Progetto SecurPC

SecurPC Project


Premessa
Il progetto di ricerca SecurPC vuole dimostrare che è possibile proteggere il computer ed adeguarlo al Codice della Privacy utilizzando esclusivamente software open source, gratuito e con regolare licenza d'uso anche per utilizzo in ambito professionale e commerciale.
Il progetto SecurPC nasce dalla volontà di creare un ambiente di sicurezza informatica "all in one & low cost " per singoli personal computer all'interno di studi professionali, aziende e pubblica amministrazione.
Il progetto di ricerca SecurPC si rivolge a imprenditori, professionisti e manager che spesso sopportano rilevanti costi per l'acquisto delle licenze di software che potrebbero ottenere gratuitamente.

Perchè un progetto di ricerca?
Il progetto SecurPC nasce da una specifica considerazione: sebbene il legislatore, con il D.lgs 196/03 (codice della privacy), abbia imposto a tutti coloro che trattano dati personali e informazioni riservate nell'ambito della propria attività lavorativa di garantire la sicurezza informatica dei computer, di fatto, mancano le specifiche competenze informatiche e giuridiche per applicare, nella pratica quotidiana, la normativa in tema di privacy e sicurezza delle informazioni.
In sintesi, questo è l'obiettivo del progetto di ricerca SecurPC.

Risorse umane di SecurPC
Per realizzare il progetto SecurPC occorrono diverse figure professionali: un avvocato per la consulenza sul D.Lgs 196/03 (Codice della Privacy), un auditor certificato ISO 27001/05 (sistema di gestione della sicurezza delle informazioni - Information Security Management System), un programmatore esperto in sicurezza informatica, un sistemista esperto di SecurPC per l'assistenza agli utenti, un graphic designer per l'interfaccia grafica del sistema, un web master per la costruzione del sito.
Il progetto è ambizioso perchè non è affatto facile progettare un "Security Environment" con un livello di sicurezza non solo molto maggiore del classico sistema "Windows più antivirus più firewall, più antispyware, ecc." ma, addirittura, della gran parte delle distribuzioni GNU/Linux.

Security Environment
L'idea di realizzare un "Security Environment" (ambiente di sicurezza) parte dalla osservazione di un ambiente di sicurezza naturale, cioè dal rapporto "simbiotico" che lega la famiglia delle "attinie" (animali marini che assomigliano a piante e che posseggono tentacoli urticanti) al "pesce pagliaccio" che è del tutto immune alle cellule urticanti delle attinie.
Le attinie sono un perfetto "Security Environment" per il loro piccolo pesce "ospite" che, rimanendo all'interno dei tentacoli urticanti, risulta permanentemente protetto dai predatori.
Analogamente SecurPC è un Security Environment per "l'ospite Windows".
L'utente continua a svolgere il suo lavoro utilizzando tutti i programmi che già usa quotidianamente con Windows mentre SecurPC si occupa del salvataggio e ripristino veloce di Windows, sistema operativo "ospite", in caso di blocco o malfunzionamento.
Sebbene sia possibile ripristinare Windows velocemente è consigliabile proteggerlo anche con un antivirus tradizionale (ad es.: Comodo Antivirus ha una licenza che ne consente l'uso gratuito senza particolari limitazioni).
SecurPC prevede anche un altro importante vantaggio: non è più necessario scegliere tra Windows e Linux perchè entrambi sono in "rapporto simbiotico" sullo stesso computer.
In altri termini SecurPC consente l'utilizzo contemporaneo di entrambi i sistemi operativi Windows & Linux.
Quindi SecurPC supera tutte le problematiche di migrazione che spesso impediscono o rendono gravoso il passaggio da sistemi operativi a pagamento (Windows, MacOS) a sistemi operativi gratuiti (GNU/Linux, OpenBSD, ecc.).

