Sin dall'avvio di questa iniziativa, la visione di Microsoft
è stata creare una nuova tecnologia di sicurezza per
La piattaforma Microsoft Windows che utilizzi un esclusivo
Design hardware e software per dare alle persone
Nuovi tipi di sicurezza e protezioni della privacy
In un mondo interconnesso. Quella visione non è cambiata.
Microsoft Corporation, monopolista conclamata del mercato dei Sistemi Operativi per PC
Introduzione
La Electronic Frontier Foundation, gruppo no profit di legali, esperti di tecnologia e visionari che si batte per la difesa e la diffusione di consapevolezza sui nuovi diritti digitali dei cittadini Rete, ha di recente intrapreso un viaggio alla scoperta della Next-Generation Secure Computing Base, piattaforma integrata hardware-software basata sulle specifiche di Digital Rights Management che verranno introdotte con i prossimi sistemi operativi Windows. NGSCB è l'ennesimo acronimo alle cui spalle si cela quello che da anni è l'incubo di esperti, appassionati e accademici attenti alle evoluzioni delle tecnologie di protezione, controllo e cifratura dei dati: in una parola, il famigerato progetto Palladium. Dietro la falsa promessa di un sistema sicuro e protetto da ogni attacco, Palladium (o Trusted Computing che dir si voglia) permette a chi ha il potere (i produttori di Hollywood, l'industria del software e quella musicale) di concedere o negare a proprio piacimento i diritti di usare un certo software o di processare certi tipi di dati a chi potere non ne ha (l'utente).
L'edizione del Windows Hardware Engineering Conference (WinHEC) di quest'anno è stata l'occasione in cui Seth Schoen, membro EFF esperto di Trusted Computing, ha potuto saperne di più riguardo le intenzioni di Microsoft di implementare siffatte tecnologie, potendo scoprire più nel dettaglio come l'azienda intenda procedere e quali siano gli strumenti pratici e concettuali individuati per raggiungere lo scopo. Mr. Schoen ha così redatto una serie di quattro rapporti sul Trusted Computing in via di implementazione in quel di Redmond, e noi siamo qui a scoprire assieme a lui che cosa di interessante si ricava dalla loro lettura.
Abbiamo precedentemente riportato di come NGSCB non sarà ancora pronto, per l'uscita pubblica di Windows Vista, per includere tutte le caratteristiche di autenticazione da remoto con l'ausilio del Trusted Platform Module che fanno parte delle specifiche del Trusted Computing, ora è tempo di analizzare il contenuto delle successive, interessanti informative dell'esperto EFF.
Autenticazione sicura e cifrata delle periferiche hardware
Una delle necessità principali per i software che devono comunicare con le periferiche è sempre stata quella di identificare con certezza le informazioni "sensibili" dei device quale il produttore, la marca e il modello, e se si tratti di una periferica "virtuale" o di hardware fisicamente installato sulla macchina o in rete.
Il formato Plug-n-Play, un "insicuro" di successo
In risposta a questa esigenza, lo standard ISA Plug-n-Play e successivamente le specifiche del bus PCI hanno introdotto elementi di informazione che permettessero al sistema di identificare le schede. Per esempio, una scheda video PCI, ad una richiesta di identificazione, risponderà fornendo la sua "device class" (cioè 0300, "Controller VGA compatibile"), ID del produttore e del modello. Non esiste però garanzia che queste informazioni siano accurate: facendo leva su questa debolezza, qualcuno potrebbe imitare una periferica specifica, e mascherare i suoi prodotti per qualcosa di completamente diverso da quel che sono in realtà. Inoltre, l'identificazione avviene "in chiaro", senza l'utilizzo di algoritmi di cifratura dei dati e della comunicazione.
Proprio l'intrinseca insicurezza dell'approccio alla "device authentication" sin qui seguito, comunque, ha permesso la competizione, visto che il software deve essere progettato per essere usato su marche e schede diverse tra loro; ha permesso la proliferazione delle "Virtual Machine", software come VMware, Bochs, DOSBox, in grado di creare ambienti operativi che "mimino" sistemi diversi e capaci di "simulare" schede audio, video e periferiche virtuali che appaiono al software che deve girare nell'ambiente simulato esattamente come quelle reali. Per non parlare delle ricadute sulla privacy dell'utente, visto che se un software è in grado di identificare con certezza e dovizia di dettagli una particolare scheda può anche inviare quegli stessi dettagli Rete a Server collettori.
