Marco Calamari

Lampi di Cassandra/ Lo SPID Ŕ nato morto?

di M. Calamari - I sistemi di autenticazione a due fattori gestiti tramite SMS soffrono di problemi strutturali, suggerisce una ricerca dell'UniversitÓ di Amsterdam. SPID-2 si basa proprio su questo meccanismo

Lampi di Cassandra/ Lo SPID Ŕ nato morto?Roma - Probabilmente persino alcuni dei 24 informatissimi lettori non conoscono SPID, acronimo di "Sistema Pubblico di Identità Digitale", che si autodefinisce "La soluzione per accedere a tutti i servizi online della pubblica amministrazione e dei privati con un'unica Identità Digitale". Perciò, prima di passare a fosche profezie, Cassandra è obbligata a fornire qualche informazione, peraltro facilissimamente reperibile in Rete. Dunque, SPID, noto anche a chi ha memoria lunga come "Il PIN di Renzi", è un sistema pubblico di creazione e distribuzione di identità digitali, controllato dallo Stato Italiano e realizzato da fornitori privati da esso certificati ed iscritti un un apposito Albo.
Viene infatti gestito esattamente come è stato fatto per la Posta Elettronica Certificata con la quale, per fortuna, si sono creati sia un utile strumento per il cittadino che un onesto business per alcune aziende di servizi informatici.

I problemi che attualmente affliggono lo SPID sono di due tipi: commerciali e tecnici.
Quello commerciale, dovuto al solito bando confezionato ad arte ("solo aziende con almeno 5 milioni di euro di fatturato") pare sia stato risolto di recente.

I problemi tecnici sono appena cominciati, ma preoccupano già molto: vediamo un attimo perché.
Chi ha bisogno di una identità digitale la compra da un fornitore a scelta: attualmente ce ne sono tre.
I fornitori, dotati di adeguata struttura amministrativa e tecnica certificata, effettuano il riconoscimento della persona, ne verificano l'identità e rilasciano le credenziali richieste. Con queste credenziali l'utente si potrà (prossimamente) autenticare a tutti i siti e servizi delle pubbliche amministrazioni, ed a tutti i siti e servizi commerciali che la vorranno adottare.
E per i primi due anni le credenziali sono anche gratuite.
"Tutti" e "Gratis". Bello eh?
Si, ma anche no, e vediamo perché.
Esistono tre tipi di credenziali: SPID-1, SPID-2 e SPID-3.

SPID-1 è un nome utente fisso con una password modificabile dall'utente: buono per autenticarsi su un social o una mail list, ma certo non buono per una dichiarazione dei redditi, un pagamento, un voto o la presentazione di un bilancio. Secondo Cassandra non avrebbe nemmeno dovuto esistere perché implementa una cultura dell'insicurezza.

SPID-3: autenticazione con token digitale. Per ora nessuno la fornisce, quindi è difficile darne un giudizio, se non che è la triplicazione di altri due servizi che potrebbero essere usati con la stessa efficacia, cioè dispositivo di firma digitale e carta nazionale dei servizi (di solito coincide con la tessera sanitaria). Essendo non una duplicazione ma una triplicazione anche SPID-3 non dovrebbe esistere.

SPID-2 è una autenticazione a due fattori, nome utente e password, congiuntamente alle generazione di un codice temporaneo che viene inviato via SMS o con app mobile dedicata. Già diffuso ed usato soprattutto dalle banche, è realizzabile anche in una diversa, più sicura e più costosa versione, in cui il codice temporaneo viene generato ogni minuto da un piccolo token con display LCD che si tiene in casa o nel portachiavi.
SPID-2 non prevede tuttavia l'uso di un token fisico, ma solo della versione SMS. E qui vengono i dolori.

╚ infatti stata pubblicata un'interessantissima ricerca dell'Università di Amsterdam dal titolo "How Anywhere Computing Just Killed Your Phone-Based Two-Factor Authentication", cioè "Come l'integrazione di smartphone e pc ha appena ucciso l'autenticazione a due fattori via SMS". Si parla appunto delle ben note sincronizzazioni nei vari cloud e tra i vari sistemi operativi dei nostri gadget tecnologici, tanto comode ma anche tanto rischiose, e non solo per la privacy.

