[Lugge] Palladium: che ne pensate? (fwd)

  • From: Marco Cardinale <cardinal@xxxxxxxxxxxxxxxxxx>
  • To: lugge@xxxxxxxxxxxxx
  • Date: Mon, 15 Jul 2002 15:58:06 +0200 (MEST)

---------- Forwarded message ----------

Ho trovato queste notizie sulla Micro$oft e pensavo potessero interessare.
Sono fondate?
Che ne sapete di Palladium?

P.S. buona parte delle info vengono da Punto Informatico
____________

Microsoft e Intel insieme per la Soluzione Finale contro Linux (e le vostre 
libertà) (2 luglio 2002)

Se ha successo il progetto Palladium/TCPA, nei PC del prossimo futuro gireranno 
soltanto i programmi autorizzati da Microsoft o dal
potente di turno. Di conseguenza, Linux non girerà su questi nuovi PC e quindi 
in breve cesserà di esistere. Lo stesso sistema potrà
essere usato per forme di censura talmente perfette che gli utenti manco se ne 
accorgeranno. Non saremo più in grado di fare quello
che vogliamo sul nostro PC, perché quel PC non sarà più sotto il nostro 
controllo. I prototipi funzionanti di questa tecnologia sono
già fra noi. Vogliamo aspettare con le mani in mano che ci tolgano la libertà?

Se volete saperne di più su questa mostruosità, leggete questo mio articolo 
presso Apogeonline:

http://www.apogeonline.com/webzine/2002/07/02/01/200207020102

Questa è una di quelle notizie che non richiede alcuna drammatizzazione. 
Bastano i fatti.


- Approfondimenti su Palladium (6 luglio 2002)

Era prevedibile che il mio articolo 
(http://www.apogeonline.com/webzine/2002/07/02/01/200207020102) sui progetti di 
Microsoft di
cambiare l'hardware dei computer in modo da poter decidere quali programmi 
potete usare (e persino quali documenti potete leggere)
suscitasse un po' di polverone. Non posso rispondere personalmente a tutti 
coloro che mi hanno scritto, ma riassumo qui le risposte
ai dubbi e alle domande più frequenti.

Molti mi hanno scritto che secondo loro, siccome tutte le protezioni precedenti 
sono state superate, scavalcheremo anche questa.
Attenzione: le protezioni precedenti erano basata puramente sul software (che è 
facile da modificare, basta avere un PC e gli
strumenti opportuni, ossia programmi), mentre questa è basata sull'hardware. 
Alterare l'hardware richiede strumentazione: apparecchi
, insomma, il cui costo non è zero. Richiede soldi, tanti soldi, e un 
laboratorio, mentre alterare il software è una cosa che si può
fare in un angolo del soggiorno senza sporcare. Insomma, scardinare un hardware 
interamente cifrato è molto, molto più difficile che
farlo per il software. Basta considerare la fatica fatta da Andrew "Bunnie" 
Huang
(http://web.mit.edu/bunnie/www/proj/anatak/AIM-2002-008.pdf) per analizzare una 
piccola parte del funzionamento di X-Box, che è
soltanto un abbozzo incompleto di quello che sarebbe una macchina Palladium.

Altri dubitano che i produttori seguiranno l'iniziativa di Microsoft e 
produrranno soltanto computer Palladium, per cui avremo
sempre qualche fornitore da cui procurarci computer "aperti" come quelli 
attuali, su cui far girare quello che vogliamo. Sono
d'accordo: il problema è quello che succede nel lungo periodo (e in informatica 
"lungo periodo" significa quattro o cinque anni).
Inizialmente le macchine Palladium saranno poche, richieste principalmente da 
chi fa informatica senza pretese (l'utente che vuole
un PC Windows con Office, Outlook e Internet Explorer, punto e basta), mentre 
gli smanettoni continueranno a comperare PC
tradizionali.

