[FoLUG]da P.I. : di RMS "Puoi fidarti del tuo computer?"
Ivan
folug@lists.linux.it
Fri, 25 Oct 2002 12:02:15 +0200
Questa la copio integralmente, voglio che resti nell' archivio
Puoi fidarti del tuo computer?
di Richard Stallman - C'? anche Palladium nelle iniziative del Trusted
Computing, controllato dai produttori per controllare gli utenti. Ecco
perch? il guru del Software Libero parla di Treacherous Computing Stampa
Puoi fidarti del tuo computer?
25/10/02 - Stand By - di Richard Stallman
- A chi dovrebbe ubbidire il tuo computer? La maggior parte delle
persone crede che i propri computer debbano obbedire a loro e non
prendere ordini da qualcun altro. Con un progetto che chiamano "trusted
computing" (computer affidabile, ndt) le grandi corporazioni mediatiche
(incluse major del cinema e della musica), insieme ad aziende
informatiche come Microsoft e Intel, intendono far s? che il tuo
computer obbedisca a loro e non a te. I programmi proprietari hanno gi?
in passato contenuto funzionalit? malevoli, ma questo progetto vuole
rendere la cosa un dato di fatto universale.
Il software proprietario significa, in sostanza, che uno non pu?
controllare quello che il software fa; non ne pu? studiare il codice
sorgente n? modificarlo. Non sorprende che bravi uomini d'affari
individuino sistemi per utilizzare le loro capacit? di controllo e
mettere l'utente in difficolt?. Microsoft lo ha fatto in diverse
occasioni: una versione di Windows era studiata perch? riferisse a
Microsoft quali software si trovavano sull'hard disk dell'utente; un
recente aggiornamento di "sicurezza" nel Windows Media Player ha
richiesto agli utenti di accettare nuove restrizioni. Ma Microsoft non ?
da sola: il software di condivisione della musica KaZaa ? studiato per
consentire ai business partner di KaZaa di affittare ai propri clienti
l'uso del tuo computer. Queste funzionalit? malevoli sono spesso
segrete, ma anche se uno le conosce ? difficile liberarsene, perch? non
si ha accesso al codice sorgente.
In passato, si ? trattato di situazioni isolate. Il "trusted computing"
render? tutto questo pervasivo. "Treacherous computing" (computing
traditore, ndt) ? un nome pi? appropriato, perch? questo progetto ?
studiato per assicurarsi che il computer disobbedisca sistematicamente
all'utente. ? pensato nei fatti per impedire al tuo computer di
funzionare come computer general-purpose. Ogni operazione potr?
richiedere un permesso esplicito.
Il profilo tecnico fondamentale del treacherous computing ? che il
computer includa un sistema di cifratura e firma digitali, le cui chiavi
sono sconosciute all'utente (la versione di Microsoft di questo viene
chiamata "Palladium"). I software proprietari utilizzeranno questo
sistema per controllare quali altri programmi vengono fatti girare, a
quali documenti o dati pu? accedere l'utente e a quali programmi questi
dati possono essere passati. Questi software continuamente scaricheranno
nuove procedure di autorizzazione da Internet e imporranno all'utente e
al suo lavoro automaticamente tali procedure. Se l'utente non consentir?
al computer di ottenere ed imporre queste nuove procedure periodicamente
da Internet, alcune funzionalit? dei software saranno automaticamente
disabilitate.
Naturalmente, Hollywood e le industrie discografiche hanno in animo di
utilizzare il treacherous computing per i sistemi DRM (Digital
Restrictions Management) cosicch? i video e la musica scaricata possano
essere goduti soltanto su uno specifico computer. La condivisione sar?
interamente impossibile, almeno utilizzando i file autorizzati che si
potranno ottenere da queste aziende. E voi, il pubblico, avete diritto
tanto alla libert? di utilizzo quanto alla capacit? di condivisione di
questi materiali (mi aspetto che qualcuno trovi un modo per produrre
versioni non cifrate, pubblicarle e condividerle, cosicch? il DRM non
avr? un successo completo: ma questo non giustifica il sistema stesso).
Rendere la condivisione impossibile ? gi? abbastanza antipatico, ma le
cose andranno peggio di cos?. Ci sono progetti per utilizzare le stesse
funzionalit? per le email e i documenti, con il risultato di email che
spariscono in due settimane o documenti che possono essere letti solo
sui computer di una azienda.
Immaginate di ricevere dal vostro capo via email l'ordine di fare
qualcosa che giudicate rischioso; un mese dopo, quando scoppia il caso,
non potrete utilizzare l'email per dimostrare che la decisione non ?
stata vostra. "Un ordine per iscritto" non vi protegge quando ? scritto
con l'inchiostro simpatico.
