Immagina di avere un documento segreto che dovevi conservare lontano da occhi indiscreti. E hai una scelta:potresti acquistare una cassaforte realizzata da un'azienda che ha tenuto segreto il funzionamento delle sue serrature. Oppure potresti acquistare una cassaforte il cui produttore ha pubblicato apertamente i disegni, permettendo a tutti, ladri compresi, di vedere come sono fatti. Quale sceglieresti?

Potrebbe sembrare inaspettato, ma come professore di ingegneria, Sceglierei la seconda opzione. Il primo potrebbe essere sicuro, ma semplicemente non lo so. Dovrei credere alla parola dell'azienda. Forse è un'azienda rispettabile con un pedigree di qualità di lunga data, ma scommetterei la sicurezza delle mie informazioni sull'azienda che mantiene le sue tradizioni. Al contrario, Posso giudicare da solo la sicurezza della seconda cassaforte o chiedere a un esperto di valutarla. Sarò meglio informato su quanto sia sicura la mia cassaforte, e quindi più sicuro che il mio documento sia al sicuro al suo interno. Questo è il valore della tecnologia open source.

L'hardware del computer è, per la maggior parte, come la cassaforte i cui meccanismi di sicurezza sono segreti. Eventuali debolezze sono nascoste, così come i loro punti di forza. Sulla scia delle rivelazioni secondo cui le spie cinesi potrebbero essere state in grado di installare un minuscolo chip di computer all'interno di dispositivi utilizzati da ben 30 aziende, come Amazon e Apple, così come l'esercito americano e la CIA, Suggerisco di rivalutare l'hardware su cui le persone e le aziende fanno affidamento per proteggere i loro segreti.

L'hacking dell'hardware è particolarmente pericoloso perché può aggirare anche le misure di sicurezza di programmazione più sicure, come prendere il controllo di un server senza bisogno di una password. I clienti hardware potrebbero trarre vantaggio dalla chiara, anche se sorprendente, lezione che l'industria del software ha imparato da decenni di lotta contro i prolifici hacker di software:i sistemi open source possono essere più sicuri.

Lezioni dal software open source

Gli utenti e gli sviluppatori di software adottano già software per computer il cui codice sorgente è accessibile pubblicamente. Tutti i supercomputer, il 90% dei server cloud, L'82% degli smartphone e il 62% dei sistemi embedded, come quelli all'interno dell'elettronica di consumo, funzionano su sistemi operativi open source. Oltre il 70% dei dispositivi "Internet delle cose" utilizza anche software open source.

Il software open source non è intrinsecamente o automaticamente più sicuro. Ma crea più possibilità, e la pressione del mercato, per migliorare la sicurezza. Proprio come quando si sceglie una cassaforte in cui conservare un documento segreto, i clienti devono decidere:se scelgono un sistema la cui sicurezza è garantita dall'azienda che lo produce, o un sistema che può essere esplorato, esaminato e testato?

Gli utenti di software open source scelgono di non fidarsi di un programma a meno che non possano verificarlo in modo indipendente. Molti di loro non hanno le competenze per essere in grado di valutare le dichiarazioni di sicurezza, certo, ma possono aspettare che i gruppi per la protezione dei consumatori lo facciano in modo indipendente, assumere un esperto verificato per verificare le cose, o anche imparare le abilità necessarie per indagare da soli. Potrebbero anche decidere di pagare per una versione del software che è stata verificata ed è supportata da esperti.

Sicurezza con hardware open source

L'hardware open source offre agli utenti la stessa scelta. Molte persone che acquistano elettronica non hanno idea di cosa ci sia dentro. Anche le aziende tecnicamente sofisticate come Amazon devono assumere esperti forensi esterni per essere sicure di cosa c'è esattamente nell'hardware su cui fanno affidamento le loro aziende.

L'hardware open source significherebbe che i progetti e i componenti di ciascun dispositivo sarebbero aperti alla visualizzazione pubblica in qualsiasi momento. Le persone potrebbero studiare le informazioni, seguire le indicazioni per costruire un dispositivo, provalo e distribuiscilo, o addirittura vendilo. Tutta questa trasparenza darebbe agli aggressori più dati sui loro potenziali bersagli, di sicuro. Ma aiuterebbe molto di più i clienti a valle, dando loro i mezzi per verificare da soli la sicurezza dei propri dispositivi.

Ciò non significa che le persone sarebbero lasciate a costruire il proprio hardware. Il movimento del software open source ha trovato una serie di opportunità per imprenditori e innovatori per vendere sistemi e servizi basati su software che è di per sé gratuito. Ad esempio, Il 90% delle aziende nell'elenco Fortune Global 500 paga per una versione di marca del sistema operativo Linux open source di Red Hat, un'azienda che guadagna miliardi di dollari all'anno per il servizio che fornisce oltre al prodotto che può essere apparentemente scaricato gratuitamente. Il movimento hardware open source non è ancora maturo come la sua controparte software, ma potrebbe recuperare abbastanza rapidamente.

Il futuro della produzione distribuita

Rendere più disponibili i sistemi hardware open source aumenta la sicurezza delle persone normali fornendo loro opzioni di sicurezza verificabili. Se qualcuno è particolarmente preoccupato, potrebbero persino fabbricare la propria elettronica. Ci sono una vasta gamma di design già disponibili pubblicamente su siti come Hackaday, Elettronica aperta e Istituto dei circuiti aperti. Esistono anche molte community basate su prodotti specifici come Arduino.

Anche i chip open source stanno guadagnando terreno. È già possibile per le persone costruire componenti elettronici open-source dai chip fino ai componenti fisici. Se gli hack hardware diventano più comuni, questo potrebbe essere un modo fondamentale per le persone di proteggere la propria sicurezza informatica. Ci si può anche aspettare che le aziende e i governi adottino politiche che favoriscono l'hardware open source e richiedono test migliori per garantire che le loro apparecchiature siano sicure da usare.

Questo articolo è stato ripubblicato da The Conversation con una licenza Creative Commons. Leggi l'articolo originale.