Corrado Giustozzi

Certificati, l'anello debole nella catena

di C. Giustozzi - Le vere infrastrutture critiche non sono quelle da cui dipende il funzionamento della Rete. Il vero punto debole sono i servizi da cui dipende la Rete stessa. Il caso delle Certificate Authorities

Roma - È di solo poche settimane fa la notizia di quella che probabilmente è la prima truffa perpetrata in Italia mediante l'uso (o l'abuso) della firma digitale: alcuni truffatori, utilizzando abusivamente la firma digitale di un imprenditore, si sono a sua insaputa intestati le quote dell'azienda di cui egli era titolare, di fatto "scippandogliela". Molti giornali hanno rilanciato la storia con grande enfasi ma ben poca dovizia di particolari, limitandosi soprattutto a ripubblicare gli scarni comunicati d'agenzia, e qualcuno si è perfino lanciato in commenti personali tanto azzardati quanto poco azzeccati, parlando ad esempio di "copia della firma digitale". Il risultato è stato l'ennessimo guazzabuglio tecno-mediatico, nel quale nessuno (in primis gli stessi giornalisti) ci ha capito nulla, ma che in tutti ha lasciato l'amara impressione che la firma digitale non sia affatto sicura.

L'episodio in effetti è rilevante, e occorre approfondito per capire come sia avvenuto. La buona notizia è che la tecnologia della firma digitale in sé non è affatto vulnerabile, al contrario di come taluni hanno pensato: quella cattiva è che, come del resto già si sapeva ma troppo spesso si dimentica, è invece dannatamente vulnerabile tutto il corollario di processi amministrativi che la circondano, specie quelli presidiati da operatori umani. L'occasione è quindi utile per ampliare la riflessione ad un aspetto spesso trascurato ma fondamentale del funzionamento della Rete, quello del trust: ossia di quella "catena di fiducia" grazie alla quale possiamo stabilire con certezza l'identità dei soggetti, umani o automatici, coi quali interagiamo nel cyberspazio.

L'integrità della catena di fiducia è condizione irrinunciabile affinché si possano effettuare in Rete quelle attività fondamentali della società umana, quali ad esempio la compravendita di beni e servizi, potendo contare su un livello di garanzia almeno uguale se non superiore a quello che ci aspettiamo nelle tradizionali interazioni in presenza. Come noto la gestione della catena di trust è affidata, per norme e consuetudini internazionali, alle cosiddette "Autorità di certificazione" o "Certification Authorities": ossia particolari entità super partes che, essendo considerate affidabili per definizione, garantiscono con assiomatica certezza l'identità dei soggetti cui rilasciano quelle speciali e non falsificabili credenziali elettroniche che vanno sotto il nome di certificati digitali. Pertanto il sistema delle Autorità di certificazione svolge un servizo vitale per il funzionamento della Rete stessa, e una sua eventuale compromissione potrebbe portare alla sovversione totale di ogni rapporto di fiducia da essa mediato con conseguenze facilmente immaginabili.
L'episodio balzato agli onori della cronaca verso la fine dello scorso marzo, in effetti, non ha fatto altro che evidenziare una falla nel processo di trust sfruttando la quale, con la complicità più o meno volontaria e consapevole di alcuni intermediari umani, un gruppo di malintenzionati è riuscito a farsi rilasciare una smart card di firma digitale inestata alla vittima; da qui ad usarla per autorizzare a sua insaputa il trasferimento a loro favore delle quote di un'azienda di sua proprietà il passo è stato breve. Quello che è successo è in realtà desolantemente semplice: i truffatori si sono rivolti ad una Certification Authority accreditata, tramite una Registration Authority pubblica (la Camera di Commercio), chiedendo l'emissione di una smart card di firma intestata all'imprenditore; la domanda era accompagnata dalla fotocopia dei documenti di quest'ultimo, e da una falsa delega che li autorizzava al ritiro del dispositivo per conto del legittimo intestatario a causa della sua assenza dall'Italia. L'impiegato della Registration Authority, evidentemente poco scrupoloso nello svolgimento del suo mestiere, ha accettato pacificamente la richiesta ed ha provveduto a far emettere alla Certification Authority il certificato richiesto, senza effettuare i necessari accertamenti sulla validità della richiesta e soprattutto senza accertarsi della reale identità del richiedente. A causa di questo comportamento improprio i truffatori sono potuti entrare in possesso di un dispositivo di firma digitale valido ed intestato all'ignaro imprenditore: e così, grazie anche alla complicità di un commercialista poco scrupoloso, hanno facilmente potuto autorizzare il trasferimento a sé stessi delle quote societarie dell'azienda di proprietà della vittima.

