La sicurezza è un mercato dei limoni?

Alcuni giorni orsono mi trovai a presentare un prodotto di sicurezza sviluppato da noi e contenente un’implementazione dell’algoritmo AES con chiave a 256 bit.
Tra le varie funzioni del prodotto vi è la possibilità di crittografare un file e, mentre stavo esponendo questa funzione al mio interlocutore (un responsabile dei sistemi informativi) mi sentii chiedere: “Ma chi mi garantisce che effettivamente il programma faccia quello che lei afferma? Davvero implementa una crittografia forte così come lei dice?”
Al momento rimasi sorpreso dalla questione sollevata in quanto mi aspettavo una maggior fiducia poiché l'AES è un algoritmo implementato ormai dalla gran parte delle applicazioni di crittografia. Dopo un rapido calcolo, però, decisi di svelare parte dell’arcano e di mostrare qualche riga di codice, che, fortunatamente, conservavo in una zona criptata dell’hard disk del mio notebook.
Il mio interlocutore rimase ben impressionato dalla mia disponibilità, dalla capacità di spiegazione dell’architettura dell’applicazione e, soprattutto, da quelle poche righe di codice che indicavano che ciò che affermavamo era coerente con ciò che era contenuto nel programma.
Tutto sommato, gli sono grato di avermi dato la possibilità di aumentare la sua fiducia nei confronti della sicurezza dell’applicazione.
Qual è quindi la morale di questa storia?
Nel mercato della sicurezza esistono decine di prodotti diversi che cercano di risolvere lo stesso problema. Il successo di un prodotto sull’altro non sempre è dato dalle sue caratteristiche di efficacia, robustezza, affidabilità, etc.
Ce lo spiega anche Bruce Schneier nel suo articolo “A security market for lemons”, quando parla di Secustick, l’azienda che offriva l’unico prodotto sul mercato con capacità autodistruttive. Secustick è ua chiave USB in grado di crittografare il contenuto e proteggerlo con una password: nel caso si tentasse di accedervi non conoscendola, il contenuto viene distrutto dopo un certo numero di tentativi.
L’azienda affermava inoltre che il prodotto era stato commissionato dai servizi segreti francesi e veniva correntemente utilizzato in campo militare e da alcune banche.
Per sua sfortuna, un gruppo di esperti olandesi di Tweakers.net dimostrò che non esisteva nessuna funzione di autodistruzione, che la protezione via password poteva essere bypassata e che le informazioni non venivano nemmeno criptate. Non so qual è il numero di chiavette USB vendute, ma so per certo che ora il sito dell’azienda olandese è momentaneamente “offline” in attesa di una nuova versione di Secustick.
Perché ci sono così tanti prodotti mediocri nel mercato della sicurezza? Ma come, non lo sapevate? Ebbene, è proprio così. E perché si vendono più i prodotti mediocri dei prodotti buoni?
Ce lo spiega George Akerlof, economista americano, nel suo "The Market for 'Lemons' in cui illustra la sua teoria dell’informazione asimmetrica, in cui il venditore ha più informazioni sul prodotto di quante ne abbia il compratore.
Nell’esempio del mercato delle auto usate, in cui sono presenti auto migliori e auto peggiori (i cosiddetti “limoni” negli USA), il compratore basa il suo acquisto su un’auto usata di qualità media. A questo punto le auto migliori non verrano vendute, per il loro prezzo più alto. La loro rimozione del mercato ridurrà il prezzo medio che i compratori sono disposti a sostenere, e quindi anche le auto buone verranno tolte dal mercato, e così via, finché non rimarranno soltanto le auto di cattiva qualità (i limoni).
In conclusione, in un mercato dove il venditore ha più informazioni del compratore, I prodotti peggiori possono eliminare i migliori.
Il mercato della sicurezza è molto simile: il caso delle chiavette USB sicure descritto sopra è paradigmatico. Di fronte a offerte similari, dove i produttori affermano di utilizzare gli stessi algoritmi di crittografia, chi può farla da padrone? È estremamente arduo basare una decisione di scelta sull’efficacia del prodotto: il compratore dovrebbe avere gli strumenti (tecnologici e di conoscenza) per effettuare della valutazioni comparate, ma si tratta di attività specifiche e onerose, in termini di tempo e denaro da investire.
Quindi, i prodotti di sicurezza molto spesso non vengono scelti perché più sicuri di altri (caratteristiche non comparabili dai compratori, se non sulla carta), ma bensì per le caratteristiche più comparabili, ovvero il prezzo, la facilità di installazione e di configurazione, la semplicità d’utilizzo, la poca invasività nelle attività dell’amministratore della sicurezza. O ancora, la “pervasività” del venditore, la reputazione del produttore o le valutazioni di organismi indipendenti (i cosiddetti “analisti”).