Come funziona SecurPC?
SecurPC utilizza:
  • un sistema operativo stabile, sicuro ed open source (GNU/Linux) con aggiornamento automatico
  • una suite di sicurezza informatica (antivirus, antispam, firewall, programmi per il cambio automatico e per la verifica della sicurezza delle passwords, ecc.) per rispettare il dettato del disciplinare tecnico del Codice della Privacy (All. B del D.Lgs 196/03)
  • una suite di programmi professionali per l'ufficio (videoscrittura, foglio di calcolo, presentazione di slides, database, editor pdf, sviluppo mappe mentali, ecc.) con aggiornamento automatico
  • una suite di programmi multimediali (per la navigazione internet, la lettura di qualsiasi formato audio, video, per giochi ed attività di divertimento on line") con aggiornamento automatico
  • un procedura di backup automatico dei dati "vitali" per la business continuity (continuità lavorativa)
  • una procedura di installazione automatica di software proveniente solo da fonti sicure (repository ufficiali) e repository di SecurPrivacy
  • un d.p.s. (documento programmatico di sicurezza) che elenca il software installato e gli aggiornamenti di sicurezza effettuati
  • una procedura veloce per il ripristino del sistema operativo Windows
  • diversi "log di sistema" cioè diverse "registrazioni" degli eventi che permettono di risalire al responsabile di eventuali usi illeciti del pc.
I "log di sistema" sono importantissimi per prevenire un uso illegale delle risorse informatiche la cui responsabilità si "scaricherebbe" automaticamente sul titolare della organizzazione lavorativa come prevede l'art. 15 del Codice della Privacy e l'art. 2050 del Cod. Civ. .
Le caratteristiche sopraindicate dipendono dalla versione di SecurPC (Open - Pro - Business).

Quanto vale il software pre-installato su SecurPC?
Per dotare un computer Windows del software preinstallato su SecurPC occorre sostenere costi molto rilevanti per:
  • l'acquisto delle licenze software
  • per l'installazione e configurazione di programmi di sicurezza informatica
In ogni caso anche sostenendo costi rilevanti il problema della sicurezza informatica e privacy, con Windows, non si risolverebbe.
Proprio per la intrinseca insicurezza di Windows fioriscono software di sicurezza informatica (antivirus, antispyware,antitrojan, antikeylogger, ecc.) che però non risolvono definitivamente il problema.
Infatti, i produttori di minacce informatiche (virus & co.) ben conoscono gli antivirus commerciali esistenti sul mercato e si regolano di conseguenza creando virus che li disattivano e agiscono indisturbati.
Perciò accade normalmente che l'utente Windows per liberarsi definitivamente di virus, worm, trojan, spyware, ecc. sia costretto a formattare l'hard disk a basso livello.
Di contro non è mai accaduto che un utente di SecurPC sia stato infettato da malware e sia stato costretto a formattare l'hard disk.
Quindi SecurPC garantisce standard di sicurezza informatica molto più alti di quelli realizzabili col sistema operativo Windows protetto da software commerciali.
Va anche detto che SecurPC protegge il pc dell'utente con misure di sicurezza ben maggiori delle"misure minime" previste dal Codice della Privacy.
Per di più SecurPC è stato pensato non solo per utenti esperti ma sopratutto per utenti inesperti di sicurezza informatica, cioè per tutti.
Il progetto di ricerca SecurPC va nella contro le "logiche mercantili" cioè contro la logica del "comprare la scatola contenente il software senza alcuna assistenza".
Perciò SecurPC prevede anche servizi di aiuto ed assistenza per aziende, professionisti, manager ed enti pubblici.
Questi servizi sono a pagamento e sono prestati da SecurPrivacy s.r.l. solo su espressa richiesta degli utenti finali.
SecurPrivacy, inoltre, produce le versioni a pagamento di SecurPC (Pro & Business) ma va chiarito che l'utente finale (anche se è un professionista, un imprenditore o un dirigente di ente pubblico) non è obbligato all'acquisto delle versioni a pagamento di SecurPC Pro & SecurPC Business e può limitarsi ad usare la versione SecurPC Open a "costo zero", e quindi in linea con la "filosofia open source".

