso per lui. Il proprietario si troverà così a non avere più il controllo completo dei dispositivi che acquista e quindi potrebbe non essere più in grado di utilizzarli per vedere film, ascoltare musica, far girare i propri programmi, ...
Seguendo questa strategia, i produttori hardware/software possono arrivare a controllare il comportamento di qualunque dispositivo elettronico, fino a giungere a rivestire un ruolo analogo a quello del grande fratello descritto da George Orwell nel suo romanzo "1984".
Il TC è già una realtà, infatti sono già in commercio dispositivi e sistemi operativi che contengono componenti aderenti alle linee guida del Trusted Computing Group (TCG).
Per questo motivo sono nate varie organizzazioni che si prefiggono lo scopo di informare l'opinione pubblica del pericolo che il TC può rappresentare. A tal proposito, è da segnalare il filmato divulgativo, visualizzabile (e scaricabile) qui sotto, realizzato da LAFKON e tradotto in italiano da no1984.org (il filmato è visualizzabile anche online su YouTube). Inoltre, sempre nell'ottica dell'informazione, quale membro del gruppo no1984.org, ho rilasciato delle interviste sull'argomento, di seguito riportate.
Filmato divulgativo sul Trusted Computing
Per maggiori informazioni sul Trusted Computing si leggano le seguenti sezioni:
Il Trusted Computing (TC) è una tecnologia che utilizza hardware e software, basata sulla crittografia a chiave asimmetrica, per l'attuazione di meccanismi di controllo sui dispositivi digitali.
Le specifiche derivano da quelle del Trusted Computing Platform Alliance (TCPA) e sono redatte dal Trusted Computing Group (TCG), un'organizzazione di cui fanno parte praticamente tutte le grandi aziende informatiche (AMD, hp, IBM, Intel, Microsoft, Sun) ed alla quale aderiscono molte altre aziende, tra le quali le major dell'entertainment (produttori/distributori di contenuti multimediali: film, musica, ...).
Le caratteristiche principali del TC sono
I/O sicuro: le informazioni che transitano all'interno del computer sono cifrate, in maniera tale che nessun processo possa carpire le informazioni gestite dagli altri.
Memory curtaining (separazione della memoria): l'accesso alle informazioni contenute all'interno di determinate aree di memoria è consentito soltanto ai processi a cui esse appartengono. Ogni processo può accedere soltanto ai propri dati, non a quelli degli altri.
Sealed storage (memoria sigillata): l'accesso alle informazioni è consentito soltanto quando il sistema si trova in un determinato stato, che dipende dall'applicazione e dall'hardware. I dati possono essere acceduti solo dall'utente autorizzato che utilizza il software opportuno su una determinata macchina.
Attestazione remota: un meccanismo di notifica dello stato di integrità del sistema verso gli altri sistemi collegati ad esso in rete. Un sistema può richiedere delle informazioni ad un altro computer che si collega ad esso, per poterlo identificare.
Il cuore dell'architettura TC è il Trusted Platform Module (TPM), un chip identificato univocamente da un coppia di chiavi asimmetriche, l'Endorsement Key (EK) che è in grado di realizzare le operazioni suddette effettuando la cifratura delle informazioni (con algoritmo RSA), firme digitali e generando automaticamente le Attestation Identity Key (AIK) cioè chiavi per l'attestazione remota. Per il momento il TPM viene saldato sulla scheda madre, ma a breve verrà integrato all'interno delle CPU, cioè nei microprocessori.
Tecnologie come Palladium o Next-Generation Secure Computing Base (NGSCB) di Microsoft (v. http://www.microsoft.com/resources/ngscb/default.mspx), LaGrande Technology (LT) di Intel (v. http://www.intel.com/technology/security), TrustZone di ARM (v. http://www.arm.com/news/5688.html), Enhanced Virus Protection (EVP) o Presidio di AMD (v. http://www.amd.com/us-en/Weblets/0,,7832_11104_11105,00.html),... sono tutte implementazioni hardware o software delle linee guida dettate dal TCG.
Il TC, comunque, non riguarda soltanto i computer, ma tutti i dispositivi digitali: cellulari, lettori DVD, lettori MP3, ... Purtroppo, (quasi) nessuno si preoccupa di una cosa che non si vede.
Lo stato del sistema ed il software
Il TC ha bisogno dell'hardware e del software opportuni per mettere in atto le sue funzionalità in maniera tale che il sistema che ne risulta, dall'avvio del BIOS, sia considerato trusted.
Ovvero un PC dotato di hardware TC-compliant, BIOS TC-compliant e sistema operativo TC-compliant potrebbe essere in uno stato trusted. Se manca anche uno solo di questi elementi, oppure il proprietario disabilita certe funzionalità TC (secondo quanto espresso dalle specifiche del TCG) il sistema non sarà in uno stato trusted.
Non è ben chiaro in che modo un software venga riconosciuto trusted da un sistema in stato trusted.
Un sistema in stato trusted permetterà l'esecuzione anche di software non trusted, ma per certe operazioni sarà necessario che il software sia riconosciuto come trusted, altrimenti tali operazioni non saranno permesse. È il software (trusted) che effettua le chiamate a certe routine di sistema per verificare se il sistema si trova in stato trusted e quindi in caso affermativo effettua determinate operazioni.
Su un sistema non trusted, il software realizzato per utilizzare la tecnologia TC potrebbe rifiutarsi di funzionare. Se quello in questione è software libero, si può tranquillamente modificare per renderlo funzionante anche su un sistema non trusted. Ovviamente tale versione non funzionerà più a dovere sui sistemi trusted (non accederà più ai file che necessitano funzionalità TC).
Il software libero, o open source, potrebbe risultarne danneggiato al punto che potrebbe non essere possibile utilizzarlo sui sistemi TC, anche per il fatto che l'utilizzo di determinati meccanismi potrebbe essere coperto da brevetto industriale. Questo dipende molto dall'implementazione hardware e software delle specifiche del TCG.
Controindicazioni o effetti collaterali del TC
Il TCG sta cercando di far passare il messaggio che il TC è una cosa buona per gli utenti di computer (o di dispositivi digitali in genere), per combattere i virus e lo spam, quando invece non è così: ad esempio, sul sito ufficiale delle FAQ sul Next-Generation Secure Computing Base (NGSCB), il nuovo nome di Palladium che è l'implementazione software di Microsoft del TC, la stessa Microsoft afferma infatti che tale tecnologia non servirà di per sé a tale scopo.
Tecnicamente, con il TC è possibile controllare il comportamento dei sistemi anche da remoto. Da quanto risulta dall'analisi effettuata da esperti nel settore informatico come Anderson, Schneier, Schoen e Stallman, i produttori hardware o software, che implementano la tecnologia TC, potrebbero utilizzare questo sistema di controllo per realizzare le seguenti operazioni:
violazione della privacy: ogni sistema è identificato univocamente da un'apposita chiave e quindi è riconoscibile in rete;
censura dei contenuti digitali: siti web con contenuti "non graditi" ai produttori, potrebbero non essere più visibili dai browser degli utenti; addirittura, documenti "scomodi" potrebbero essere non più accessibili neanche da parte dello stesso autore;
comportamento anti-competitivo dei produttori: il funzionamento di alcuni software potrebbe essere privilegiato rispetto ad altri (concorrenti);
fidelizzazione forzata dell'utente: il software potrebbe continuare a funzionare correttamente soltanto se si scaricano costantemente (magari a pagamento) aggiornamenti da Internet;
attuazione dei meccanismi di DRM: l'utente potrebbe non essere più in grado di fruire di contenuti digitali legittimi come fa adesso; i contenuti digitali potrebbero non essere, ad esempio, visualizzabili o copiabili più di un determinato numero di volte.
Praticamente, in questo modo, il controllo del sistema passerà dal legittimo proprietario ai produttori e l'utente verrà considerato alla stregua di un "virus" dal quale il sistema deve difendersi.
Un altro problema è la connettività: man mano che le macchine collegate ad Internet diverranno TC-compliant, non sarà più possibile collegarsi ad esse con sistemi non trusted (per via della attestazione remota) oppure i
provider stessi potranno rifiutarsi di concedere l'accesso alla rete ai sistemi non trusted.
Le specifiche TCG danno solo delle linee guida ma lasciano la libera implementazione dei meccanismi ai produttori hardware/software; le specifiche TCG indicano un insieme di funzionalità di base che il produttore può liberamente ampliare. Per di più non è del tutto ben chiaro quale sarà il comportamento dell'architettura TC.
