Untrusted/ Fuga da Alcatraz

Untrusted/ Fuga da Alcatraz

Molti ritengono di poter sfuggire ai sistemi
blindati. Si possono scegliere PC trusted-free? O disabilitarne le
funzioni sgradite? La soluzione � una sola, ed � su una strada tutta in
salita

di Alessandro Bottoni – da punto-informatico.it del 10.03.2006

Le… scappatoie
Ci si pu� sottrarre al Trusted Computing? Se si, come? Da un punto di vista concettuale, o “tassonomico”, esistono sei modi diversi di contrastare il Trusted Computing.

Evitare di acquistare prodotti “contaminati” da TC
Questa
� esattamente la soluzione che propongono le aziende promotrici del TC:
“Se il TC proprio non vi piace, allora non compratelo. Noi siamo solo
aziende, non enti legislativi nazionali o sovranazionali. Non possiamo
imporre a nessuno di usare qualcosa che non vuole usare. Se questa
nostra proposta tecnologica non vi piace, allora acquistate prodotti
che ne sono privi”.

Rassicurante, certo, ma sar� davvero
possibile acquistare prodotti non “contaminati” da tecnologie DRM in
futuro? A giudicare dall’elenco delle aziende coinvolte, a vario
titolo, in questo progetto, acquistare prodotti non-TC sul libero
mercato potrebbe diventare molto difficile nei prossimi anni. Tra gli
oltre 100 soci del Trusted Computing Group ci sono tutte le principali
aziende del settore. Ci sono aziende che detengono larghissime fette di
mercato, come Microsoft, Sony, Intel, IBM, AMD, Nokia, Motorola e
Siemens, ma soprattutto ci sono le aziende che detengono i brevetti
fondamentali che sono necessari per produrre chip e CPU. Senza una loro
autorizzazione, le altre aziende non possono produrre nulla. Basta
consultare la pagina Current members del sito del TCG per rendersene conto.

Come gi� sottolineato nell’ultima release di Untrusted,
anche la stragrande maggioranza delle aziende che non fanno parte del
TCG ha comunque espresso l’intenzione di sviluppare e adottare
tecnologie TC di qualche tipo. Questo � il caso di VIA Technologies con
la sua tecnologia Padlock e di Cisco con le sue soluzioni NAC.
Francamente, sembra proprio che presto diventer� molto difficile
acquistare sistemi non-TC dai nostri fornitori abituali.

Disabilitare il TC
Quando si fa notare alle aziende
promotrici che presto potrebbe essere impossibile acquistare prodotti
non “contaminati” da TC, la loro risposta � spesso la seguente: “Nessun
problema: il TC pu� anche essere disabilitato. In questo caso, il
vostro PC si comporta semplicemente come un PC convenzionale”.

Questo naturalmente � vero. Per disabilitare il Trusted Computing, basta disabilitare alcune funzioni fondamentali del TPM (Fritz Chip),
come le “endorsement key”. Il BIOS ed il firmware dei PC “trusted”
dispongono di tutti gli strumenti necessari a questo scopo.
Queste
procedure, tuttavia, fanno in modo che il sistema non venga pi�
riconosciuto come sistema “affidabile” dai server di rete e dalle altre
macchine. Il risultato netto � che nessun documento (file di testo,
file musicale, film etc.) che sia stato protetto con tecniche DRM
basate sul TC potr� pi� essere “aperto” e “consumato” sulla macchina in
nostro possesso. Nello stesso modo, i servizi protetti da sistemi
basati sul TC, come l’home banking, certi negozi online e via dicendo,
non saranno pi� accessibili.

In pratica, in un universo
TC-compliant come quello che ci aspetta, disabilitare il TPM equivale a
tagliarsi fuori dal mondo con le proprie mani.

Crackare il Fritz Chip
“Crackare
il Fritz Chip” � una frase priva di senso. Il Fritz Chip (TPM) non � un
soldatino di silicio messo a guardia della nostra macchina (e dei
nostri comportamenti), pronto ad intervenire al minimo allarme
“bloccando” le nostre azioni o quelle del nostro software. Il Fritz
Chip � una funzionalit� della piattaforma che deve essere
presente per poter accedere a documenti e servizi che sono stati
protetti con questa tecnologia, esattamente come � necessaria la
stampante per stampare su carta. “Uccidere” il Fritz Chip, in un modo o
nell’altro, avrebbe solo il risultato di rendere questi documenti e
questi servizi per sempre inaccessibili.
Il Fritz Chip ci serve vivo e vegeto. Semmai il problema � di convincerlo a fare le cose che noi vogliamo che faccia, invece di quelle per cui qualcun’altro lo ha creato. Quello che ci serve � un emulatore.

Emulare il Fritz Chip
Emulare
il Fritz Chip corrisponde in un certo senso a riprendere il controllo
su di esso e sul nostro sistema. Un Fritz Chip emulato in hardware o in
software, infatti, sarebbe un Fritz Chip concepito per soddisfare i nostri desideri e per rispondere ai nostri ordini, non a quelli di qualcun’altro.