Le 17 lucide pagine descrivono dettagliatamente l'implementazione di attacchi mirati per violare i sistemi con codice temporaneo via SMS, sia in ambiente Android che iOS, con una prosa precisa ed implacabile, concludendo che mantenere ragionevolmente sicura l'autenticazione a due fattori via SMS sarà una sfida difficile e costosa.
Per chi non troverà il tempo di leggere il paper (e farà male) è importante sottolineare che il problema segnalato non riguarda il semplice exploit di un paio di bachi, che poi saranno corretti in modo da risolvere il problema stesso. Il problema delineato è più sistemico e più profondo, quindi anche più grave e difficilmente correggibile, visto che contrasta con l'usabilità di prodotti. ╚ il problema di permettere a più device di sincronizzarsi automaticamente ed in vario modo tra di loro e col cloud. Meccanismi di questo tipo, che si moltiplicano continuamente perché sempre più necessari, sono violabili anche senza veri e propri bachi software, perché dovendo far parlare device diversi tra loro senza disturbare troppo l'utente (e quindi avere prodotti più "belli") saranno sempre intrinsecamente deboli perché, per spinte commerciali, devono essere prima di tutto flessibili e facili da usare.

Così la sicurezza, da sempre Cenerentola dell'elettronica di consumo, sarà considerata ancora meno, quando invece il paper, nelle sue conclusioni, sottolinea che i problemi intrinseci di sicurezza diverranno sempre più gravi fino al limite dell'ingestibilità.

Leggetevelo, anche perché all'Agenzia per l'Italia Digitale non hanno probabilmente avuto il tempo per farlo.

Se SPID-2 fosse invece un'autenticazione a due fattori con token hardware, anche se suscettibile di attacchi tipo Man-in-the-Browser (MitB), sarebbe comunque di gran lunga più difficile da violare e soprattutto da violare su larga scala.

E quindi?
Quindi anche se SPID-2 non è nato proprio morto, è purtroppo un neonato a gravissimo rischio.
Cassandra la ritiene una soluzione decisamente sconsigliabile, come le sue due sorelle.

Nulla rimane da dire quindi sullo SPID come iniziativa digitale italiana.

Il problema più vasto di avere una identità digitale univoca merita invece qualche altra considerazione.
La violazione delle vostre (ipotetiche) credenziali SPID implica pericoli molto più gravi del semplice svuotamento del vostro conto corrente.
Le credenziali sono "voi", dovunque. Devono essere sicure ed utilizzate con attenzione.
Essendo uniche potrebbero essere usate per impersonarvi e realizzare azioni su innumerevoli siti e servizi di cui voi nemmeno conoscete l'esistenza.

Ecco perché, secondo Cassandra, per SPID vale quanto detto a suo tempo per la CEC-PAC ed altre storie dell'orrore digitale italiane.
Neanche gratis.

Marco Calamari
Lo Slog (Static Blog) di Marco Calamari
L'archivio di Cassandra/ Scuola formazione e pensiero
Notizie collegate
  • BusinessSPID, abbattute le soglie del capitale socialeIl Consiglio di Stato annulla i criteri legati al capitale sociale richiesto per diventare identity provider. Si apre la strada anche alle piccole e medie imprese
  • AttualitàPA, via allo SPIDSi parte da INAIL, INPS e diverse regioni e da tre provider di identitÓ: Poste, Infocert e TIM. AIIP, Assintel e Assoprovider tornano a chiedere la rimozione dei vincoli che impediscono la partecipazione delle realtÓ medio-piccole
  • AttualitàSPID, avanti tutta nonostante tuttoLa sentenza del TAR non influisce sull'iter del sistema di identitÓ digitale italiano: AgID, il collaborazione con il Garante Privacy, ha emanato i regolamenti che contengono i dettagli necessari all'adozione
127 Commenti alla Notizia Lampi di Cassandra/ Lo SPID Ŕ nato morto?
Ordina
  • Tutto nasce morto in questo paese devastato dai cialtroni al governo da decenni.
    Un paese che al posto di pensare ai problemi gravissimi in cui versa, pensa a fare un referendum sulle trivelle (costato milioni e assolutamente inutile) è un paese governato da cialtroni e popolato da stolti che si meritano i cialtroni di cui sopra.
    non+autenticato
  • - Scritto da: urbe non suburbe
    > popolato da stolti che si meritano i
    > cialtroni di cui sopra.
    Tu compreso vero?
    non+autenticato
  • Io sono sempre stato a favore dello SPID. Sorride
    non+autenticato
  • Tenere un vecchio cellulare, tipo l'eterno 3310, SOLO per ricevere gli SMS di notifica (con una seconda SIM dedicata, ovviamente).