Ma Palladium andrà a ruba negli uffici, non appena gli amministratori di 
sistema si renderanno conto che impedisce ai dipendenti di
installare nei PC aziendali ogni sorta di programmi (dai giochi ai sistemi di 
scambio come WinMx, edonkey eccetera) e di alterare il
funzionamento del computer. Sono le aziende a trainare il mercato 
dell'informatica: se smettono di comperare PC tradizionali, i loro
prezzi schizzeranno verso l'alto a causa del calo dei volumi di vendita, 
contraendo il numero di utenti smanettoni (che non potranno
permettersi un vero computer). In più, conquistando l'ambiente di lavoro, 
Palladium abituerà le nuove leve ad avere PC che non si
possono toccare e considereranno normale questo fatto, proprio come oggi si 
considera perfettamente normale il fatto che il software
del telefonino non è modificabile da parte dell'utente. Questo porterà a una 
minore diffusione della cultura informatica (hacking).

Fa niente, non compreremo i computer Palladium e ci terremo quelli vecchi, 
potreste obiettare. Il problema è che i computer non sono
eterni. I dischi rigidi si scassano, gli alimentatori si bruciano, i processori 
friggono, le lenti dei masterizzatori si appannano.
Prima o poi qualsiasi computer si guasterà. Cosa faremo quando il nostro 
vecchio Pentium IV tirerà le cuoia e nei negozi ci saranno
macchine Palladium a prezzi popolari da X-Box e PC "aperti" a prezzi da 
Porsche? La maggior parte della gente comprerà Palladium per
ovvi motivi di portafogli.

Infine c'è il problema di Internet. Potremo anche tenerci stretti i vecchi PC, 
ma per cosa potremo usarli, se Palladium (o qualsiasi
altro meccanismo del genere) prende piede? Se i siti Web funzionano soltanto 
con macchine Palladium, dove andremo? A dimostrazione
di quanto sia facile condizionare il mercato, fate un salto al sito di 
e-commerce di Agip: www.buydrive.com. Come segnalato da un
lettore di Punto Informatico (http://punto-informatico.it/p.asp?i=40807), il 
sito funziona solo ed esclusivamente con Internet
Explorer. Se usate un altro browser, il sito proprio non viene visualizzato. 
Non è un'incompatibilità del browser: è sabotaggio
bello e buono. Infatti se dico al mio browser Opera di annunciarsi al sito 
dicendo di essere Internet Explorer, tutto funziona a
meraviglia. Se gli dico di presentarsi col suo vero nome, non funziona niente.

Una cosa che il mio articolo non ha chiarito è la distinzione tra Palladium 
(iniziativa Microsoft) e TCPA (iniziativa preesistente
di varie grandi aziende nel settore hardware). Sono due progetti distinti, che 
però mirano allo stesso obiettivo: realizzare un PC
sicuro tramite una rivoluzione dell'hardware. Palladium sarebbe 
l'implementazione Microsoft di un sistema operativo sicuro, ma non è
detto che sia l'unica. La situazione, comunque, è confusa anche per gli addetti 
ai lavori, per cui ho raccolto un po' di link ad
articoli più tecnici del mio (sono quasi tutti in inglese). Come vedrete, si 
parla molto di quest'iniziativa, e se si va avanti a
parlarne così male, morirà prima ancora di nascere.

Questo non vuol dire che l'allarme è ingiustificato e possiamo tornarcene a 
dormire sotto le coperte. Palladium e TCPA faranno la
fine che si meritano soltanto se protestiamo e continuiamo a farlo ogni volta 
che qualcuno riprova a tirar fuori quest'idea balzana
(il Clipper Chip, il numero seriale dei Pentium, eccetera). E' quindi 
importante che se ne parli e si continui a farlo.

E se ne parla parecchio! ZDnet dice esplicitamente "Microsoft, ecco perché non 
possiamo fidarci del tuo sistema operativo 'sicuro'"
(http://www.zdnet.com/anchordesk/stories/story/0,10738,2873149,00.html). Da un 
altro articolo di ZDNet
(http://zdnet.com.com/2100-1107-939817.html) traggo questa frase da 
incorniciare: "Microsoft exposed its motivation for Palladium
when, on filing a core patent for the technology, it used the term Digital 
Rights Management Operating System. Far from providing
authenticity, integrity and privacy of data, Microsoft actually wants to police 
copyright laws. Now I have a major problem with
this, not least because I don't like the idea of a company that has been found 
guilty of criminal activity providing technology that
will be used to police laws."