Rimane comunque da chiarire chi stabilirà cosa deve essere considerato un virus o malware in generale, rispetto al software "buono". Un'entità esterna, come viene proposto con il TC, non può stabilire quali siano i software ritenuti non buoni per il proprietario di un sistema, ma è il proprietario stesso che deve poter prendere decisioni in merito.
È probabile che il passaggio ai dispositivi completamente TC avverrà in maniera graduale, in modo da abituare gli utenti a questa nuova realtà. Quindi è possibile che in un primo momento l'utente medio non riesca ad accorgersi subito della differenza tra i due sistemi, ma pian piano potrebbe non riuscire più a vedere il proprio filmino girato durante le vacanze, ad ascoltare dei propri file audio, non sarà più possibile collegarsi a certi siti web, ...
Un problema non trascurabile è lo scenario che si presenterà nel periodo di transizione: ci sono molti utenti/aziende che hanno PC non TC-compliant e magari non li cambieranno prima di 5-10 anni, e ce ne sono altri che a breve potrebbero cambiare il proprio parco macchine acquistando PC TC-compliant. Che succederà? Come sarà la coesistenza dei sistemi TC-compliant con quelli non?
Per il momento è consigliabile stare attenti agli acquisti che si fanno, preferendo hardware e software che non implementano la tecnologia TC, in modo da rimanere "padroni" dei dispositivi acquistati. Un elenco dei dispositivi di cui si ha notizia del fatto che implementano la tecnologia TC è consultabile su http://www.no1984.org/Hardware_TC-compliant.
Per far capire quanto le major siano interessate a questo tipo di tecnologie, riporto di seguto le parole di Peter Lee, dirigente della Disney, usate nella sua intervista pubblicata da The Economist (1 Settembre 2005): "Se l'utente sapesse che esiste un DRM, cos'è e come funziona, noi avremmo già fallito". Quindi, se loro (produttori/fornitori) non si fidano di noi (clienti/utenti), perché noi dovremmo fidarci di loro?
Per saperne di più, consiglio vivamente di dare un'occhiata al sito www.no1984.org ed iscriversi alla relativa mailing list (lo si può fare seguendo le apposite istruzioni).
NBC: Come promesso ieri sera, questa sera si parla del Trusted Computing.
Cos'è il Trusted Computing? Per alcuni si tratta di una sorta di miglioramento dell'affidabilità dell'informatica e questo lo dicono le più grandi società, le più grandi compagnie di informatica siano esse creatrici di software o di hardware, Dell, IBM, Hewlett Packard, Intel, Microsoft, Toshiba e decine di altre che si sono associate in una sorta di Trusted Computing Group. In pratica un meccanismo molto semplice che inserito direttamente nell'hardware del computer avrà il compito di selezionare quali programmi e contenuti, come musica, video, software e documenti, possono essere eseguiti sul PC e quali no.
Ciò ovviamente non va a genio ad alcuni che si sono messi in testa di chiarire molto bene anche, devo dire, la posizione di queste multinazionali, ma soprattutto la funzione del Trusted Computing, fidiamoci del computer. La fiducia alle multinazionali non la vuole dare un gruppo che si fa chiamare "no1984", un sito internet no1984.org, del quale fa parte Daniele Masini che abbiamo questa sera con noi al telefono. Buona sera Masini.
Masini: Buona sera, salve.
NBC: Allora, ci spiega un attimo perché questa sorta di avversione nei confronti di una soluzione che, così a prima vista, a primo acchito, potrebbe migliorare davvero la nostra vita, il nostro rapporto con il computer?
Masini: Sì, il problema è proprio insito nel fatto che quando si parla di sicurezza è importante sapere chi detiene il controllo. Nel caso di sicurezza per quanto riguarda l'informatica, dovrebbe essere l'utente o l'amministratore di un sistema a detenere il controllo di quel sistema. In questo caso il Trusted Computing Group propone invece un sistema di sicurezza centralizzato, controllato (ancora non sapendo bene da chi, ma probabilmente) dallo stesso Trusted Computing Gruoup che si propone come controllore universale della sicurezza, pone dei seri dubbi o comunque delle possibili perplessità su chi possa controllare il computer. Cioè, se io acquisto un bene, me lo gestisco io, me lo amministro io perché è mio. Quindi, comprando un computer, io posso gestirmelo come voglio. Nel momento in cui, invece, la gestione della sicurezza e quindi la gestione di quello che può girare su quel computer, me la fa un ente esterno, questo va - diciamo - contro i principi fondamentali della mia libertà e della mia gestione delle politiche di sicurezza.
NBC: Molto spesso però chi acquista un computer non sa dove mettere le mani realmente, parliamoci chiaro. Cioè sappiamo utilizzarlo perché ci sono dei software che permettono questa utilizzazione, ma in realtà un po' per pigrizia, un po' perché lo vediamo ancora come una sorta di macchina infernale, non ci mettiamo le mani più di tanto.
Masini: Certo. Questa è un po' un'arma a doppio taglio. Potrei portare un paragone analogo con chiunque possa acquistare, non so, un coltello piuttosto che una pistola e non sa come utilizzarla, non per questo penso che si spari in bocca, insomma... È questo un po' il senso: bisogna sapere come utilizzare certi strumenti e che comunque l'uso che ne facciamo e la sicurezza nell'utilizzo di questi strumenti è demandata al proprietario.
NBC: In pratica un invito anche a tutti quanti a capire meglio il proprio PC, in sintesi.
Masini: Certo, senza dubbio.
NBC: Avete adottato un nome che evoca fasti passati, presenti e futuri, insomma non ha tempo, no1984. In pratica evocando il romanzo orwelliamo volete in qualche modo dire "non vogliamo essere controllati da un grande fratello", da un'entità superiore, magari misconosciuta e comunque presente, incombente?
Masini: Certo. Infatti, come le dicevo prima, il Trusted Computing Group, che si presenta praticamente come l'entità che potrebbe porre un controllo totale sui sistemi di tutto il mondo, a questo punto, visto che internet è dovunque, potrebbe essere - diciamo - questo "grande fratello" così indicato da George Orwell nel suo romanzo. Ecco il perché del nome.
NBC: Facendo un po' di fantapolitica, questo Trusted Computing Group potrebbe un giorno, partendo da questi presupposti, divenire il controllore della politica mondiale?
Masini: Diciamo che le premesse, quindi le basi gettate dal Trusted Computing Group, ci sono. Non necessariamente porteranno in quella direzione, ma gettano le basi di una possibilità che ci potrebbe essere in questo senso.
NBC: Per chiudere questo nostro breve incontro, ci illustri le attività del no1984, di questo vostro gruppo, che, ricordiamo, ha un sito internet no1984.org.
Masini: È nato come mailing list per poter condividere le idee, che già c'erano sull'argomento, tra varie persone. Attualmente ci sono circa 300 iscritti alla mailing list e ricordiamo che è nato da pochissimo. Gli scopi sono quelli di divulgare e comunque fare in maniera che negli utenti si maturi la consapevolezza che esiste questa prospettiva. In più ci sono varie attività che vengono portate avanti tipo la traduzione di materiale che denuncia questa cosa, ci sarà la possibilità di partecipare al Linux Day, che si svolgerà nel Novembre di quest'anno, con delle conferenze, oppure la possibilità di avere dei gadget sempre inerenti a questa attività. E comunque lo scopo principale è quello di portare all'attenzione dell'opinione pubblica questa cosa che si sta muovendo da qualche anno che il Trusted Computing Group cerca di installare sui vari sistemi nel mondo, anche perché tutti i produttori di hardware e di software stanno aderendo a queste linee guida.
NBC: In pratica ci sarebbe da aver paura.
Masini: Sì. Inoltre chi ci assicura che chi costruisce l'hardware o chi scrive software, che aderisce a questi criteri, abbia effettivamente scritto il software con giudizio, o comunque realizzato un hardware che li segua pedissequamente senza avere delle backdoor o qualcosa che possa in qualche modo permettere un controllo remoto da chissà chi?
NBC: E con la domanda "chi controlla i controllori?", salutiamo il sig. Daniele Masini, di no1984.org, e lo ringraziamo per essere intervenuto questa sera in "Buttiamo un occhio alla radio". Buona serata. Grazie.
Masini: Il Trusted Computing è una tecnologia hardware e software, proposta per il miglioramento della sicurezza dei sistemi digitali. Le specifiche sono state ereditate dal TCPA (Trusted Computing Platform Alliance) e portate avanti dal Trusted Computing Group, un'organizzazione no-profit di cui fanno parte praticamente tutte le multinazionali informatiche (AMD, hp, IBM, Intel, Microsoft, Sun... ).