Quali sono gli obiettivi del progetto di ricerca SecurPC?
Il progetto di ricerca SecurPC soddisfa i seguenti specifici obiettivi:
  • rendere il computer molto più sicuro rispetto al sistema operativo Windows
  • rendere il computer conforme alla normativa privacy
  • garantire aggiornamenti di sicurezza automatici e continui anche dei singoli programmi oltre che per il sistema operativo
  • dotare il computer di migliaia di programmi professionali utilizzabili senza costi di licenza
  • dotare il computer di software di protezione dei dati personali (antivirus, antispam, antispyware, crittografia, ecc,)
  • garantire un ripristino veloce in caso di rottura e/o malfunzionamento dell'hard disk o del pc (normalmente entro 20 minuti)
  • prevedere un uso di SecurPC facile e senza sconvolgimenti del "modus operandi" dell'utente
Per raggiungere questi obiettivi è stata utilizzata una delle quattrocento versioni di GNU/Linux che potesse considerarsi affidabile in base a parametri oggettivi.
La scelta è caduta su GNU/Linux"Ubuntu".

Perchè proprio GNU/Linux "Ubuntu"?
Nel corso del "CanSecWest 2008", conferenza sulla sicurezza informatica tenuta dal 26 al 28 marzo 2008 a Vancouver in Canada, si è svolta una competizione tra hackers per violare tre computer portatili con tre diversi sistemi operativi:
  • un computer "Macbook Air" con sistema operativo "Mac OS X 10.5 Leopard"
  • un computer "Fujtsu Siemens" con sistema operativo "Windows Vista"
  • un computer Sony Vaio con sistema operativo GNU/Linux "Ubuntu 7.10" (versione precedente a quella usata da SecurPC)
Le regole erano piuttosto rigide: nessuno aveva "accesso fisico" ai portatili, cioè l'attacco doveva avvenire esclusivamente "da remoto" (cioè attraverso internet).
In caso di violazione entro il primo giorno il premio era di USD 20.000 mentre qualora i tentativi di penetrazione avessero avuto esito positivo nel secondo giorno il premio si sarebbe ridotto a USD 10.000 ed in caso di successo solo nel 3 giorno il premio sarebbe stato di USD 5.000.
Oltre al premio l'hacker avrebbe anche ottenuto la proprietà del pc "compromesso".
Ebbene il "Macbook Air" con "Mac OS X 10.5 Leopard" (prodotto da Apple) è stato violato in appena 3 minuti sfruttando un "bug" di Safari, il browser internet interno al sistema operativo "Mac OS".
Il computer "Fujtsu Siemens" con sistema operativo Windows Vista (pubblicizzato come un sistema operativo molto più sicuro di Windows XP) è stato forzato nel secondo giorno mentre il Sony Vaio con GNU/Linux Ubuntu 7.10 non è mai stato "forzato" anche se sottoposto a tre giorni di attacchi informatici di tutti i tipi.
E' per questo motivo che SecurPC deriva da GNU/Linux Ubuntu piuttosto che da altre versioni di Linux.

Tirando le somme sulla sicurezza informatica
Tirando le somme può dirsi che, paradossalmente, i sistemi a pagamento (Windows Vista e Mac OS X) sono più insicuri dei sistemi operativi "open source" (Linux, OpenBSD, FreeBSD, NetBSD, ecc.).
Ecco che la sicurezza informatica si ottiene mediante l'utilizzo di software open source (normalmente anche gratuito) piuttosto che con l'uso di software commerciale (closed source ed a pagamento).
Ma vi è di più.
SecurPC Open è stato reso ancor più sicuro da una suite di programmi di sicurezza informatica e privacy, da aggiornamenti di sicurezza quasi quotidiani che riguardano non solo il sistema operativo ma tutti i programmi installati.

Aggiornamenti di sicurezza dei programmi installati
È noto che occorre aggiornare periodicamente il sistema operativo del pc ma non tutti sanno che è altrettanto importante aggiornare la sicurezza dei programmi installati.
Anzi è molto più importante aggiornare la sicurezza dei singoli programmi piuttosto che la sicurezza del sistema operativo.
Ad esempio il sistema operativo "Mac OS X" è un sistema operativo molto sicuro ma non può dirsi altrettanto del software "Safari" (browser internet) che è installato sul Mac OS X e che ne ha consentito la violazione in soli 3 minuti (ved. sopra).
Nell'anno 2006, il sistema operativo Microsoft Windows XP "vince" la classifica delle vulnerabilità risultando, paradossalmente, il sistema operativo più pericoloso mai immesso in commercio ma anche il più venduto.
Microsoft detiene anche un altro (non invidiabile) "primato" nella produzione di software "pericoloso" con n.14 software pericolosi su di un totale di 16.