Provate ad immaginare una situazione in cui ricevete un'email dal vostro
capo con una policy che ? illegale oppure moralmente inaccettabile, come
distruggere i documenti contabili dell'azienda o consentire ad una
pericolosa minaccia per il vostro paese di farla franca. Oggi queste
cose possono essere inviate ad un reporter per denunciare tali attivit?.
Nel treacherous computing, il giornalista non potr? leggere il
documento; il suo computer si rifiuter? di obbedirgli. Il treacherous
computing diventa un paradiso per la corruzione.
Word processor come Microsoft Word potrebbero utilizzare il treacherous
computing quando salvano i documenti, per assicurarsi che non possano
essere letti da word processor concorrenti. Oggi noi dobbiamo carpire i
segreti del formato Word con esperimenti di laboratorio per far s? che
word processor liberi possano leggere i documenti di Word. Se Word
cifrer? i documenti utilizzando il treacherous computing quando li
salver?, allora la comunit? del Software Libero non avr? una sola
possibilit? di sviluppare software capace di leggerli, e anche se ci
riuscisse tali programmi potrebbero essere vietati dal Digital
Millennium Copyright Act.
Software che utilizzano il treacherous computing scaricheranno nuove
procedure autorizzative dalla rete di continuo, imponendole al lavoro
dell'utente. Se Microsoft, o il Governo americano, non gradisce quanto
scritto in un certo documento, allora potrebbero pubblicare nuove
istruzioni per ordinare ai computer di impedire a chiunque di leggere
quel documento. Ogni computer sarebbe cos? istruito dal download delle
ultime procedure. Quanto viene scritto potrebbe dunque essere soggetto
ad una cancellazione retroattiva nello spirito di "1984". Persino
l'autore potrebbe non riuscire a leggere quanto ha scritto.
Uno potrebbe credere di poter individuare le brutture prodotte da una
applicazione di treacherous computing, di poter studiare quanto siano
pessime e decidere quindi se accettarle. Sarebbe ingenuo e folle
accettare queste condizioni, il punto ? che l'accordo che si andrebbe a
stringere non sarebbe stabile. Una volta che l'utente inizia ad
utilizzare il software allora ? di fatto dipendente da quello; loro lo
sanno e possono cambiare gli accordi. Alcune applicazioni scaricheranno
aggiornamenti automatici che faranno qualcosa di diverso, e loro non
consentiranno all'utente di scegliere se aggiornare o meno i programmi.
Oggi ? possibile evitare le restrizioni del software proprietario non
utilizzandolo. Se si fa girare un sistema operativo GNU/Linux o un altro
sistema libero, e se si evita di installare su di esso applicazioni
proprietarie, allora si ha in mano il proprio computer. Se un software
aperto ha una funzionalit? malevola, altri sviluppatori della comunit?
la cancelleranno e sar? possibile utilizzare la versione corretta. Si
possono anche far girare applicazioni e tool liberi su sistemi operativi
non liberi; questo non consente una piena libert?, ma molti utenti lo
fanno.
Il treacherous computing mette a rischio persino l'esistenza dei sistemi
operativi free e delle applicazioni aperte, perch? all'utente pu? essere
impedito di utilizzarli. Alcune versioni di treacherous computing
richiederanno che il sistema operativo sia autorizzato specificamente da
una certa azienda. I sistemi aperti non potranno essere installati.
Altre versioni richiederanno che ogni programma sia specificamente
autorizzato dal produttore del sistema operativo. In un tale sistema non
sarebbe possibile far girare applicativi aperti. E se uno capisse come
farli girare, e lo dicesse a qualcuno, commetterebbe un crimine.
Ci sono gi? proposte legislative americane che imporrebbero a tutti i
computer di supportare il treacherous computing e di proibire la
connessione ad internet ai vecchi computer. Il CBDTPA (noi la chiamiamo
la legge "Consuma ma non azzardarti a programmare") ? una di queste
norme. Ma anche se non obbligassero a passare al treacherous computing,
la pressione per accettarle potrebbe essere enorme. Oggi spesso la gente
utilizza il formato Word per le comunicazioni, anche se questo causa
numerosi diversi problemi (vedi anche
http://www.gnu.org/philosophy/no-word-attachments.html). Se soltanto una
macchina con il treacherous computing fosse in grado di leggere gli
ultimi documenti Word, molti passerebbero a quella se vedessero la cosa
solo in termini di azione individuale (prendere o lasciare). Per opporci
al treacherous computing dobbiamo unire le forze e affrontare la
situazione con una scelta collettiva.
Per altre informazioni sul treacherous computing vedi
http://www.cl.cam.ac.uk/users/rja14/tcpa-faq.html.