Le caratteristiche principali del Trusted Computing sono essenzialmente quelle seguenti:
* I/O sicuro: le informazioni che transitano all'interno del computer sono cifrate, in maniera tale che nessun processo possa carpire le informazioni gestite dagli altri.
* Separazione della memoria: l'accesso alle informazioni contenute all'interno di determinate aree di memoria è consentito soltanto ai processi a cui esse appartengono. Ogni processo può accedere soltanto ai propri dati, non a quelli degli altri.
* Memoria sigillata: l'accesso alle informazioni è consentito soltanto quando il sistema si trova in un determinato stato, che dipende dall'applicazione e dall'hardware. I dati possono essere acceduti solo dall'utente autorizzato che utilizza il software opportuno su una determinata macchina.
* Attestazione remota: un meccanismo di notifica dello stato di integrità del sistema verso gli altri sistemi collegati ad esso in rete. Un sistema può richiedere delle informazioni ad un altro computer che si collega ad esso, per poterlo identificare.
Il TC si basa sul Trusted Platform Module (TPM), un chip, identificato univocamente da una coppia di chiavi asimmetriche (l'Endorsement Key), in grado di effettuare i meccanismi di cifratura delle informazioni. Le specifiche del TCG, comunque, rimangono tali, lasciando l'implementazione del TC direttamente a carico dei produttori dell'hardware e del software.
Scarichiamoli!: Che cos'è il DRM e qual'è il rapporto tra DRM e Trusted Computing?
Masini: Il DRM (Digital Rights Management) è un termine che indica genericamente i vari meccanismi utilizzati nei sistemi digitali per effettuare un controllo sulla fruizione dei contenuti. Il DRM in genere riguarda la musica, i film, ma anche l'arte digitale in genere ed i videogiochi. Le major del settore indicano le tecnologie DRM come necessarie per ridurre la perdita di introiti dovuta alla duplicazione illecita dei contenuti digitali. Il problema è che la tecnologia in sé non può, per principio, essere in grado di stabilire ed applicare le restrizioni previste da uno specifico Paese, tenendo conto del contesto di utilizzo del contenuto digitale e dell'utilizzatore.
Non c'è un legame ufficiale tra DRM e TC, ma le caratteristiche del TC sembrano fatte praticamente su misura per l'attuazione di meccanismi di DRM. Ad esempio, il caso del rootkit riportato da Russinovich (Sony, Rootkits and Digital Rights Management Gone Too Far), ha messo in luce quanto un'azienda come Sony sia intenzionata ad attuare meccanismi di DRM a qualsiasi costo, addirittura installando un software per la lettura dei CD, in maniera silente, e volutamente tenuto nascosto all'utente come fosse un virus; ma fortunatamente qualcuno l'ha scoperto. Immaginiamoci cosa sarebbe potuto accadere con un sistema dotato di TC: in tal caso, Sony, che fa parte del TCG, avrebbe avuto la possibilità di installare praticamente ciò che voleva sul sistema, facendo addirittura in modo che l'utente non ne venisse mai a conoscenza, poiché il suo software sarebbe risultato "trusted".
Scarichiamoli!: Quali pericoli possono derivare dal Trusted Computing?
Masini: Tecnicamente è possibile utilizzare il Trusted Computing per controllare il comportamento delle macchine e poiché praticamente tutti i computer sono ormai connessi ad Internet, il controllo da remoto si estende a tutti i computer. Da quanto risulta anche dall'analisi effettuata da esperti nel settore informatico come Anderson, Schneier, Schoen e Stallman, i produttori hardware o software, che implementano la tecnologia TC, potrebbero utilizzare questo sistema di controllo per realizzare
- censura dei contenuti digitali: siti web con contenuti "non graditi" ai produttori, potrebbero non essere più visibili dai browser degli utenti; addirittura, documenti "scomodi" potrebbero essere non più accessibili neanche da parte dello stesso autore;
- comportamento anti-competitivo dei produttori: il funzionamento di alcuni software potrebbe essere privilegiato rispetto ad altri (concorrenti);
- fidelizzazione forzata dell'utente: il software potrebbe continuare a funzionare correttamente soltanto se si scaricano costantemente (magari a pagamento) aggiornamenti da Internet;
- attuazione dei meccanismi di DRM: l'utente potrebbe non essere più in grado di fruire di contenuti digitali legittimi come fa adesso; i contenuti digitali potrebbero non essere, ad esempio, visualizzabili o copiabili più di un determinato numero di volte.
Inoltre, chi ci assicura che i produttori hardware e software realizzino i loro prodotti in maniera da rispettare in toto le specifiche del TCG, senza inserire delle backdoor al loro interno? Il controllo del sistema passerà dal legittimo proprietario ai produttori che utilizzeranno la tecnologia TC e l'utente verrà considerato alla stregua di un "virus" dal quale il sistema deve difendersi.
Scarichiamoli!: Quali conseguenze potrebbe avere il Trusted Computing sul mondo open?
Masini: In teoria, stando alle specifiche del TCG, il software che funziona sulle macchine odierne (non TC) dovrebbe poter funzionare anche su quelle dotate di tecnologia TC, poiché il TC dovrebbe poter essere disattivabile dal proprietario della macchina. In realtà, nelle FAQ relative a NGSCB [n.d.r.: Next-Generation Secure Computing Base] (un'implementazione software di TC), Microsoft asserisce che il software che effettua particolari accessi a basso livello sul sistema potrebbe non funzionare.
In particolare, il TC è tecnicamente in grado di permettere l'attuazione di meccanismi di controllo sul software tali da consentire al sistema l'esecuzione di alcuni software e negare quella di altri. Infatti, il TC viene proposto come la tecnologia in grado di proteggere l'utente da virus, spyware, spam... impedendo al malware di perturbare lo stato di integrità del sistema. Ma come può il sistema distinguere il malware dalle operazioni dell'utente che vuole cancellare determinati files (con comportamento analogo a quello di un virus)? Chi stabilisce quali sono i software che possono essere eseguiti e quelli che, invece, non possono essere eseguiti? L'implementazione delle specifiche delineate dal TCG è lasciata ai produttori, che quindi determineranno il meccanismo di riconoscimento del software. In riferimento alle aziende aderenti al TCG, i produttori di software potrebbero addirittura fare in modo di attuare un meccanismo di controllo del software di tipo anti-competitivo, in maniera da agevolare il proprio software rispetto a quello dei concorrenti, e i produttori di hardware potrebbero agevolare il software delle aziende che fanno parte del TCG rispetto al software delle altre aziende. Il software libero, o open source, potrebbe risultarne danneggiato al punto che potrebbe non essere possibile utilizzarlo sui sistemi TC. Questo dipende molto dall'implementazione hardware e software delle specifiche del TCG.
Scarichiamoli!: Cosa fare per scongiurare i pericoli derivanti dal Trusted Computing?
Masini: La cosa più importante è sensibilizzare gli utenti di tutti i dispositivi digitali (non solo di computer, ma anche di palmari, di cellulari, di lettori DVD... ) al problema, informandoli di come stanno le cose e di quali sono le potenzialità del TC, prima che sia troppo tardi, poiché presto il mercato sarà invaso da dispositivi con tecnologia TC (praticamente tutte le industrie informatiche fanno parte del TCG). L'utente finale non avrà più la libertà di scegliere se acquistare un prodotto con tecnologia TC o senza tecnologia TC: la scelta diverrà obbligata. Più persone saranno informate sull'argomento, più persone potranno farsi un'idea degli scopi del TCG e delle aziende che vi aderiscono, più persone potranno agire di conseguenza.
È possibile contattare associazioni o gruppi come, ad esempio, No1984 o Against-TCPA, che, analizzando l'impatto che il TC potrebbe avere sugli utenti che utilizzano dispositivi elettronici, si propongono di fare una seria informazione a riguardo.
Radio Città: Per cominciare vuoi presentare un po' te stesso, quello che fai e il vostro progetto?
Masini: Sì, volentieri.
Allora, io sono Daniele Masini, al momento mi occupo di vari aspetti dell'informatica ed in particolare in questo momento del problema del Trusted Computing (TC) ed insieme al gruppo no1984 cerchiamo di fare informazione in proposito a questa tecnologia che sta prendendo sempre più piede.