Traduzione: "Microsoft ha rivelato il vero movente che sta dietro a Palladium 
quando ha usato l'espressione "Sistema operativo per
la gestione dei diritti digitali" come titolo di uno dei suoi brevetti chiave 
per Palladium. Lungi dal fornire autenticazione,
integrità e riservatezza dei dati, Microsoft vuole in realtà fare il poliziotto 
del copyright. La cosa non mi garba affatto, anche
perché non mi piace l'idea che un'azienda che è stata riconosciuta colpevole di 
attività criminali fornisca una tecnologia che serve
a far valere le leggi". Eh già: il processo antitrust non è ancora finito, ma 
la colpevolezza di Microsoft non è più in dubbio:
resta solo da decidere la pena.

Secondo Eweek (http://www.eweek.com/article2/0,3959,324677,00.asp), i 
produttori di computer guardano con scetticismo all'iniziativa
Microsoft. Bruce Schneier, esperto di crittografia e sicurezza, in un articolo 
di CBS News
(http://www.cbsnews.com/stories/2002/06/25/tech/main513342.shtml) dice "Se 
funziona, sarà la prima volta che succede in tutta la
storia dell'informatica." ("If this works, it will be the first time in the 
history of computing that it works"). Trovate altri
indizi su come sta andando la campagna (dis)informativa intorno a Palladium 
presso
http://www.theregister.co.uk/content/4/26037.html. Anche i giornali non 
specialistici cominciano a fare baccano: ne parla anche il
New York Times: http://www.nytimes.com/2002/07/04/business/04SCEN.html.

Per contro, ecco la rassicurante campana di Microsoft: 
http://www.microsoft.com/presspass/features/2002/jul02/07-01palladium.asp.
L'analisi meno rassicurante di Punto Informatico (in italiano) è presso 
http://www.punto-informatico.it/p.asp?i=40832. C'è anche un
possibile interesse della Commissione Antitrust dell'Unione Europea a proposito 
dei pericoli di Palladium:
http://www.theregister.co.uk/content/4/25988.html. Altri dettagli tecnici su 
Palladium:
http://www.infoworld.com/articles/hn/xml/02/07/03/020703hnsecchip.xml.

Per finire, ecco un paio di scenari "interessanti" per Palladium che non hanno 
trovato posto nel mio lungo articolo:

-- La vostra azienda ha bisogno, come capita spesso, di un programma scritto su 
misura. Per poterlo far girare su un computer
Palladium, dovrà pagare la sua certificazione. Ogni volta che vorrà modificarlo 
o correggerne un difetto, dovrà pagare una nuova
certificazione.

-- Per motivi non molto chiari, in Windows XP ogni volta che l'utente effettua 
una ricerca nel proprio computer i dati della ricerca
vengono trasmessi a Microsoft 
(http://www.theregister.co.uk/content/archive/24815.html). Oggi questo 
comportamento invadente può
essere bloccato installando un firewall non-Microsoft come Zone Alarm. In 
futuro, grazie a Palladium, Microsoft potrà vietare
l'installazione di programmi a lei sgraditi. "Perché vuoi installare un 
firewall? Ce n'è già uno integrato in XP!". Come no; quello
integrato in XP è un colabrodo, dato che blocca i programmi che cercano di 
entrare nel PC ma non quelli che cercano di uscire senza
la vostra autorizzazione.

Preoccupati? No, la cosa si evita se se ne parla. Per citare Ray Bradbury, non 
ho scritto l'articolo per prevedere il futuro, ma per
prevenirlo.