Device Authentication cifrata
Per ovviare a questa situazione il Trusted Computing Group, con Microsoft in testa, è quasi pronto (si parla di questo o del prossimo anno) a rendere pubbliche le specifiche su cui si baserà l'autenticazione dell'hardware in maniera sicura e cifrata. Naturalmente tutto avverrà grazie alla capacità di Windows Vista, debitamente aggiornato con i Service Pack che implementeranno Palladium in maniera definitiva, di comunicare con il Trusted Platform Module, il cuore del Trusted Computing, e di invalidare l'accesso ad hardware non debitamente certificato e autorizzato da remoto. Per non parlare dell'opportunità, per i produttori di hardware, di impedire l'emulazione delle loro periferiche all'interno delle Virtual Machine, o delle possibili ricadute sulla privacy dell'utente schedando e utilizzando i dati sull'hardware in suo possesso.
Protected Media Path, Protected Environment e software revocati
Uno dei sistemi di controllo più efficienti per la limitazione delle facoltà di scelta dell'utente escogitato da Microsoft per Windows Longhorn/Vista è il Protected Media Path. Il PMP è un progetto derivato dalla precedente iniziativa di Redmond chiamata Secure Audio Path, lavora sia sull'audio che sul video, offre un livello di sofisticazione maggiore e garantisce che l'implementazione di restrizioni DRM per i contenuti audiovisivi risulti significativamente più efficace.
I partecipanti al WinHEC hanno descritto l'iniziativa PMP come sostanzialmente motivata dallo sforzo di convincere gli Studios di Hollywood ad autorizzare la fruizione dei DVD di nuova generazione (Blu-ray o HD DVD che siano) su piattaforme Windows. Secondo i ricercatori, senza lo sforzo della maggior parte dell'industria informatica per venire incontro alle richieste degli Studios, c'è il rischio che i PC basati su Windows vengano tagliati fuori dal mercato prossimo venturo dei contenuti ad alta definizione. Giustificazione francamente debole per la bugia che porta con sé, visto che una cosa del genere non si è mai vista in passato e sarebbe tutta da verificare, ma Microsoft evidentemente pensano che una balla neanche tanto ben congegnata basti a giustificare al pubblico questo genere di ricerche, e tant'è...
Controllo selettivo dell'output e restrizioni "kernel level"
Lo schema del Protected Media Path include tutta una serie di caratteristiche che Microsoft pianifica di introdurre col tempo. Una di queste è COPP, che permette alle applicazioni di disabilitare selettivamente l'uso di particolari schede video o di un particolare canale di output su dette schede. Tale funzionalità, definita come "controllo selettivo dell'output" nel settore dell'elettronica di consumo, dà la possibilità al software e ai media cifrati di negare la compatibilità e l'esecuzione con hardware che non includa simili funzionalità. Infatti, se un produttore non implementa il controllo selettivo dell'output sulla sua scheda video, tale scheda non riceverà mai il logo "Windows approved", e potrebbe venire intenzionalmente esclusa dal supporto delle applicazioni basate su DRM che gireranno su Vista. Inoltre, PMP permetterà di gestire l'autenticazione e la comunicazione protetta del software con le periferiche secondo le specifiche che verranno pubblicate dal TCG, specifiche di cui abbiamo precedentemente parlato.
Esiste poi un ulteriore livello di restrizione, ancora più invasivo ed inappellabile, creato dalla tecnologia PMP: un layer di esecuzione "sicura" a livello di kernel, in cui opereranno driver e programmi certificati da Microsoft, chiamato Protected Environment. Tutti i componenti caricati nell'ambiente Protected Environment dovranno essere certificati e autenticati. Inoltre, il codice di programma dovrà essere realizzato seguendo le politiche imposte da Microsoft, e dovrà passare il vaglio di Redmond per poter girare nel PE.
Molto significativamente, il Protected Environment sarà soggetto ad una "Global Revocation List", gestita da Microsoft e distribuita, in revisioni successive, attraverso Windows Update e altri canali. Se un software appare nella revisione attualmente installata della global revocation list, PE non lo caricherà, o avvertirà le applicazioni che un componente revocato è stato caricato sul sistema.