Il TC, in poche parole, è una tecnologia che utilizza sia hardware che software e basata su sistemi crittografici per l'attuazione di meccanismi di controllo sui dispositivi digitali. Le sue specifiche vengono redatte dal Trusted Computing Group (TCG) che è un'organizzazione di cui fanno parte praticamente tutte le più grandi aziende informatiche come AMD, hp, IBM, Intel, Microsoft e Sun, ed alla quale aderiscono anche le major dell'entertainment, cioè i produttori e distributori di contenuti multimediali, come film, musica, ecc.
Le caratteristiche principali di questa tecnologia sono le seguenti: essa permette la cifratura di tutte le informazioni che passano all'interno del computer e quindi rendendo impossibile decifrare il loro contenuto. In più, il sistema di memory curtaining, che sarebbe praticamente impedire l'accesso alle informazioni contenute in certe aree di memoria, che è consentito soltanto ai processi alle quali queste informazioni appartengono. Per esempio, un'altra delle caratteristiche principali è il sealed storage, cioè l'accesso alle informazioni è consentito soltanto quando il sistema si trova in un determinato stato che dipende sia dall'applicazione che dall'hardware sul quale gira. La caratteristica che, diciamo, è più pesante, è l'attestazione remota, cioè un meccanismo di notifica dello stato di integrità del sistema verso altri sistemi collegati ad esso in rete.
Radio Città: Comunque, il TC nasce formalmente con intenti diciamo positivi, ossia quelli di difenderci da virus e proteggere anche il diritto d'autore. Quindi insomma il problema è che l'mplementazione di questa tecnologia viene fatta in maniera tale che viola i diritti della privacy. È questo il problema.
Masini: Sì, infatti, il TCG sta cercando di far passare il messaggio che il TC sia una cosa buona per gli utenti di computer o di dispositivi digitali in genere, che serve per combattere i virus e lo spam, quando invece non è proprio così: ad esempio, sul sito ufficiale dell'NGSCB, che è il nuovo nome del Palladium, ovvero l'implementazione software di Microsoft del TC, la stessa Microsoft afferma infatti che tale tecnologia non servirà di per sé a questo scopo, cioè a impedire la diffusione di virus e di spam. Quindi non è proprio una tecnologia che va a dare dei vantaggi all'utente, in generale.
Più che altro resta comunque da chiarire anche chi stabilirà cosa dev'essere considerato un virus o malware in generale, rispetto magari a software "buono".
Radio Città: Che può fare l'utente comune per contrastare questa tecnologia?
Masini: Questa tecnologia intanto va detto che riguarda non soltanto i computer, ma tutti i dispositivi digitali come cellulari, palmari, lettori DVD, lettori MP3, ecc.
L'utente, per contrastare il fenomeno di diffusione del TC potrebbe soprattutto prendere coscienza del fatto che il problema esiste ed è più reale di quanto possa sembrare, ed anche diffondere quanto più possibile l'informazione in proposito sensibilizzando gli altri, perché, chiaramente, più si conosce il problema e più è diffuso il fatto che esiste questa tecnologia, più utenti possono intraprendere delle azioni in merito.
Ad esempio, potrebbe essere opportuno cercare, per quanto possibile, di non acquistare prodotti che hanno questa tecnologia all'interno. Sempre per quanto è possibile perché i maggiori produttori hardware e software aderiscono a queste specifiche.
Radio Città: Se ci sono delle aziende cne non appoggiano il TC, se puoi fare qualche nome...
Masini: Al momento non sono a conoscenza di aziende che non appoggiano il TC, per lo meno grandi aziende. Di piccole aziende può darsi che qualcuna ci sia, il problema è che magari prima o poi queste piccole aziende aderiranno o comunque seguiranno il volere di quelle grosse.
Radio Città: Ma rispetto a questo problema i partiti politici e le associazioni di consumatori, che posizione hanno acquisito?
Masini: Per quanto riguarda i partiti politici non abbiamo notizia che nessuno abbia preso una posizione in merito, almeno per quanto riguarda l'Italia o l'Europa in generale.
Ci sono i LUG, che sono i gruppi per la diffusione del software libero e del sistema operativo GNU/Linux in tutta Italia, che sono sicuramente dalla nostra parte, infatti nel Linux Day dello scorso anno (Novembre 2005) sono stati proposti molti talk in proposito, in particolare ne ho tenuto uno al Linux Day a Firenze.
(Radio Città: Non per niente noi siamo del LUG di Pescara ... e ci siamo anche noi)
Associazioni come ALCEI o EFF stanno portando avanti azioni legali per esempio contro Sony, per lo scandalo del sistema di DRM contenuto nei CD musicali da essa distribuiti, e quindi in un certo senso stanno anche loro dalla nostra parte.
Recentemente poi sono stato contattato anche dall'associazione di consumatori Adiconsum che si è dimostrata sensibile al problema del TC. Io spero che questo contatto porti ad una collaborazione in proposito.
Radio Città: L'utente comune che vuole comunque avere un'informazione più esaustiva possibile di questo problema, su quali siti può documentarsi?
Masini: I siti, oltre chiaramente a http://www.no1984.org, potrebbero essere quello di Against TCPA (http://www.againsttcpa.com) oppure quello di Electronic Frontier Foundation (http://www.eff.org).
(Radio Città: quindi con annesse mailing list)
Anche i siti nei quali vengono pubblicate informazioni a carattere tecnologico, come Punto Informatico e Zeus News, per esempio, presentano spesso degli articoli in proposito che potrebbero anche quelli essere una buona fonte di informazione.
Radio Città: Secondo te, continueranno ad essere costruiti computer che non hanno al loro interno TPM, ossia Trusted Platform Module, insomma per la sicurezza di cui stiamo parlando?
Masini: Questa domanda è da un milione di dollari.
(Radio Città: speriamo di sì, ovviamente)
Ecco, speriamo sicuramente di sì, la speranza è l'ultima a morire. Purtroppo non abbiamo notizie di costruttori che cercano comunque di implementare sistemi senza TC.
Quasi tutte le aziende che contano, con la "c" maiuscola, si sono già dichiarate intenzionate ad adottarlo. Quindi è difficile, insomma, sperare che in un futuro possa andare contro corrente, perché chiaramente ci vogliono degli investimenti abbastanza grossi per realizzare aziende che siano capaci di realizzare hardware e software senza questo TC. La produzione di chip richiede delle grosse somme di denaro.
Radio Città: La pressione anche per concepire un sistema come il TC, secondo te, proviene più dalle case discografiche, musicali, cinematografiche, ecc. oppure più dalle case di software che vogliono appunto proteggere il software proprietario? Cioè chi è che ha fatto più pressione affiché questa cosa alla fine venisse a galla?
Masini: Non c'è un legame diretto tra il DRM, cioè quelli che sono i sistemi digitali per il controllo dei contenuti, ed il TC stesso. Però le specifiche del TC sembra che calzino molto bene per quanto riguarda sistemi di DRM (Digital Restriction Management).
La pressione adesso stanno facendola in maniera più forte Microsoft ed Intel. Che siano spinte a loro volta dalle major cinematografiche o discografiche potrebbe anche essere. Chiaramente quest'ultime hanno tutto l'interesse nel favorire la venuta di questa nuova tecnologia che permetterebbe un controllo molto più spinto sui sistemi. Quindi da parte loro hanno tutto l'interesse nel poterla utilizzare anche per attuare i sistemi di DRM.
Radio Città: Non so come la pensi tu, ma, per esempio, io quando scarico musica lo so che sto facendo qualcosa di illegale. Quindi non sono totalmente contrario al DRM. Per chi decide di rilasciare una sua opera con il copyright è giusto che sia tutelato questo copyright. Tu invece cosa ne pensi della tutela dei diritti? È una cosa che va fatta?
Masini: La protezione dei contenuti o comunque dei diritti, per usare un gioco di parole, è un diritto sacrosanto. Ma questo non vuol dire che i meccanismi di protezione possano non rispettare la legge. Il DRM non è un male in assoluto. Così com'è concepito ora però sembra che travolga in maniera piuttosto pesante i diritti degli utenti ed agisce in modo non molto legale in troppi casi: l'esempio più clamoroso è il caso del rootkit di Sony, un programma che si installava sul PC senza avvisare l'utente e si rendeva addirittura invisibile all'utente stesso e per il quale non era previsto neanche un sistema di disinstallazione.