Come abbiamo gi� spiegato nei primi articoli di questa serie, secondo le specifiche del TCG, il Fritz Chip deve agire in nome e per conto del proprietario dei dati che devono essere trattati.
Ad
esempio, un negozio online, prima di concederci il privilegio di
scaricare sul nostro PC l’ultimo preziosissimo brano sanremese,
potrebbe voler controllare che sul nostro PC non siano presenti
programmi o componenti hardware in grado di scavalcare il sistema DRM
messo a protezione del file. A questo scopo, il nostro fornitore pu�
liberamente usare le funzionalit� di “remote attestation” che vengono
gentilmente messe a sua disposizione dal TPM presente sulla nostra macchina (pagato con i nostri soldi).

Naturalmente,
questo funziona solo se il server del nostro fornitore pu� essere
sicuro che il nostro � un vero TPM, costruito da una azienda del TCG
seguendo tutti i dettami dello standard, e non uno “zombie” hardware o
software che agisce sotto il nostro controllo. Il nostro zombie
potrebbe facilmente raccontare al server remoto tutto quello che vuole
sentirsi dire, indipendentemente dalla reale situazione del nostro PC.
Per questo motivo (ma non solo per questo) il TPM � dotato di una
coppia di chiavi RSA a 2048 bit, mantenute al sicuro al suo interno,
che possono essere usate, direttamente o indirettamente, per stabilire
l’esatta identit� del chip (e del sistema su cui � installato). In
questo modo, � possibile verificare che il Fritz Chip appartenga ad una
serie di chip realmente prodotti da una certa azienda e che non si
tratti quindi di un emulatore. Nel gergo del TC, queste chiavi si
chiamano “endorsement key”.

L’uso di questa tecnica di verifica richiede per� la creazione e l’uso di un database centralizzato
delle endorsement key che corrispondono ai chip “reali”. Un simile
database ha delle pesanti implicazioni per la privacy degli utenti e
non pu� essere creato con leggerezza. La reazione del “pubblico” alla
creazione di un simile database sarebbe sicuramente molto pi� feroce di
quella che ha gi� portato nel 2000 all’abbandono dei “serial number”
sulle CPU Intel dopo lo scandalo del Pentium III.
Tutto questo senza nemmeno parlare di cosa succederebbe se questo
database di chiavi RSA finisse sotto il controllo di qualche
malintenzionato o di qualche governo totalitario.

Deve essere
stata questa la motivazione che ha spinto Apple a non usare un database
delle endorsement key per impedire l’uso di emulatori (vedi i numeri
precedenti di questa rubrica). Da quando � passata ad una architettura
Intel come quella dei comuni PC, Apple usa un TPM
per impedire l’installazione del suo prezioso sistema operativo MacOS X
su dei volgari PC generici. Il controllo che viene fatto, tuttavia, si
limita a verificare la presenza di un TPM funzionante, qualunque
TPM (vedi http://wiki.osx86project.org/). Per questo alcuni hacker,
come Maxxuss, sono riusciti ad usare un emulatore software di TPM per
installare MacOS X sui PC.

In questo momento, non � ancora
chiaro se Apple ed altre aziende decideranno mai di creare un database
di endorsement key “autorizzate” come quello che abbiamo appena
descritto. Di sicuro questo database � necessario per usare
alcune funzionalit� del TPM che sono di importanza cruciale per molti
operatori economici presenti sul mercato. Se poi le aziende del TCG
avranno il coraggio di sfidare l’opinione pubblica, e le leggi sulla
privacy di alcuni paesi, con iniziative del genere, � ancora tutto da
vedere.

Da un punto di vista strettamente tecnico, bisogna
comunque tener presente che installare un emulatore software di TPM su
un comune PC � sicuramente pi� semplice che tentare di installarlo su
un PC dotato di un proprio TPM hardware e quindi verosimilmente in
grado di difendersi da attacchi di questo tipo
L’unica via
Ritorcere il TC contro i suoi ideatori
Si
pu� anche pensare di ritorcere la tecnologia TC contro i suoi stessi
ideatori, ad esempio usandola per tagliare fuori da alcuni importanti
settori di mercato le aziende del TCG. Il problema �: quali settori?

Come
abbiamo detto in precedenza, le aziende del TCG, nel loro insieme,
detengono praticamente il monopolio mondiale della produzione di
hardware ed il controllo di quasi tutti i brevetti del settore. Al loro
fianco, in questa iniziativa, si sono schierate le pi� grandi
associazioni mondiali di case editrici musicali e di case
cinematografiche, come la RIAA e la MPAA. Pensare di piegare alla
volont� dei cittadini questi colossi estromettendoli, ad esempio, dal
mercato del software libero o da quello dei contenuti liberi, �
francamente una pura illusione.