Bloccare il treacherous computing richieder? ai cittadini di formare
un'organizzazione amplissima. Abbiamo bisogno del tuo aiuto! La
Electronic Frontier Foundation e Public Knowledge hanno gi? lanciato
campagne contro il treacherous computing e cos? sta facendo il Digital
Speech Project appoggiato dalla FSF. Per piacere, visita questi siti web
e sostieni il loro lavoro.
Una mano si pu? dare anche scrivendo agli uffici delle relazioni
pubbliche di Intel, IBM, HP-Compaq o di chiunque dal quale si sia
comprato un computer, spiegando che non si intende accettare pressioni
per acquistare sistemi "trusted" e che quindi si risparmiassero di
produrli. Questo aiuterebbe a mettere in luce il potere dei consumatori.
Chi fa da s? tutto questo ? bene che invii copia delle lettere alle
organizzazioni di cui sopra.
Alcune note finali:
1. Il Progetto GNU distribuisce GNU Privacy Guard, software che utilizza
sistemi di cifratura su public key e firma digitale, che pu? essere
utilizzato per inviare email sicure e private. ? utile esplorare quanto
GPG differisca dal treacherous computing e distinguere cosa rende uno
strumento utile e l'altro un pericolo.
Quando qualcuno invia un documento cifrato con GPG, e il ricevente usa
GPG per decodificarlo, il risultato ? un documento non cifrato che pu?
essere letto, inoltrato, copiato o persino ri-cifrato per essere inviato
in sicurezza a qualcun altro. Un'applicazione di treacherous computing
ti consentirebbe di leggere le parole su schermo ma non di produrre
qualsiasi documento non cifrato da utilizzare in altri modi. GPG, un
pacchetto di software libero, rende disponibili all'utente le
funzionalit? di sicurezza, che lo stesso utente pu? usare. Il
treacherous computing ? studiato per imporre restrizioni agli utenti,
che cos? vengono utilizzati.
2. Microsoft descrive Palladium come una misura di sicurezza e sostiene
che protegger? dai virus, ma si tratta di una tesi fasulla. Una
presentazione di Microsoft Research ad ottobre 2002 ha affermato che una
specifica del Palladium ? di far s? che i sistemi operativi esistenti e
le applicazioni continuino a girare; dunque, i virus continueranno a
poter fare tutto ci? che gi? fanno oggi.
Quando Microsoft parla di "sicurezza" riferendosi a Palladium, non
intende quello che noi tutti intendiamo con questo termine: proteggere
il tuo computer da ci? che non si vuole. Intende invece proteggere le
copie dei tuoi dati sulla tua macchina dall'accesso da parte tua in modi
che altri non gradiscono. Una diapositiva di quella presentazione
elencava alcuni tipi di segreti che Palladium potrebbe proteggere,
inclusi "segreti di terze parti" e "segreti dell'utente", ma
quest'ultima definizione era tra virgolette, dimostrando cio? che non ?
veramente questo il compito che Palladium ? chiamato a svolgere.
Quella presentazione faceva spesso uso di altri termini che noi
associamo normalmente ad un contesto di sicurezza, come "attacco",
"codice malevolo", "spoofing" e, appunto, "trusted". Nessuna di quelle
parole per? veniva usata per quello che significa normalmente. "Attacco"
non significa qualcuno che vuole aggredirti, significa che tu stai
tentando di copiare della musica. "Codice malevolo" significa codice da
te installato per svolgere funzioni che qualcun altro non vuole che il
tuo computer svolga. "Spoofing" non vuol dire che qualcuno cerca di
ingannarti, significa invece che tu vuoi ingannare Palladium. E via
dicendo.
3. Un precedente statement da parte degli sviluppatori di Palladium
afferma come premessa fondamentale che chiunque sviluppi o raccolga
informazioni debba avere il totale controllo su come tu le utilizzi.
Questo rappresenterebbe un golpe rivoluzionario dei principi etici e
dell'ordinamento giuridico, e creerebbe un sistema di controllo senza
precedenti. I problemi specifici di questi sistemi non sono dunque
casuali ma sono il risultato dello scopo fondamentale. Ed ? quello scopo
che noi dobbiamo rifiutare.
Copyright 2002 Richard Stallman
La copia e la distribuzione a piacere di questo intero articolo ?
permessa senza royalty su qualsiasi medium a patto che si mantenga
questa nota.
--
(@_ Ivan Fabris, S. Sofia (FC) PowerPC & Linux Debian Sarge _*)
//\ www.darthxiong.net setiathome.ssl.berkeley.edu /\\
V_/_ www.folug.linux.it pgp key @ www.keyserver.net _\_V
Socio Fondatore e Consigliere del Forli Linux User Group