Una truffa banale, dunque? Un mero incidente di percorso, dovuto ad incuria umana, che non incrina minimamente la validità dei meccanismi tecnici della firma digitale? Insomma, mica tanto. Tanto per cominciare non si è trattato solo di una semplice leggerezza da parte della Registration Authority ma di un vero e proprio reato: la legge prevede infatti che colui che richiede un dispositivo sicuro di firma digitale debba essere "identificato con certezza" da colui che dovrà rilasciarglielo, e ciò proprio per evitare possibili casi di truffe o furti di identità. Cosa che nel caso di specie non è evidentemente avvenuta. Così, se da un lato restiamo rincuorati sul fatto che la firma digitale continua ad essere tecnicamente sicura, dall'altro dovremmo iniziare ad interrogarci di più sulla insospettata vulnerabilità di quei meccanismi non tecnici che dovrebbero fornirci proprio quelle garanzie irrinunciabili sull'affidabilità dell'intero processo di trust sul quale si basa la validità della firma digitale. In altre parole: tutto il sistema di fiducia si fonda sul fatto che le Certification Authority siano affidabili, ma come facciamo ad essere sicuri che lo siano davvero?

La realtà è che le Autorità di certificazione sono davvero il tallone d'Achille di tutto il meccanismo di attribuzione della fiducia sul quale si basano i processi ed i sistemi di e-commerce, e-governement e via dicendo. E ci sono oramai le prove che tale meccanismo stia iniziando a scricchiolare sotto i colpi di chi ha interesse a sovvertirne il funzionamento. Negli ultimi due anni, ad esempio, sono già almeno tre i casi eclatanti in cui certificati digitali validi ma "rubati", oppure estorti fraudolentemente a CA appositamente compromesse, sono stati utilizzati per consentire lo svolgimento di azioni malevole su larga o larghissima scala. Si tratta di un segnale davvero inquietante, perché mette chiaramente in luce come tutta la catena di fiducia della rete si poggi su fondamenta assai più deboli del previsto.
20 Commenti alla Notizia Certificati, l'anello debole nella catena
Ordina
  • Salve, mi ha incuriosito la cosa e ho fatto una prova che documento con dettagli.

    Ho provato l'acquisto su 3 portali

    http://www.firmadigitale.com
    aruba
    Infocert

    il primo mi ha obbligato a far autenticare la firma da un pubblico ufficiale, il secondo anche andando a un punto accreditato in nessun modo ti lascia la firma e il terzo come il primo non emette la firma se non ti presenti di persona con documenti validi.