Nell'ottica del PE, i driver che lavorano a livello di kernel potranno essere classificati in tre categorie diverse. Prima di tutto vi sono i driver pensati per essere eseguiti esclusivamente nel PE. Tali driver dovranno essere certificati e sottoposti a licenze restrittive, il codice dovrà essere vagliato dai controllori Microsoft che potranno, a totale discrezione dell'azienda, qualora parte di tale codice sia stata scritta in contravvenzione con le pratiche di coding accettate e incoraggiate da Redmond, revocare la certificazione.
In seconda istanza, vi sono i driver che non sono stati pensati per lavorare nel PE. Anche se tali driver non c'entrano un fico secco con le restrizioni DRM o non utilizzano funzioni di output di alcun tipo, Microsoft richiede che essi siano certificati, e si riserva il diritto di revocare la certificazione a proprio piacimento. Ad esempio, se Microsoft decide che un driver di una periferica di memorizzazione esterna su porta USB non è il linea con i suoi standard di sicurezza (magari perché il driver permette a programmi come i debugger di ottenere privilegi kernel-level), il driver può essere inserito nella revocation list. Se un driver viene revocato, l'ambiente PE non può più essere stabilito sul sistema su cui esso viene caricato. Così, se l'utente deve eseguire applicazioni che necessitino del PE per funzionare (come ad esempio i software per la fruizione dei contenuti ad alta definizione di cui parlavamo all'inizio), egli sarà fortemente incentivato a non utilizzare driver presenti nella Global Revocation List. Infine, sul gradino più basso vi sono i driver non certificati, che saranno inseriti di default nella lista dei componenti revocati.
Cosa importante da sottolineare, i driver che non sono ancora stati vagliati da Microsoft e che quindi non risultano certificati o revocati, possono comunque essere caricati anche in presenza del PE, almeno fin quando non arrivano all'attenzione di Microsoft. Come conseguenza pratica, gli utenti possono continuare a produrre software che vìolano le policy di sicurezza del PMP fintanto che questi stessi software non divengono di pubblico dominio.
Eliminare le possibili scappatoie
Allo stato attuale del progetto, il Protected Media Path (con inclusivo il PE) inserito in Windows Vista non farà uso delle capacità dell'hardware del Trusted Computing per impedire il reverse engineering, quindi sono ancora possibili attacchi di tipo software ai meccanismi di protezione, ancorché questi siano stati resi più resistenti ed efficaci in virtù del loro funzionamento ad un più basso livello di astrazione rispetto al codice macchina che controlla da vicino l'hardware del PC. Nulla vieta di ipotizzare però che future versioni o Service Pack di Windows potrebbero cominciare ad utilizzare il Trusted Platform Module, il modulo per la comunicazione cifrata e protetta tra hardware e software recentemente integrato da Intel nei suoi Pentium D, per impedire la modifica del codice di controllo del PMP, e a quel punto la cosa si farebbe molto più complicata (addirittura, si parla dell'uso del TPM per il Windows Product Activation di Windows Update, cosa che, se si realizzasse, renderebbe virtualmente impossibile escludere l'uso del chip mentre si continua ad usare Windows).
Il PE stabilito dal Protected Media Path con la "Global Revocation List" è esattamente quel che Microsoft ha sempre sognato, perché dà un potere enorme Compagnia (e alle Major) per obbligare l'utente ad utilizzare solo il software che piace a Redmond. In un ambiente siffatto, ad esempio, se l'utente non utilizza i Media Player certificati, potrà essere costretto a dover disinstallare i software non certificati per poter usufruire dei contenuti ad alta definizione.
Nonostante ciò, la possibilità di raggirare i controlli e infrangere il copyright è comunque ancora presente. È possibile, in linea teorica, creare e certificare driver che "rompono" deliberatamente lo schema di controllo di PMP/PE ed essi risulteranno efficaci fintantoché Microsoft non saprà nulla della loro esistenza. Persino se Microsoft venisse a conoscenza del driver e lo includesse nella revocation list, basterebbe utilizzare una revisione precedente della lista in cui il driver "grimaldello" passi inosservato per fregare PMP/PE.
Appare evidente, allo stato attuale delle considerazioni che è possibile fare sulla tecnologia, che chi ha potere avrà ancora più potere, e potrà controllare in modo estensivo in che maniera l'utente potrà utilizzare il sistema. Nel mentre, non fermerà di certo chi ad esempio vorrà, avendone le capacità, produrre copie non protette di film originali e rilasciarle al pubblico.