Altre info su Palladium
Presso Salon.com 
(http://www.salon.com/tech/feature/2002/07/11/palladium/index.html) c'è un buon 
articolo in inglese che presenta i
vari punti di vista sull'argomento Palladium. In gran parte conferma le 
preoccupazioni che avevo espresso nel mio articolo per
Apogeonline (http://www.apogeonline.com/webzine/2002/07/02/01/200207020102), ma 
spiega anche l'interpretazione di Microsoft di come
sarà Palladium: permetterà di suonare comunque i vecchi MP3 (almeno così dice 
Microsoft). Viene spiegata bene anche la questione che
aveva lasciato perplessi molti lettori, ossia il fatto che soltanto i programmi 
certificati gireranno sui PC Palladium. Microsoft
dice che ognuno potrà certificare i propri programmi. Ma a che prezzo, e chi 
gestirà il database delle firme digitali certificate?
Indovinate un po'.

Se ne occupa anche Wired: http://wired.com/news/antitrust/0,1551,53805,00.html. 
Il brevetto di Palladium, insieme a una nutrita
collezione di altri brevetti Microsoft su tecnologie per controllare il 
funzionamento del computer e l'esecuzione dei programmi, è
disponibile presso http://cryptome.org/ms-drm-os2.htm. E se cercate uno 
spiegone veramente tecnico di Palladium, lo trovate presso
http://vitanuova.loyalty.org/2002-07-05.html.

Punti da ponderare: Palladium sarà disattivabile (ma un PC con Palladium 
disattivato con chi potrà comunicare?) e su un PC Palladium
si potranno eseguire le applicazioni attuali, però quelle applicazioni non 
potranno interagire con le applicazioni certificate
Palladium. Esempio pratico: Windows Media Player diventerà un'applicazione che 
funzionerà soltanto in ambiente Palladium e verrà
eseguita in uno spazio inaccessibile alle applicazioni non certificate. Quindi 
gli attuali programmi che intercettano il flusso di
dati per crearne una copia sprotetta non potranno accedere ai dati per 
intercettarli. L'audio non è ancora coperto da Palladium; il
video sì, per cui certe schermate non potranno essere stampate o catturate. 
Sarà possibile fare boot con Linux in una macchina
Palladium, a patto che Palladium sia disattivato.

Comunque sia, è chiaro che Palladium non è da prendere sottogamba e ha delle 
ottime probabilità di diventare realtà.

POI C'E' QUESTA: (si vede che non ha simpatia per MS lo scrivente!)

- Microsoft si prende (di nuovo) il diritto di entrare nel tuo computer

Perché tanti informatici ce l'hanno con Microsoft? Invidia per il successo 
altrui? Frustrazione sessuale? Macché. Sentite questa.

Come forse saprete, è stata scoperta una terna di vulnerabilità in Windows 
Media Player
(http://www.punto-informatico.it/p.asp?i=40728) che, come dice l'avviso 
ufficiale di Microsoft
(http://www.microsoft.com/technet/security/bulletin/MS02-032.asp), consentono a 
un attaccante di eseguire programmi a proprio
piacimento sul vostro computer ("could be used to run code of attacker's 
choice").

Microsoft ha rilasciato una patch (correzione) che è scaricabile dal suo sito. 
La cosa interessante è che installando questa patch
compare una licenza d'uso o EULA che, stando alle mie fonti 
(http://bsdvault.net/article.php?sid=527&mode=&order=0), contiene un
paragrafo, il secondo, che autorizza Microsoft a installare automaticamente 
software a sua discrezione nel vostro computer.
Sgradevole. Come se non bastasse, lo stesso paragrafo avvisa che tale software 
installato automaticamente potrebbe rendervi
impossibile copiare e/o suonare audio e video protetti e usare altro software 
nel vostro computer.

Per gli amanti del legalese, il paragrafo incriminato è questo:

"* Digital Rights Management (Security). You agree that in order to protect the 
integrity of content and software protected by
digital rights management ("Secure Content"), Microsoft may provide security 
related updates to the OS Components that will be
automatically downloaded onto your computer. These security related updates may 
disable your ability to copy and/or play Secure
Content and use other software on your computer. If we provide such a security 
update, we will use reasonable efforts to post
notices on a web site explaining the update."

La cosa in sé, fra l'altro, non è nuova: era già stata segnalata negli atti del 
processo antitrust USA
(http://www.usdoj.gov/atr/cases/ms_tuncom/public/29/mtc-00028212.htm). L'ironia 
suprema della cosa è che la patch è progettata, dice
Microsoft, per impedire che qualcuno, dall'esterno, esegua programmi a suo 
piacimento sul vostro computer.