Poi c'è anche da dire che la durata temporale dei diritti di sfruttamento economico di un'opera coperta da diritto di autore è anche attualmente, secondo me, troppo ampia. Si parla infatti di 70 anni dalla morte dell'autore, che sono, in un campo di avanzamento tecnologico come quello del mondo informatico, un'eternità. Eppoi bisognerebbe fare in modo che i DRM facciano valere il diritto d'autore nei limiti previsti dalla legge. I limiti potrebbero essere diversi dipendentemente dal Paese considerato. Inoltre bisognerebbe essere sicuri che i DRM facessero valere anche i limiti di tempo opportuni. Ad esempio chi ci garantisce che i meccanismi DRM dopo 70 anni dalla morte dell'autore rendano disponibile il contenuto digitale? Molto probabilmente non lo faranno, perché sono fatti in modo tale che il contenuto sia protetto qualunque sia il momento in cui lo vado a vedere.
Quindi i DRM non li vedo come una cosa assolutamente sbagliata, ma bisogna farli ad hoc.
Radio Città: Comunque io tendo anche a separare il discorso dei DRM dalla criminalizzazione del Peer to Peer, perché il Peer to Peer è comunque uno strumento che può essere adoperato per sharare materiale sotto Creative Commons, per esempio. Non è giusto sparare a zero contro il Peer to Peer.
Masini: Assolutamente. Non vedo di cattivo occhio il Peer to Peer. Il Peer to Peer è sicuramente un meccanismo che come tutte le tecnologie non è sbagliato in sé, ma è sbagliato l'uso che se ne può fare a seconda di quello che si condivide. Se si condividono opere protette da diritto d'autore è chiaro che si sta commettendo un illecito, chiaramente si sta parlando di opere coperte da diritto d'autore che non possono essere duplicate, non possono essere copiate, non possono essere rese in forma pubblica, ecc. Per le opere che sono invece coperte da licenze che permettono la condivisione, non c'è niente di male alla diffusione. Quindi si possono benissimo utilizzare meccanismi per la condivisione quali il Peer to Peer o altri meccanismi, non c'è nessun problema.
Radio Città: Alla base del problema c'è anche il fatto che se i dischi costassero di meno forse saremmo meno invogliati ad usare il Peer to Peer.
Masini: Comunque non vorrei che passasse il messaggio che il costo alto dei contenuti o dei contenitori, possa essere l'alibi per lo scarico di musica in maniera illegale. No, diciamo che bisogna sempre comunque rimanere nel legale. Nel caso in cui i CD costano troppo al limite non si comprano, ma non si possono intraprendere azioni illegali. Non voglio far passare questo messaggio. Il messaggio invece è quello di: va bene condividere le opere che possono essere condivise però chiaramente bisogna stare attenti alle opere coperte da licenze che non prevedono la condivisione.
Radio Città: Voi come gruppo quando vi siete costituito?
Masini: Noi come gruppo ci siamo costituiti nel Settembre/Ottobre del 2005. Quindi è piuttosto giovane come gruppo però ha già un sacco di iscritti alla mailing list che ogni giorno mediamente fa circolare almeno una cinquantina di messaggi se non di più.
Radio Città: Oltre all'informazione quali sono le prossime mosse?
Masini: Bella domanda. Il problema è che purtroppo la quasi totalità delle persone non è informata sull'argomento e forse anche per questo i partiti politici e le associazioni non hanno preso una chiara posizione in proposito. Quindi il gruppo no1984 si propone di fare una grande informazione innanzitutto, e chiaramente cercare di sensibilizzare e di raggiungere quante più persone possibile, in questo momento. Abbiamo, per esempio, tradotto un filmato divulgativo sul TC fatto da LAFKON anche molto bene, lo abbiamo ovviamente fatto tradurre in italiano da un professionista, e quindi rappresenta un buon punto di partenza per fare informazione. Stiamo cercando di far realizzare anche un logo del gruppo no1984, anche questo da un professionista.
Chiaramente, il gruppo è ancora abbastanza giovane ed il primo passo è quello di fare più informazione possibile. Poi vedremo come ci possiamo muovere, se magari qualche associazione di consumatori si muove verso di noi e quindi vediamo quali azioni possono essere intraprese.
Radio Città: Ti ringraziamo tanto per aver accettato la telefonata. Grazie ancora.
Pubblicata su "La Gazzetta del pirata" n. 5 di Febbraio 2006.
La Gazzetta del pirata: Direi di iniziare, per rompere il ghiaccio, da una breve introduzione sul gruppo di lavoro. Chi siete?
Masini: Il gruppo no1984.org è nato nell'Ottobre del 2005, come mailing list, con l'intento di discutere di problematiche relative al controllo totale dei sistemi.
Vista la pochissima informazione sul Trusted Computing (TC), il gruppo no1984.org si propone di analizzare il TC e le specifiche del Trusted Computing Group (TCG) cercando di fare quanta più informazione possibile sull'argomento.
Al momento è stato creato un wiki su http://www.no1984.org che contiene varie informazioni sul TC, ed a quanto pare siamo l'unica organizzazione italiana che si preoccupa dell'avvento di questa tecnologia.
La Gazzetta del pirata: In breve, cos'è il TC?
Masini: Il TC è un'architettura hardware e software che si basa sui meccanismi di cifratura a chiave pubblica per l'attuazione del controllo del sistema. Esso viene proposto come la soluzione definitiva contro i virus ed il malware in generale, ma i risvolti che esso comporta sono forse più pericolosi del malware da cui esso si propone di proteggerci: il TC conferisce nelle mani di chi ne ha il controllo, cioè dei produttori/distributori dell'hardware e del software che implementa opportune caratteristiche, un enorme potere sui dispositivi digitali sul mercato.
Le specifiche del TC sono redatte dal TCG, un consorzio al quale aderiscono tutte le più grandi aziende di informatica del mondo (AMD, hp, IBM, Intel, Microsoft, Sun, ...) e le major dell'entertainment.
La Gazzetta del pirata: Avete scelto un nome particolarmente evocativo: NO1984. Lo scenario introdotto dalla citazione e dai possibili sviluppi del Trusted Computing è davvero così tetro? Siamo di fronte ad uno spartiacque fra libero arbitrio e predestinazione informatica?
Masini: Sebbene vi siano dei forti dubbi sul fatto che il TC potrà essere in grado di eliminare il malware, perché bisognerebbe capire chi decide che cosa è ritenuto essere un virus da un'applicazione "buona", per attuare tale meccanismo c'è bisogno di un'apposita architettura hardware e software che porta il controllo del sistema dal legittimo proprietario ai produttori di hardware/software.
Il problema è legato proprio a quest'ultimo aspetto: perché il proprietario di un sistema deve essere soggetto alla volontà dei produttori dell'hardware o del software che ci gira sopra? È come se il proprietario di un'automobile fosse costretto a sottostare alle volontà dell'azienda costruttrice, essendo obbligato a svoltare a destra quando invece lui vorrebbe andare a sinistra, semplicemente perché l'azienda costruttrice ha deciso che in quel particolare incrocio stradale è meglio svoltare a destra e non a sinistra. Ma quello che è meglio per me non posso deciderlo io?
La Gazzetta del pirata: La stampa tradizionale, spesso prona ai desideri dei poteri forti, difficilmente si occuperà a fondo della questione e, se lo farà, si muoverà con il solito colpevole ritardo e con le usuali sparate sensazionalistiche. Una vera informazione al riguardo sembra dover passare attraverso la divulgazione online (http://www.no1984.org/). Potrà risultare sufficiente?
Masini: Purtroppo il TC sta diventando realtà. Esiste già dell'hardware sul mercato che implementa le caratteristiche del TC, come riportato su http://www.no1984.org/Hardware_TC-compliant. Sicuramente, vista la grande ignoranza sul TC, l'informazione è fondamentale per arrivare a sensibilizzare le persone. A tal proposito sono state portate avanti dal gruppo no1984.org varie iniziative, dalla traduzione in italiano di un filmato divulgativo sul TC, alla traduzione di altri documenti inerenti al TC, alle bozze per volantini, ai contatti con altre organizzazioni.
L'importante è che l'opinione pubblica sia adeguatamente informata per poter decidere in maniera consapevole quale azione intraprendere, quale dispositivo acquistare, ...
Lo scandalo del rootkit di Sony ha fatto arrabbiare gli autori dei brani distribuiti da tale casa discografica poiché il mercato aveva risentito della notizia, provocando nei consumatori la riduzione degli acquisti di tali CD. Quindi l'informazione è importantissima, poi l'azione la decide il singolo consumatore.
La Gazzetta del pirata: Attrarre consenso in rete risulta, talvolta, molto semplice. Organizzare e coordinare le realtà esistenti in rete, al contrario, è sempre un incubo. Come vi muoverete per poter superare invidie, sospetti, gelosie, diffidenza e la becera mentalità del "proprio orticello"? Avete già avviato confronti sul vostro progetto, o incassato adesioni allo stesso?
Masini: Al momento il gruppo è ancora piuttosto giovane ma numeroso (la mailing list conta circa 500 iscritti) e dinamico. Non abbiamo niente in contrario a coinvolgere altre entità che possano aiutarci a portare avanti la campagna di informazione sul TC.
Abbiamo già ricevuto vari contatti da organizzazioni che si sono mostrate sensibili al problema.
I LUG (Linux Users Group) sono dalla nostra parte, tant'è che nel Linux Day 2005 sono stati tenuti vari talk in proposito (io, ad esempio, ne ho tenuto uno a Firenze).
Inoltre, è recente la notizia che Punto Informatico dedicherà una rubrica al TC, i cui articoli sono scritti da un membro di no1984.org.
La Gazzetta del pirata: Il timore riguardo il successo di iniziative simili nasce dalla capacità di coinvolgimento dell'opinione pubblica. Pur dando per scontato l'interesse al tema di addetti ai lavori, smanettoni ad ogni livello e smaliziati utenti p2p, per "bucare" occorre rivolgersi all'opinione pubblica e riuscire a farle comprendere i rischi del momento. Come pensate di ottenere questo risultato?
Masini: A dicembre del 2005 il TG3 Neapolis ha fatto un servizio sul TC, durante il quale è stato mandato in onda il filmato divulgativo che abbiamo tradotto in italiano.
Abbiamo cercato di contattare i media, ma per il momento, purtroppo, con scarsi risultati.
Abbiamo rilasciato interviste ad alcune radio e testate di informazione e fortunatamente mi arrivano, ad oggi, riscontri sul fatto che l'informazione sul TC si sta pian piano diffondendo.
La Gazzetta del pirata: Avete individuato come interlocutore principe il TCG (Trusted Computing Group, raggiungibile qui). Potete fornire qualche indiscrezione sull'andamento dei contatti o qualche novità ai nostri lettori?
Masini: Sebbene abbiamo affermato che siamo aperti al dialogo con le aziende che fanno parte del TCG, al momento non siamo stati contattati in proposito, quindi non possiamo annunciare niente di nuovo. Comunque cercheremo di contattare quanto prima il TCG richiedendo ulteriori informazioni sui punti più oscuri dell'architettura proposta nelle sue specifiche.
La Gazzetta del pirata: Veniamo al progetto TC. Come cambierà la vita informatica dell'utonto docg? E dell'utente p2p? E del surfista della rete?
Masini: L'utente generico potrebbe non riuscire più a vedere i propri filmini delle vacanze, o ad ascoltare le proprie registrazioni musicali. Anche le applicazioni software realizzate autonomamente potrebbero non funzionare sui computer con tecnologia TC. L'utente potrebbe addirittura essere costretto ad acquistare continuamente nuove versioni di un certo software per poter continuare ad utilizzare i propri documenti.
Molto probabilmente i software per la condivisione dei contenuti, ovvero il p2p, non funzioneranno sui sistemi con tecnologia TC (le major del settore cinematografico e musicale non vedono di buon occhio questi strumenti).
I siti web ospitati su sistemi TC-compliant potrebbero non essere visibili a navigatori con computer non TC-compliant ed addirittura alcuni siti "scomodi" a chi ha in mano il potere di farlo, potrebbero non essere più raggiungibili da nessuno né con macchine TC-compliant né con le altre.
Masini: Non vi è alcuna relazione ufficiale tra TC e DRM, anche se a dire il vero le specifiche redatte dal TCG ben si adattano all'attuazione dei meccanismi per la protezione dei contenuti digitali (DRM).
I sistemi DRM proteggono i contenuti digitali dalla fruizione impropria (essenzialmente la copia) senza tener conto di altri fattori: una persona che ha acquistato il diritto di ascoltare un brano musicale, dovrebbe avere la possibilità di ascoltare quel brano su qualunque piattaforma e su qualunque computer (magari ne possiede più di uno) e ciò non è contemplato da questi meccanismi. In più la durata temporale dei diritti di sfruttamento economico relativi ad un'opera non è illimitata, ma ha una scadenza (che dipende dal Paese considerato) oltre la quale tali diritti decadono. Per i meccanismi DRM ciò non accade.
Spesso, inoltre, tali meccanismi vengono attivati in maniera del tutto trasparente per l'utente, che non riceve alcuna informazione in proposito, tant'è che un'azienda come Sony è arrivata a far sì che i suoi CD musicali installassero automaticamente sul PC un rootkit (una sorta di virus) per effettuare particolari controlli sui brani musicali ascoltati dai CD stessi. Tutto ciò, senza avvisare minimamente l'utente.
La Gazzetta del pirata: Il TC viene "venduto" come sistema per combattere spam e virus cattivi. Ammesso che questo sia vero, il TC genera invece notevoli perplessità dal punto di vista della privacy. Proviamo ad ipotizzare i possibili abusi.
Masini: Il TC conferisce nelle mani del controllore (che non è il legittimo proprietario del dispositivo digitale utilizzato) un enorme potere. In particolare il TC è in grdo di permettere: il riconoscimento dei computer in rete (violazione della privacy); la censura di determinati contenuti digitali (ritenuti magari scomodi) anche per lo stesso autore; il privilegio di alcuni produttori software rispetto ad altri, intralciando la libera concorrenza di mercato; la fidelizzazione forzata dell'utente, che magari si vede costretto ad acquistare versioni sempre più recenti di determinati applicativi per poter continuare ad utilizzare i propri documenti; installazione sul sistema di programmi che il proprietario potrebbe non desiderare, magari per effettuare un maggiore controllo sul suo utilizzo del sistema.
La Gazzetta del pirata: Mettiamo che il TC ci stia antipatico. C'è modo di disattivarlo o violarlo e cosa comporterà questa operazione?
Masini: Dalle specifiche del TCG è prevista la possibilità di disattivare le funzionalità del TPM (Trusted Platform Module), cioè il cuore del TC. Ma le specifiche del TCG sono soltanto delle linee guida che i produttori hardware e software dovrebbero seguire per realizzare i prodotti TC-compliant. Questo però non garantisce alcunché, perché qualche produttore potrebbe non seguire le specifiche del TCG o seguirle in parte e quindi implementare funzionalità non documentate.
La Gazzetta del pirata: Il sospetto, fortissimo, è che il TC sia uno stritola-mercato e splendido strumento censoreo. Cosa si può fare contro questo mostro?
Masini: La cosa più importante è informare quanta più gente possibile, cercando di sensibilizzarla agli effetti che possono derivare da questa tecnologia. Poi il singolo consumatore farà le proprie scelte: per esempio potrebbe decidere di non acquistare dispositivi TC-compliant, ma può farlo soltanto se è a conoscenza che il TC esiste e cosa esso può comportare.
La Gazzetta del pirata: TC e software libero. Esisterà ancora?
Masini: È possibile che il software libero non sia utilizzabile su computer TC-compliant ed inoltre il suo sviluppo potrebbe essere frenato se non addirittura fermato a causa dell'introduzione di brevetti correlati all'utilizzo delle funzionalità del TC. Però in questo campo ancora le cose non sono ben chiare, anche perché non sono chiari i meccanismi con i quali un software viene riconosciuto dal sistema come trusted.
La Gazzetta del pirata: La Gazzetta del pirata ringrazia Daniele Masini e tutto no1984.org per la disponibilità.
Radio24: Bene, adesso ci occupiamo di un tema, come dicevo prima, di cui si sta cominciando a parlare in rete, ci sono alcuni punti di riferimento in rete dove il dibattito è molto acceso, ma in generale un tema di cui si parla poco. Si tratta del Trusted Computing, ma che cos'è? Mah, forse dalla parola poco si capisce, ma è con noi Daniele Masini che è membro di un gruppo che in Italia porta avanti l'informazione su questo grande progetto, sentirete poi quali sono le aziende coinvolte. Allora io saluto Daniele Masini, buongiorno, benvenuto.
Masini: Buongiorno.
Radio24: Voi siete un gruppo che... in questo caso il nome è esplicativo no1984, fa riferimento al famoso romanzo "1984" e quindi al "Grande Fratello". Vorrei parlare anche del vostro gruppo, ma subito per chiarire, per i nostri ascoltatori, vorrei che lei ci spiegasse molto brevemente che cos'è il Trusted Computing e soprattutto che cos'è questo progetto che per il momento rimane un progetto ma come dicevo molto probabilmente influenzerà e coinvolgerà la nostra vita molto da vicino. Che cos'è quello che viene chiamato TC, Trusted Computing, Masini?