    Credo sia corretto segnalare eventualmente chi ha fatto la leggerezza di emissione firma poichè è uno strumento molto valido se si mantiene alto il livello di controllo.
    -----------------------------------------------------------
    Modificato dall' autore il 08 marzo 2014 08.57
    -----------------------------------------------------------
  • il modello di trust centralizzato, tipico della firma digitale "ministeriale", è vulnerabile in quanto abusabile. Molto meglio il modello PGP del Web Of Trust, che peraltro assomiglia di più al modello notarile classico (per certi versi), solo che tutti diventano "notai" invece di uno solo.
    non+autenticato
  • Già giustozzi, "una responsabilità probabilmente troppo grande per essere lasciata nelle mani di organizzazioni private". Ci vorrebbe un ente pubbliclo. Ad esempio la camera di commercio. Ma la camera di commercio non è stata proprio quella che ha fatto casino nel caso in oggetto. E allora per favore lasciamo perdere i soliti predicozzi ideologici a favore dello statlismo e concentriamoci sulle soluzioni.
    non+autenticato
  • La fortezza Bastiano è un avamposto morto, una frontiera che si affaccia sul niente. Al di la della fortezza c’è un deserto, e dopo il nulla, il deserto dei Tartari. L’hanno certamente attraversato, secoli fa, e poi sono scomparsi.

    il Capitano Hortiz
    ne ”il deserto dei Tartari

    Chi garantisce e vigila?
    http://www.firma-facile.it/2010/10/15/chi-garantis.../

    Sui fatti avvenuti rinvengo una grave "falla di sicurezza" nel processo di riconoscimento de visu in capo alle autorità di certificazione e le loro diramazioni che per semplicità individueremo nelle c.d. CDRL, autorità di registrazione locale per l'emissione di certificati di firma.

    A tale scopo è utile rilevare che DigitPA, con tanto di testo evidenziato in rosso, ricorda che:

    “in nessun caso è possibile ottenere un dispositivo di firma digitale senza incontrarsi personalmente con il certificatore, o suo incaricato, che avrà l’obbligo di richiedere un documento di riconoscimento in corso di validità per verificare l’identità del richiedente”.

    Cap. 12. Dove e come dotarsi di firma digitale – CNIPA – Guida alla Firma Digitale (2009)

    Oltre a ricordare che “un tale evento costituirebbe una grave violazione dei requisiti operativi inerenti la sicurezza da segnalare rapidamente a DigitPA che, in qualità di ente governativo preposto alla vigilanza, potrà intraprendere le azioni del caso”, nel caso specifico trattato potrebbe verificarsi anche l’ipotesi di reato di falsità ideologica commessa dal pubblico ufficiale, così come menzionato nell'art. 480 CP, di seguito riportato.

    Falsità ideologica commessa dal pubblico ufficiale in certificati o in autorizzazioni amministrative

    Il pubblico ufficiale, che, nell’esercizio delle sue funzioni, attesta falsamente, in certificati o autorizzazioni amministrative, fatti dei quali l’atto è destinato a provare la verità, è punito con la reclusione da tre mesi a due anni.

    Art. 480 Codice Penale

    La personale sensazione è che fino a quando la firma digitale è servita solo all'adempimento burocratico della firma dei bilanci, si è potuto soprassedere sulla irregolare permanenza delle stesse presso gli studi dei commercialisti, ma adesso che l'uso, e i casi d'uso stanno aumentando, la firma digitale deve essere attentamente presidiata nei suoi passaggi di rilascio, così come al momento dell'utilizzo da parte dei titolari e da chi ne deve verificare la regolarità nell'uso. Ancora oggi sono troppo diffuse prassi di autocertificazone (Si capisce, questa è la famosa fontana di Trevi, appartiene alla mia famiglia da molte generazioni. Permette? Cavaliere Ufficiale Antonio Trevi! - Totò truffa http://www.firma-facile.it/2011/03/31/i-nostri-sol.../) e accettazione di fotocopie e fax (http://www.firma-facile.it/2011/12/12/mi-mandi-int...) che mal si sposano con i principi di autenticità, integrità e non ripudio propri di una firma digitale.
    non+autenticato
  • Il problema dell'essere umano rimane tuttora irrisolto e per
    quante buone macchine o processi automatici puoi mettere
    ci sarà sempre chi "buca lato client"!! Aveva ragione Asimov a non fidarsi....
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 10 discussioni)