Per Microsoft i PC insicuri andrebbero isolati dalla rete Internet. E la soluzione è l’utilizzo della tecnologia NAP, che consente di controllare lo “stato di salute” delle macchine .
Microsoft torna sulla proposta che Scott Charney, vice presidente del progetto Trustworthy Computing, aveva lanciato a fine ottobre scorso.
Secondo Charney il problema delle macchine infettate da componenti malware che le aggiungono alle cosiddette reti botnet sta divenendo sempre più importante. Per tale motivo, sempre secondo quanto suggerito dall’esponente del colosso di Redmond, i personal computer infetti dovrebbero essere isolati dalla rete Internet.
Nel suo studio, intitolato “Difesa collettiva: applicazione alla Rete dei modelli per la salute pubblica“, Charney aveva fatto esplicito riferimento ad una serie di esempi utilizzati nella sanità per proteggere il resto della popolazione dai rischi di infezione.
Come funziona la tecnologia NAP
Charney, tra l’altro, aveva anche consigliato una sempre più ampia adozione della tecnologia NAP (Network Access Protection) che, poggiando su un insieme di regole preconfigurate lato server, consente di controllare lo “stato di salute” di tutti i sistemi collegati alla rete locale ed impedire l’accesso ad Internet da parte dei personal computer che non dovessero rispettare i requisiti minimi.
NAP fornisce agli amministratori metodologie per l’accesso alle varie risorse presenti in rete locale sulla base di una policy correlata con l’identità di ogni singolo personal computer.
L’amministratore può definire anche regole atte a stabilire un livello minimo di sicurezza per ogni client della rete. Ad esempio, è possibile impostare delle policy che controllino se sul sistema in uso siano stati applicati tutti gli aggiornamenti di sicurezza, se firewall ed antivirus siano abilitati ed aggiornati e così via. I computer che non dovessero soddisfare tali requisiti non potranno accedere alla rete od effettuare certi tipi di comunicazioni.
Lo stato di ogni client della rete può essere stabilito usando non solo tecnologie Microsoft ma anche prodotti di terze parti: l’architettura di NAP è infatti interoperabile.
Charney ha voluto affrontare nuovamente il tema facendo presente come anche gli operatori che forniscono servizi web dovrebbero poter decidere per l’impostazione di determinate restrizioni basate sullo “stato di salute” delle macchine collegate. E viene fatto un esempio concreto: gli istituti bancari dovrebbero essere in grado di limitare il quantitativo di denaro trasferibile utilizzando personal computer non pienamente sicuri.
Non è però chiaro, al momento, come siti web legittimi ed affidabili possano comunicare con il sistema operativo dell’utente ed ottenere informazioni sul relativo “stato di salute” (presenza di un software antivirus aggiornato, installazione delle patch di sicurezza, utilizzo di un browser web “sicuro” e così via).
Bruce Schneier, esperto di crittografia e sicurezza informatica in generale – autore di numerosi testi sull’argomento -, ha apprezzato l’idea di Charney..
Secondo Schneier è assolutamente legittimo limitare i diritti di un individuo che espone i propri dati a notevoli rischi – non adottando le più semplici misure di sicurezza -, per il bene dell’intera società.