Masini: Il Trusted Computing, che in italiano potrebbe essere tradotto con "informatica fidata", questa è la parola che più si avvicina, è una tecnologia hardware e software che praticamente potrebbe servire a controllare "chi può fare cosa" all'interno di qualunque dispositivo digitale, quindi non si parla soltanto di computer ma di tutti i dispositivi digitali, dal cellulare all'Hi-Fi piuttosto che appunto Personal Computer di tutti i tipi.
Radio24: Un insieme di tecnologie che favorirà il controllo?
Masini: Sì, un insieme di tecnologie che favorirà il controllo in modo da permettere di rendere più sicuri i sistemi di quanto lo siano adesso. Però come contropartita sembra che le funzionalità di questo Trusted Computing possano essere utilizzate anche per controllare che cosa fa l'utente che è il proprietario del dispositivo e per questo motivo può essere visto come una minaccia alla libertà dell'individuo stesso.
Radio24: Diciamo che in questo caso, quando facciamo riferimento alla parola "controllo" non facciamo riferimento, almeno in prima battuta non ci riferiamo al controllo che le istituzioni quindi lo Stato può o potrebbe o potrà fare nei confronti degli utenti, ma stiamo parlando delle aziende, quindi delle aziende che producono tutte le parti di un computer, dal processore che forse ha un ruolo importante in questo progetto, fino al software che noi utilizziamo. Senta, voi siete un gruppo di appassionati e avete creato un punto di riferimento nella rete che si "intitola" no1984 (lo diciamo anche agli ascoltatori, poi lo ricorderemo www.no1984.org, molto semplice). Qual è lo scopo di questo punto di riferimento in rete?
Masini: Lo scopo è l'analisi e lo studio di quelle che sono le caratteristiche tecniche portate avanti dalle aziende che fanno parte appunto di un gruppo che promuove il Trusted Computing e la diffusione dell'informazione in proposito, perché l'informazione che c'è in giro non è ancora diciamo sufficiente ad arrivare capillarmente a tutte le persone che possono acquistare qualsiasi dispositivo digitale. Quindi se si va ad acquistare un computer, difficilmente, da quello che mi risulta, si trova un negoziante che sappia almeno che cosa sia il Trusted Computing. Ecco perché è nato il gruppo no1984.
Radio24: Senta, poi torniamo sulla tecnologia e sul progetto, esiste una sorta di timore che è condiviso a livello internazionale di un controllo molto forte dell'industria sull'utilizzo che noi facciamo del computer?
Masini: Certo, esperti nel settore del software o comunque dei sistemi, del calibro di Richard Stallman piuttosto che Anderson, hanno espresso dei dubbi piuttosto fondati su questa tecnologia e quindi le loro perplessità si sono manifestate ed hanno catalizzato per questo il formarsi di un gruppo come no1984 per portare alla luce quali sono queste possibili minacce per gli utenti.
Radio24: Stiamo parlando di un progetto che vedrà la luce quando? Cioè le prime macchine, lei ci ha detto che non riguarda solo i computer ma anche telefonini, decoder per vedere la TV magari... Quando vedremo i primi prodotti, poi vedremo anche se il progetto andràa avanti secondo le specifiche attuali, insomma prima o poi qualche prodotto uscirà con questa tecnologia che poi illustreremo. Quando?
Masini: Sì. Ci sono già in commercio dispositivi che incorporano dei chip che fanno parte di questo progetto, ci sono già dei laptop, quindi dei computer, che già portano a bordo sulla propria scheda madre degli appositi circuiti per il funzionamento di questa tecnologia. Ancora non vengono sfruttati dal software, quindi dai sistemi operativi, però a breve si potrebbero avere dei sistemi operativi che li utilizzano appieno.
Radio24: Quindi a breve significa il prossimo anno?
Masini: Sì, molto probabilmente.
Radio24: Ad esempio con la nuova versione dei sistemi operativi di Microsoft come Vista...
Masini: Sì, al momento non è previsto l'utilizzo di questo chip da parte dei nuovi sistemi operativi, però in una release successiva, magari in una di quelle che loro chiamano Service Pack, potrebbe senza dubbio essere possibile mettere in atto questa tecnologia.
Radio24: Diciamo che già ci si sta preparando... Senta, allora, parlando proprio della tecnologia, facendola naturalmente molto semplice, in che cosa consiste il Trusted Computing, questo progetto, quali sono le parti fondamentali e soprattutto come vengono permessi i controlli, come le aziende realizzano i loro desideri di controllo non tanto su quello che noi facciamo ma su quello che noi utilizziamo, cioè ad esempio, la necessità che le aziende hanno di farci utilizzare software legale, che è una necessità, devo dire, legittima però poi da qua si passa molto velocemente ad altri scenari. Ecco, ci spieghi Masini in che cosa consiste il progetto.
Masini: Il progetto, che è portato avanti dal Trusted Computing Group di cui fanno parte e ne sono promotori praticamente tutte le maggiori aziende informatiche mondiali da Intel, AMD, Sun, piuttosto che IBM, Microsoft, ecc., è un gruppo che appunto porta avanti delle specifiche tecniche. Queste specifiche tecniche poi sono riprese dai vari produttori sia di hardware, quindi di dispositivi, che di software, quindi di sistemi operativi o applicazioni, e opportunamente utilizzate, queste specifiche possono far funzionare questa tecnologia. Questa tecnologia ha bisogno di dispositivi hardware, quindi chip ovvero circuiti montati fisicamente sui vari dispositivi tipo computer, cellulari, o qualsiasi altro dispositivo digitale e opportunamente comandati dal software che ci gira sopra possono garantire un certo tipo di operazioni che possono essere fatte su quel sistema piuttosto che altre. Quindi, per dirla in due parole, supponiamo che i distributori che vogliono che certi contenuti digitali siano fruibili soltanto in base a certi requisisti, quindi secondo il software utilizzato per riprodurli, vederli nel caso di film o sentirli nel caso di musica, possono decidere di abilitare la visione di un certo film o l'audizione di un file audio soltanto se si rispettano certe condizioni, per esempio se si ascoltano o se si vedono tramite un apposito software riconosciuto dal produttore X piuttosto che dal produttore Y e non per mezzo di software che l'utente preferisce utilizzare perché non ritenuti sufficientemente "sicuri" su quello che fanno sui contenuti digitali.
Radio24: Quindi diciamo che il timore non si limita, e da questo punto di vista avrebbero ragione le aziende, al fatto che noi potremo utilizzare solamente software legale, ma software con certe caratteristiche magari con certi marchi garantiti da un produttore piuttosto che da un altro e se noi utilizziamo un contenuto o un software su un'altra macchina potrebbe anche succedere, gli scenari potrebbero essere i più vari, che se pur legale quel software non funzioni sulla tal macchina, cosa che potrebbe veramente allarmare molti.
Masini: Certo, supponiamo che il software magari l'ho scritto io, che sono in grado magari di farlo, e funziona secondo determinate caratteristiche, siccome il software me lo sono scritto io probabilmente non è certificato per funzionare con i contenuti distribuiti dal produttore XY e quindi il mio software potrebbe non essere abilitato a far vedere quei determinati contenuti digitali.
Radio24: Senta, nel mondo c'è molto dibattito su questo tema, forse poco in Italia. E volevo chiederle se il dibattito è esteso anche alle istituzioni, cioè se i governi che in qualche modo dovrebbero difendere i consumatori, sottolineo dovrebbero, si occupano di questa questione. In Italia o almeno in Europa.
Masini: Al momento non ci risulta che nessun governo abbia preso in seria considerazione la problematica del Trusted Computing. Per quanto riguarda invece gli altri Paesi del mondo, per esempio il senatore Fritz Hollings negli Stati Uniti ha combattuto una battaglia per ottenere che questa tecnologia venisse imposta per legge su tutti i dispositivi digitali prodotti e commercializzati sul territorio americano. Sembra che, chiaramente queste sono voci di corridoio, alcune lobby industriali stiano facendo pressione sul Parlamento dell'Unione Europea per ottenere una cosa analoga in Europa. Ripeto, queste sono comunque delle voci di corridoio e al momento non sono avvallate da nessuna voce ufficiale.
Quello che però volevo dire anche prima è che il consorzio del Trusted Computing Group fornisce soltanto delle specifiche tecniche. Il problema è che i produttori hanno praticamente la libera possibilità di implementarle poi come vogliono sui loro prodotti. Quindi non è detto neanche che i prodotti realizzati dai vari produttori implementino per filo e per segno quelle specifiche tecniche e solo quelle, magari dentro i loro prodotti ci potrebbe essere qualsiasi altra cosa non prevista da tali specifiche, che però permetta di accedere a quel sistema da remoto, piuttosto che fare altre operazioni che non sono rese note.
Radio24: Quindi lei dice addirittura che ci potrebbero essere delle istruzioni a bordo delle macchine che potrebbero permettere il controllo della nostra macchina senza che noi ci accorgiamo di nulla.
Masini: Per esempio.
Radio24: Sebbene i sostenitori del Trusted Computing sostengono che sia una soluzione per ottenere macchine più sicure ed affidabili e meno attaccabili da virus, i critici invece dicono che l'effetto complessivo, forse anche l'intento, del Trusted Computing sia quello di imporre restrizioni irragionevoli su come gli utenti possano utilizzare i propri computer. La disapprovazione di questo progetto da parte degli esperti di sicurezza deriva dal fatto che tale tecnologia potrebbe aumentare enormemente le capacità di monitoraggio dei sistemi da parte dei produttori di hardware e software in maniera che essi possono imporre quello che gli utenti possono fare con i loro computer. Se vogliamo banalizzare, per farci capire, è come se noi utilizzasimo un'automobile e dovessimo inserire in quell'automobile un particolare tipo di carburante: con quello funziona e con l'altro non funziona, perché è il produttore che lo decide. Questo è solo uno dei risvolti di questa materia molto complessa e variegata. Dicevo, i membri del Trusted Computing Group, quelli promotori, sono pochi, li possiamo leggere assieme: AMD, Hewlwtt-Packard, quindi hp, IBM, Infineon, Intel, Lenovo, Microsoft e Sun. Poi ci sono moltissimi che si sono aggiunti, una lista molto lunga che non possiamo leggere alla radio, insomma ci metteremmo molto tempo.
Dunque, stiamo parlando di questo argomento interessante, che c'è stato tra l'altro richiesto anche da alcuni ascoltatori, io vi invito a scriverci a 2024@radio24.it, e ne stiamo parlando con Daniele Masini che è uno dei pochi in Italia, assieme al gruppo no1984 che parla e divulga questo argomento. Dunque, Masini, le faccio una domanda: potrebbe addirittura ritorcersi contro i produttori questo progetto, portando alla nascita di produttori alternativi? Magari un produttore che dice "Guarda io ti dò un computer e con quello ci puoi fare quello che vuoi, sei libero di scegliere quello che vuoi". Questo è uno scenario ipotizzabile oppure no?
Masini: Ma, innanzitutto va detto che le aziende che fanno parte di questo consorzio sono praticamente il 100% dei produttori hardware e software a livello mondiale. Il fatto che il Trusted Computing questo potrebbe spingere la nascita di altri produttori è molto difficile perché per produrre componenti equivalenti a quelli prodotti adesso sul mercato, però non TC-compliant, ci vogliono delle risorse economiche enormi per mettere su una catena di produzione di certi dispositivi che sono allo stato dell'arte, pensiamo ai microprocessori, e non soltanto ingenti somme di denaro ma anche un problema di brevetti che proteggono la funzionalità di certi dispositivi. Quindi la vedo molto difficile sul fatto che potrebbero nascere nuovi produttori di hardware che mettano sul mercato prodotti equivalenti a quelli ch potrebbero diventare domani TC-compliant, cioè che aderiscono al Trusted Computing. Direi che questa è un'ipotesi sicuramente da scartare.
Radio24: Questo è interessante... Senta, l'industria si difende dalle critiche in che modo? Perché, certo, diciamo che il Trusted Computing ha tutta una serie di giustificazioni, però giustamente voi dite che queste giustificazioni potrebbero spingersi al di là di un confine che poi è difficile da porre. Come si difende l'industria?
Masini: L'industria essenzialmente sventola questo Trusted Computing come la panacea per risolvere i problemi di sicurezza dei sistemi, quindi si pensi allo spam, piuttosto che ai virus, piuttosto che a qualsiasi attacco di tipo informatico, che potrebbe arrivare dalla rete, quindi da Internet, e questo Trusted Computing dovrebbe essere, diciamo, la roccaforte e quindi il baluardo della sicurezza che dovrebbe impedire il diffondersi di questi "flagelli telematici", diciamo così. La difesa dei produttori chiaramente non è soltanto sul meccanismo di sicurezza per proteggere l'utente dai virus o da attacchi di tipo informatico, ma anche per la protezione dei contenuti digitali. Quindi si vuol fare in maniera che i contenuti digitali di cui fruisce l'utente generico possono avere la garanzia di essere legittimi, che non siano operazione di pirati informatici, quindi siano stati regolarmente acquistati, abbiano la licenza opportuna per essere visualizzati, ecc. Però da questo, quindi tutti i meccanismi per il controllo dei diritti digitali, i famigerati DRM ecc., da lì a dir che tutto questo meccanismo per la sicurezza da questo punto di vista dei contenuti digitali bisogna stare attenti a dove si va a parare. Perché chiaramente si entra anche nel campo legale e qui bisogna vedere quanto un Paese possa dire in materia di copyright e di diritto d'autore e bisogna stare attenti perché magari non tutti i Paesi hanno la stessa legislazione.
Radio24: Quindi, lei Masini dice che a questo punto la tecnologia va ad impattare, si collega anche alla protezione del diritto d'autore che cambia da Paese a Paese, mentre invece il Trusted Computing sarà un sistema omogeneno in tutti i Paesi del mondo. La situazione a questo punto si complicherebbe.
Allora io prima di salutarla, Masini, vorrei che lei illustrasse un paio di esempi per ricapitolare il tutto. Cosa potrebbe succedere con un computer che segue le specifiche del Trusted Computing?
Masini: Premetto che non siamo ancora in presenza di quello che gli anglosassoni chiamano "smoking gun", cioè una pistola fumante. Per cui non le posso dare con certezza quello che dico, perché ancora il Trusted Computing non è effettivo a tutti gli effetti, pertanto possiamo soltanto fare delle ipotesi possibili ma per quanto possibili rimangono sempre delle ipotesi sul funzionamento di questa tecnologia. Quindi potrebbe diventare impossibile, ad esempio, utilizzare documenti salvati con uno dei maggiori software di videoscrittura sul computer, che potrebbe essere Microsoft Word, per mezzo di un altro software che fa la stessa cosa, ad esempio OpenOffice. Perché il meccanismo del Trusted Computing mette in atto delle particolari caratteristiche che permettono soltanto allo stesso software ed allo stesso hardware, quindi alla stessa macchina ed allo stesso programma che li ha salvati di poter riaprire quei documenti. Oppure potrebbe diventare impossibile aprire un file musicale o un film con un programma diverso da quello autorizzato dal distributore stesso. Da qui le conseguenze per la libera concorrenza sul mercato potrebbero essere, volendo usare una parola anche forte, devastanti. Perché il Trusted Computing potrebbe essere utilizzato per limitare l'accesso alle reti telematiche, cioè Internet.
Il discorso è piuttosto ad ampio spettro. Noi ci siamo focalizzati sui computer e su quello che si può fare con il Trusted Computing sui computer. Però non vediamola come un problema soltanto per gli utenti di computer o comunque di chi ha a che fare con tecnologie che utilizzano computer, ma ormai le tecnologie digitali stanno in quasi tutti gli apparecchi che usiamo nella vita di tutti i giorni. E quindi il Trusted Computing diventerebbe un meccanismo per il controllo globale da parte dei produttori, perché sono loro che implementano questa tecnologia sui loro dispositivi.
Radio24: Esatto, l'eventuale problema è proprio questo...
Masini: Infatti, il discorso è grosso per questo motivo. Non è un qualcosa che riguarda gli addetti del settore informatico, ma riguarda gli utenti di tutti i dispositivi digitali, quindi tutti.
Radio24: Poi, se il controllo arriva e viene effettuato da un'istituzione o uno Stato, questo è già più accettabile anche se c'è un ricco e ampio dibattito sul tema. Ma che siano le industrie che hanno questo controllo, magari suffragato anche dagli Stati, questo è sicuramente molto più problematico.
Beh, io inviterò anche gli ascoltatori a visitare tutta una serie di siti internet che si occupano della materia. C'è molto da leggere, soprattutto è utile leggere per capirne di più. Ricordo www.no1984.org di cui il nostro ospite, Daniele Masini, è membro. Masini, io la ringrazio per essere stato con noi e le auguro buon lavoro.