Che è esattamente quello che vuole fare Microsoft secondo i termini della sua 
licenza: eseguire programmi a suo piacimento sul
vostro computer.

Il fatto che la clausola dica che Microsoft "farà sforzi ragionevoli per 
pubblicare avvisi su un sito Web" significa che non ha
alcuna intenzione di far comparire messaggi informativi sul computer 
dell'utente quando viene installato automaticamente un
aggiornamento.

Per dirla breve e con le parole di The Register 
(http://www.theregister.co.uk/content/4/25956.html), Microsoft si è appena 
presa il
diritto di attaccare il vostro computer e di installarvi di nascosto il 
software che le pare. Non riceverete avvisi, non vi verrà
offerta alcuna possibilità di esaminare o rifiutare l'installazione. In altre 
parole, Microsoft avrà i privilegi dell'amministratore
di sistema sul vostro PC. Quello che ci installeranno potrebbe essere infetto 
da virus (come è capitato agli utenti coreani - e
lasciamo stare i "ben gli sta" di ispirazione calcistica - con un recente 
componente di Visual Studio .NET, infettato dal virus
Nimda direttamente in casa Microsoft, come raccontato presso 
http://theregister.co.uk/content/4/25738.html).

Il software installato automaticamente e segretamente da Microsoft potrebbe 
rendere inservibili i programmi che usate, danneggiare i
vostri dati, distruggere settimane o mesi del vostro lavoro: fa niente, non 
potete appellarvi legalmente.

Capito il motivo di tanto disprezzo?

- La patch di Media Player permette o no a Microsoft di installare segretamente 
software sui PC?

Ho scritto recentemente in questa newsletter dell'aggiornamento di Windows 
Media Player, la cui licenza di installazione conterrebbe
una licenza d'uso o EULA che autorizza Microsoft a installare automaticamente 
software a sua discrezione nel vostro computer.
L'articolo è stato riportato anche da Zeus News 
(http://zeusnews.it/index.php3?ar=stampa&cod=1313&ar2=stampa&numero=999).

Mi è arrivata una precisazione importante da un lettore (grazie Fabio): "Non 
appena letto l'articolo da te pubblicato, sono andato a
verificare di persona e installando la patch compare la solita licenza d'uso, 
ma senza quella parte da te evidenziata nell'articolo,
né alcun altro riferimento al diritto di Microsoft di installare sui nostri pc 
programmi di qualsivoglia natura. Per completezza
devo dirti che io sono andato a scaricare la patch dal sito Windows Update in 
italiano e che quindi anche la licenza è in italiano."

Ho toppato ancora? No, l'arcano è spiegato da The Register 
(http://www.theregister.co.uk/content/4/25956.html): ci sono due modi per
scaricare l'aggiornamento di Media Player. Uno è usare Windows Update, l'altro 
è un link a Microsoft Technet:

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/ms02-032.asp

Se si scarica da Windows Update la licenza non contiene quest'avvertimento. Se 
invece si scarica da Microsoft Technet,
l'avvertimento c'è; ho verificato personalmente. E questo pone qualche dubbio: 
chi scarica da Windows Update è soggetto alle stesse
condizioni di licenza? In tal caso, sono legalmente valide condizioni di 
licenza che non vengono neppure visualizzate? E se le
condizioni di licenza sono diverse, perché lo sono? Soprattutto, volete 
continuare a mettervi nelle mani di questi casinisti
invadenti?


<========----------

 Cena sociale di fine estate 2002, informazioni
 http://digilander.libero.it/robang/lugge/cena.htm

 Prima di scrivere in m-list per favore leggi il regolamento
 http://www.lugge.net/soci/manifesto.htm#list

 Archivio delle e-mail postate in lista
 http://www.freelists.org/archives/lugge/

----------========>

 Incontri in sede: martedì 15:00-18:00 e sabato 9:30-12.30
 -= Ultimo giorno in sede: 16 luglio, chiusura 17.00 =-


Other related posts: