Dalla Rsa Conference esce una visione della security più consapevole, rassicurante e aderente agli standard. Ma anche uno Windows più protetto sistematicamente, con i token che generano password dinamiche, “usa e getta”.
25 febbraio 2004
L’annuale edizione della Rsa Conference (la tredicesima, tenutasi a San Francisco) cioè di quell’evento che si propone come l’appuntamento più importante dell’anno per quanto riguarda la sicurezza It, ha fatto comprendere che qualcosa, in campo security sia effettivamente cambiato. Per comprenderlo è bastato notare la presenza, accanto a Rsa Security, di una gamma di sponsor della manifestazione che comprende società molto eterogenee e anche in competizione tra loro come Microsoft, Sun, Computer Associates, Hp, Symantec, Nokia. Ciò sancisce, da una parte, la testimonianza che la sicurezza rappresenta davvero un elemento trasversale e, dall’altra, il riconoscimento della competenza tecnologica di Rsa e del suo contributo alla costruzione delle soluzioni di sicurezza It.
Art Coviello, presidente e Ceo di Rsa Security ha delineato, infatti, un approccio incentrato attorno al concetto di “confidence” ovvero della fiducia che l’utente deve poter riporre nelle soluzioni informatiche e che va costruita attorno ai tre pilastri delle applicazioni abilitate al Web, degli standard e della sicurezza.
«Solo poco più di un utente di Internet su cinque utilizza il Web per effettuare transazioni finanziari– ha precisato Coviello, facendo riferimento ai dati di una ricerca Forrester -. Il motivo non è legato a questioni di costo, di storage o di prestazioni, ma alla mancanza di fiducia».
La ricetta per affrontare questo problema proposta da Rsa, dunque, è quella di continuare a educare e costruire “awareness” attorno alla sicurezza e prevedere, nel contempo, una sorta di obbligo continuo a restare sicuri.
«L’It riguarda essenzialmente i business process – ha detto Coviello – e come consentire alle aziende di ottenere un vantaggio competitivo attraverso l’adozione di un’infrastruttura It».
Per il futuro il Ceo di Rsa evidenzia l’evoluzione ulteriore dei processi one-to-many verso quelli di tipo many-to-many, con enormi opportunità per le aziende che sapranno approfittarne in modo corretto.
L’adozione di standard comuni rappresenta un elemento fondamentale che Rsa affronta con un approccio top-down e un continuo lavoro all’interno di Liberty Alliance.
«Le soluzioni di sicurezza oggi esistono – ha continuato Coviello -. Nello stesso tempo non si deve esagerare ne sottostimare il rischio»“.
Altro elemento sottolineato dal Ceo è la necessità di continuare a innovare con un continuo miglioramento della difesa e provvedendo a scrivere codice più sicuro. Inoltre tratta la crittografa come elemento fondamentale per garantire la privacy e la confidenzialità.
«Si deve superare l’utilizzo della password, tropo costose da gestire e insicure».
Già, le password.
La visione di Coviello è condivisa nientemeno che da Bill Gates che ha commentato che «non c’è dubbio che con il tempo la gente si affiderà sempre meno all’uso delle password. È tempo di risolvere questi dubbi verso Internet e la sicurezza è la tecnologia che porta la confidence. Attualmente le principali modalità di attacco si inseriscono in quattro bacini che riguardano gli attacchi del network, la memoria, il web download e le e-mail ma anche l’instant messaging. In queste aree stiamo intervenendo per rafforzare la sicurezza nel rilascio di Windows Xp Sp 2».
Durante il discorso Gates ha spiegato le novità di sicurezza presenti nel Windows XP Sp 2 riguardano essenzialmente Windows Firewall, Internet Explorer e la Windows Security Center; ha definito anche alcuni dettagli della nuova tecnologia antispam “Caller Id for e-mail”.
La debolezza delle password è stata ulteriormente sottolineata da uno studio realizzato da Rsa che evidenzia il gap tra la consapevolezza del furto fi identità da parte degli utenti consumer e la loro percezione della capacità di proteggersi da questo tipo di azioni, con un utilizzo di deboli pratiche per la gestione delle password.
In questa direzione si inserisce l’accordo con Microsoft per la realizzazione della soluzione di autenticazione SecurId for Microsoft Windows, indirizzata a portare la sicurezza direttamente a livello del client in ambiente Windows. «Bisongna spostare il tema dall’autenticazione remota all’enterprise wide authentication», ha detto Coviello (il tutto sottolineato da un applauso quando Gates ha estratto dalla tasca il proprio dispositivo di strong authentication).
La soluzione permette di rimpiazzare l’utilizzo di password statiche mediante un sistema di autenticazione a doppio fattore indipendentemente dal fato che l’utente lavori on-line o off-line, sia da remoto che all’interno dell’edificio aziendale. Combina l’utilizzo di un Pin personale e segreto con l’utilizzo di un piccolo dispositivo (token) che genera in modo casuale e unico un numero a sei cifre che continua a cambiare ogni 60 secondi . Per autenticarsi l’utente deve inserire il proprio Pin e questa password valida una volta sola. L’informazione viene quindi trasmessa al software Rsa Ace Server che verfica l’autenticazione.
Grazie all’utilizzo di un Pin di identificazione personale e a questo codice, sarà possibile autenticarsi direttamente presso il desktop senza dover introdurre password.