CGMS-A e la chiusura del "buco analogico"
Per anni l'Industria cinematografica americana ha risposto alle dure critiche sugli effetti delle restrizioni DRM sul principio del fair use, sostenendo che all'utente era sempre concesso usare canali di output analogici per creare una copia (possibilmente di qualità inferiore) di lavori protetti dai diritti d'autore da riutilizzare per applicazioni che fossero in accordo con la suddetta dottrina. Stante questa possibilità, hanno detto gli Studios, la copia privata non viene eliminata del tutto dalle DRM.
Priorità numero uno: chiudere il "buco"!
Nonostante questa enunciazione, Hollywood si sta da tempo muovendo sulla strada opposta, portando avanti una campagna atta a stigmatizzare e caratterizzare la copia analogica come un buco, una falla negli schemi di controllo dei diritti degli utenti sull'utilizzo dei contenuti. Un "buco analogico", appunto, e il tentativo di far percepire, nella tipica, apparente schizofrenia di chi predica bene e razzola male, quelle stesse tecniche definite come una protezione per il fair use e la copia personale come una scappatoia indesiderata, intollerabile dal mondo sicuro e teoricamente perfetto che dovrebbe nascere da tutta questa DRM-mania.
Le intenzioni dei produttori cinematografici sono quelle di cercare la collaborazione delle grosse aziende informatiche a sostegno di questa loro opera di stigmatizzazione, nella speranza che queste, anche se non sussistono obblighi legali per farlo, si muovano nella direzione di implementare misure restrittive sull'utilizzo di standard e tecnologie aperte. Nemmeno il contestatissimo Digital Millennium Copyright Act, infatti, sostiene che le tecnologie che hanno a che fare con formati aperti e non cifrati debbano essere regolamentate dalle stesse restrizioni vigenti sul materiale protetto. Hollywood quindi non ha scelta, deve spingere, con tutti i mezzi a sua disposizione, i Player che guidano il mercato informatico a chiudere quel maledetto buco analogico.
Le Major chiamano, Microsoft risponde...
La prospettiva di un accordo tacito tra industria dello spettacolo e Big dell'ICT è diventata oltremodo plausibile da quando Microsoft, già convinta, come detto, della necessità di doversi accattivare il baraccone Hollywoodiano per farci vedere gli HD DVD su Windows Vista, si è messa al lavoro per implementare la compatibilità delle specifiche dettate dal Copy Generation Management System for Analog (CGMS-A per gli amici) nel suo prossimo Windows.
CGMS-A è un sistema di protezione dei contenuti trasmessi attraverso le più svariate fonti analogiche (TV, trasmissioni via cavo, satellite, ...) che permette a chi emette il segnale di specificare se e in che misura il contenuto è duplicabile. Il sistema codifica una coppia di bit di controllo nel VBI del segnale analogico del video, con lo scopo di indicare uno dei seguenti vincoli:
- La copia libera è permessa;
- La copia è strettamente proibita;
- Una sola copia del materiale è permessa;
- Questa è una copia di materiale per cui solo una copia era permessa, quindi ulteriori copie non sono autorizzate.
L'informazione di controllo trasportata dal segnale è preservata quando il segnale viene riversato e rivisualizzato su schermo da un registratore analogico (come il videoregistratore VHS, ad esempio), che ovviamente non è in grado di interpretare il significato specifico dei bit della protezione. Qualora l'utente provasse a riversare il medesimo segnale su un dispositivo digitale capace di "leggere" CGMS-A, invece, le restrizioni potrebbero far sentire tutto il loro effetto.
Il DMCA americano specifica che non è obbligatorio implementare CGMS-A in ogni caso e su ogni periferica, quindi progettare sistemi compatibili è un favore fatto alle Major, non un obbligo di legge. E pare proprio che Microsoft sia fermamente intenzionata a farglielo, questo favore, non si sa bene in cambio di cosa o di quale concessione...
Questa tacita collaborazione si concretizzerà nella forma di Protected Broadcast Driver Architecture (PBDA), tecnologia di protezione che verrà inclusa in Vista o nei suoi successori. PBDA verrà usato per applicare restrizioni DRM con Windows Media 10 alla ricezione di trasmissioni video in formato broadcast, o anche da segnali analogici provenienti da un dispositivo di acquisizione esterno. La tecnologia permette di definire in maniera flessibile un particolare tipo di restrizione o limitazione alla copia/fruizione del segnale video, in accordo con i voleri e le richieste di un particolare produttore. Nel caso delle specifiche CGMS-A, PBDA si incaricherà di criptare il flusso video (in origine non cifrato) in entrata da una periferica di acquisizione con le DRM di Windows Media 10 se i bit di controllo nel flusso codificano una restrizione da copia. Se il segnale analogico è marcato con il flag di "Copia Proibita", PBDA può impedire del tutto la sua registrazione sul sistema.