Una situazione analoga si
potrebbe verificare su Internet. In un ipotetico mondo TC-compliant, in
cui � concesso di collegarsi alla Rete solo a chi dimostra di attenersi
a determinate regole (stabilite dalle aziende e/o dalla legge), si pu�
sicuramente pensare ad una Internet “alternativa” e libera, costruita
con tecnologie VPN e/o con tecnologie wireless. Il problema �: per
farci cosa?

Una internet come questa sarebbe tagliata fuori da
tutti i servizi commerciali, dai servizi di informazione e da ogni
altra cosa che fa parte della nostra vita civile cos� come la
conosciamo. Sarebbe condannata ad essere una “darknet” popolata di
oscuri personaggi in cerca di anonimato. Il genere di posto in cui non
lascereste mai entrare vostra figlia da sola.

Regolarne l’uso per vie legali
Diciamolo:
l’unico vero modo per sottrarsi ai nefasti effetti del TC � quello di
renderlo illegale o, pi� esattamente, di regolarne l’uso per legge.

Una
azione legislativa, anche solo a livello nazionale, che impedisse ai
produttori di installare TPM ed altre diavolerie sui PC, e sugli altri
dispositivi digitali, avrebbe sicuramente un effetto dirompente sul
cartello di aziende che promuove questa tecnologia. Nessun manager sano
di mente � disposto a perdere un mercato capace di assorbire milioni di
sistemi all’anno, come quello rappresentato da una intera nazione. In
particolare, nessuno ha voglia di iniziare una guerra con un governo
qualunque, sapendo benissimo in partenza che molti altri seguiranno il
suo esempio non appena la popolazione, ed i politici, di mezzo mondo si
renderanno conto della posta in gioco.

Come anticipavo poco
sopra, tuttavia, la vera soluzione al “problema del Trusted Computing”
non � tanto quella di renderlo illegale, quanto piuttosto quella di
regolarne l’uso. Questo per due ragioni: da un lato il TC pu�
effettivamente fornire all’utente finale dei vantaggi in termini di sicurezza. Si tratta pi� che altro di eliminare le “feature” che sono utili a controllare
l’utente, invece che a proteggerlo. Dall’altro, una soluzione
“regolamentata” non presterebbe il fianco a pericolose contestazioni di
carattere politico.

Da un punto di vista strettamente tecnico,
regolare per legge l’uso del TC � abbastanza facile. Si tratta
sostanzialmente di stabilire i seguenti principi.

1) Divieto assoluto di usare le “endorsement key” presenti sul sistema
per identificare il sistema stesso, i programmi da esso utilizzati e
l’utente. Libert� di usare a questo scopo delle Smart Card rimovibili
ed un apposito lettore. Le Smart Card possono essere fisicamente
distrutte o rimpiazzate, all’occorrenza, senza distruggere o
rimpiazzare il sistema nel suo complesso. In questo modo si svincola l’identit� dal sistema e dall’utente.
Da un lato, questo permette un pi� facile controllo della propria
“identit� digitale” da parte dell’utente, dall’altro impedisce ai
fornitori di legare il consumo di prodotti e servizi ad una specifica
macchina (che potrebbe essere gi� stata certificata come “affidabile”
al momento della produzione).

2) Divieto assoluto di esaminare
la macchina dell’utente (Remote Attestation). Che cosa l’utente
utilizzi per consumare un prodotto od un servizio, deve (ripeto: deve)
essere un suo personalissimo problema. Il fornitore non ha n� la
necessit� n� il diritto di esaminare la macchina dell’utente prima di
fornirgli prodotti o servizi di nessun genere. Il modo migliore di
ottenere questo risultato � probabilmente quello di permettere
all’utente di “sovrascrivere” deliberatamente il certificato di
attestazione che viene generato dal TPM, cio� la cosiddetta tecnica di
“owner override” proposta da Seth Schoen di EFF.

3)
Pur non essendo un problema specifico del TC, sarebbe anche necessario
stabilire per legge che i sistemi DRM debbano seguire strettamente
quanto prescritto dalla legge in termini di diritto d’autore e non
possano permettersi di fare nient’altro. Ad esempio, se il diritto
d’autore scade 70 anni dopo la morte dell’autore, il DRM deve
“liberare” i contenuti che tiene in ostaggio dopo quella data. Nello
stesso modo, i sistemi DRM non devono assolutamente permettersi di
installare rootkit o strumenti di user tracing, come � gi� successo
(vedi il caso Sony/BMG).
Stabilire questi principi � necessario per evitare che i sistemi DRM
basati su TC, che sono sostanzialmente inviolabili, diventino veri e
propri strumenti di controllo sull’informazione, e sui dati, e quindi
strumenti di potere.

Naturalmente, ci� che � facile sul piano
tecnico potrebbe benissimo non esserlo sul piano politico, ma questa �
davvero un’altra storia.

Alessandro Bottoni
http://laspinanelfianco.wordpress.com/

Link utili
Aziende che fanno parte del TCG
Emulatore software di TPM per Linux
Maxxuss

Image for: Untrusted/ Fuga da Alcatraz