E nel 2007 com'è andata?

Sempre piuttosto male per Microsoft e per i suoi software.
Infatti, il rapporto sulla sicurezza informatica "Secunia 2007" assegna 2684 punti di rischio per il software di navigazione internet "Microsoft Explorer" (per intenderci quello contenuto in Microsoft Windows XP) mentre il browser di navigazione Firefox (software gratuito ed open source) ottiene un punteggio ben più basso (876 punti) come emerge dalla tabella pubblicata sul sito di Secunia.
Va detto, però, che a differenza di "Microsoft Explorer", il browser Firefox può essere modificato da chiunque per aumentare sicurezza e tutela della privacy (cliccando qui possono essere scaricati più di 360 componenti aggiuntivi di firefox in tema di privacy e sicurezza).

SecurPC è sicuro ma... è difficile da usare?
Spesso gli utenti che intendono installare una versione di SecurPC si chiedono se è di semplice utilizzo.
SecurPC può essere utilizzato da tutti e non solo da esperti.
Infatti SecurPC:
  • ha una interfaccia grafica elegante che incentiva l'uso
  • è flessibile per proteggere le diverse categorie di dati personali previsti dal D.Lgs 196/03 (Codice della Privacy)
  • prevede anche l'utilizzo del sistema operativo Windows al fine di evitare disagi o disorientamenti
  • risulta semplice da utilizzare anche per gli utenti più inesperti.
Allora SecurPC è come Windows?
Come già detto SecurPC si basa su GNU/Linux ed è molto simile, nella forma grafica, al sistema operativo Windows; tuttavia la "logica di costruzione" è completamente diversa perchè:
  • SecurPC è un ambiente di sicurezza che protegge sè stesso e consente il ripristino veloce di Windows
  • SecurPC è dotato di una serie di procedure di sicurezza che, a differenza di Windows, consentono di aggiornare quotidianamente la sicurezza dei singoli programmi installati oltre che la sicurezza del sistema operativo
  • SecurPC, nella versione Open, è (e rimarrà) gratuito a differenza di Windows che è sempre a pagamento (anche quando lo trovate già installato sul pc ricordate che il produttore del computer paga da €.50 a €.100 per la licenza riversando il relativo costo sull'acquirente)
  • SecurPC ha un sito di riferimento (www.securpc.it) con una community di utenti per la risoluzione dei problemi, ha un blog che riporta notizie ed aggiornamenti in tema di sicurezza informatica e privacy, ed ha una sezione faq per aiutare così gli utenti
  • SecurPC è un progetto di ricerca senza costi aggiuntivi; eventuali servizi di assistenza sono prestati da SecurPrivacy s.r.l. solo su espressa richiesta degli utenti delle versioni a pagamento
    SecurPC Pro & SecurPC Business
  • SecurPC, a differenza di Windows, è liberamente migliorabile da chiunque a condizione che i miglioramenti siano messi a disposizione di tutti senza discriminazioni e senza costi
  • SecurPC è un progetto di ricerca "open" cioè aperto a tutti coloro che vogliono contribuire.
Tutti posso: pubblicare articoli, creare guide, manuali, videotutorial, patch per aumentarne la sicurezza informatica e la tutela della privacy, aggiungere programmi, ecc.).
Insomma SecurPC assomiglia molto a Windows ma NON è Windows e NON segue la logica commerciale di Windows.

Tiriamo le somme del progetto di ricerca di SecurPC
Dopo circa un anno e mezzo di lavoro il progetto SecurPC è stato testato da professionisti, imprenditori e manager di società di servizi.
Dall'utilizzo quotidiano è emerso che gli utenti finali non hanno cambiato il loro "modus operandi" e non hanno avuto rilevanti problemi di adattamento.
Non è stata necessaria una specifica formazione per segretarie, avvocati, commercialisti, medici, ingegneri, imprenditori e manager che hanno utilizzato SecurPC nella loro normale attività quotidiana.

SecurPC è totalmente gratuito nella versione "Open" utilizzabile, senza alcuna limitazione, negli studi professionali, in aziende o negli enti.

Dubbi, perplessità, maggiori informazioni?
Se avete dubbi o perplessità visitate la sezione Contatti.