Naturalmente, l'interpretazione dei bit di CGMS-A necessita di hardware progettato e realizzato in modo specifico, e c'è da scommettere che Microsoft farà di tutto, ad esempio attraverso il sistema dei logo di certificazione della piena compatibilità con Windows, affinché i nuovi prodotti hardware e software siano compatibili con PBDA. Una simile politica tenderà ad emarginare i prodotti capaci di ignorare le restrizioni CGMS-A, visto che è estremamente difficile, sostengono i produttori di periferiche, realizzare profitti nel mercato del multimedia su piattaforme Windows senza partecipare ai programmi di compatibilità e di certificazione del Big di Redmond.
Con tutte le evidenze del caso, Microsoft si appresta a ricreare un mercato in cui i prodotti permetteranno agli utenti di utilizzare i contenuti multimediali nei modi permessi dalla legge sul copyright o, per meglio dire, nei modi che i produttori e le grandi Etichette (una volta le si chiamava Multinazionali dell'Intrattenimento) maggiormente prediligono...
Questo è solo l'inizio...
Il lavoro di Mr. Schoen ci permette di osservare più da vicino come le tecnologie di sicurezza e di controllo pensate da Microsoft per la piattaforma integrata Next-Generation Secure Computing Base siano in piena fase realizzativa. Conoscere NGSCB, aka Palladium, e quel che del progetto originale del Trusted Computing Group è stato finora concretizzato, a livello di specifiche tecnologiche se non di prodotti commerciali veri e propri, permette di avere una maggiore consapevolezza del punto a cui sono arrivati i padroni dell'informatica e le toti-potenti industrie dello spettacolo e dell'intrattenimento nella loro eterna corsa all'implementazione di controlli DRM sempre più invasivi e limitanti delle nostre "libertà digitali".
Palladium rappresenta, a memoria d'uomo, il tentativo più compiuto e strutturato di rendere concreta la volontà di dominio e di controllo da parte dei Potenti dei tempi moderni su tutto ciò che passa sui nostri sistemi informatici e nelle nostre vite digitali, una "estensione" dell'esistenza sempre più presente e diffusa.
È bene averlo sempre in mente: al centro del Progetto Palladium non c'è l'utente, ma l'industria. La libertà di scelta e di fruizione, la capacità dell'homo informaticus di discernere col proprio autonomo intelletto le conseguenze delle proprie scelte, se utilizzare il P2P per scaricare un DivX o acquistare un DVD originale, è una variabile non più necessaria nell'equazione perfettamente bilanciata del mondo asettico controllato dalla "gabbia" teoricamente infrangibile delle autenticazioni da remoto, le periferiche certificate, i flussi audiovisivi cifrati e codificati con una licenza su cui non abbiamo il benché minimo controllo. E purtroppo, come recentemente appreso (vedi C'è Palladium dentro i futuri Mac?), non esiste alternativa che tenga: nel Gruppo ci stanno tutti, e tutti partecipano alla realizzazione del Trusted Computing. Il recente switch di Apple che ha deciso di adoperare processori Intel per le sue nuove macchine rende l'amalgama ancora più facile e agevole.
Il Trusted Computing ci promette un'informatica sicura, priva di falle e a prova di virus, worm e malefatte di hacker desiderosi di "zombificare" il nostro PC in rete per poterlo utilizzare in attacchi coordinati a nostra totale insaputa. La storia dell'informatica insegna che un sistema di protezione infallibile ancora non esiste, e quel che finora si può vedere e giudicare di Palladium è che di certo esso renderà il PC un'entità a se, totalmente distante dai nostri voleri e dai nostri desideri: sarà come avere un alieno in casa. Se poi un PC "trusted" sia ANCHE un PC sicuro, beh... è una cosa ancora tutta da vedere...
MegaLab.it rispetta la tua privacy. Per esercitare i tuoi diritti scrivi a: privacy@megalab.it .
Copyright 2008 MegaLab.it - Tutti i diritti sono riservati