    Con il 3310 o equivalente:
    -non ci sono virus alla iFogn
    -non ci sono aggiornamenti
    -non ci sono sincronizzazioni
    -l'antifurto + incorporato: è un po' difficile che eventuali ladri ve lo rubino, dato che non vale nulla o quasi per la ricettazione


    E tanti saluti agli "hackers" dell'app store: facile fare malware sulle app attira-utonti, con gli stessi che ti concedono tutti i diritti che chiedi (leggasi tappeto rosso).
    Ma proviamo a parlare di EPROM, con un cellulare che non ha bisogno di essere aggiornato né "sincronizzato" e vediamo cosa sapete fare.

    E si: questi cellulari si trovano ancora in vendita, perché nei Paesi più poveri ci sono ancora (del resto come telefoni funzionano benissimo)
    non+autenticato
  • - Scritto da: xx tt
    > Tenere un vecchio cellulare, tipo l'eterno 3310,
    > SOLO per ricevere gli SMS di notifica (con una
    > seconda SIM dedicata,

    Ma un bel dongle OTP da 1.5 dollari non sarebbe meglio e piu' economico?
    Perche lo stato deve costringerci alle acrobazie ...... ?
    non+autenticato
  • > Ma un bel dongle OTP da 1.5 dollari non sarebbe
    > meglio e piu'
    > economico?

    No, perché bisognerebbe avere un serivzio unico di token per tutti. Oppure far comprare più token a testa.

    Inoltre ci sarebbe il rischio che venissero hackerati, nel senso che si potrebbe riuscire a prevedere i numeri calcolati.

    Alla fine con un singolo cellulare vecchio potresti avere il riconoscimento sicuro per tutti i servizi, quindi non sarebbe una spesa così esorbitante.

    E se si rompe il cellulare vecchio ne compri un altro senza aspettare il cambio token (che non è altrettanto veloce).
    non+autenticato
  • Purtroppo si tratta di pattern di attacco ben noti e che sono parte del rischio associato al 2FA via app.
    Ovviamente se qualcuno usa un telefono con S.O. vecchio e vulnerabile accetta il rischio di effettuare proprio lì transazioni di una certa delicatezza.
    Rinforzare la sicurezza dell'app è cosa buona ma per niente risolutiva in quanto prendendo il controllo del S.O. puoi fare qualunque cosa.
    L'unica contromisura utile è informare l'utente del rischio ed educarlo all'uso di dispositivi più sicuri (S.O. aggiornati ecc).
    Io non lo legherei troppo al fattore Spid in ogni caso.
    non+autenticato
  • Partiamo col dato più evidente e cioè con l'evidenza, che mischiare gli SPID a SMS con le chiavi hardware RSA Security (cioè quegli affarini ini ini col display) è una enorme stupidaggine.

    Nessuno che conosce un minimo come funzionano quei meccanismi, farebbe questo paragone, così come non direbbe che lo SPID3, è una triplicazione dello SPID1, dimostrando una profonda conoscenza solo dell'aritmetica di base.

    Il famoso SPID3 che è l'autenticazione con smart card a chiave pubblica e private e che non si file nessuno. Certo come no ! Infatti i comuni distribuiscono lettori di smart card da 10 anni per diletto.

    Ma tralasciamo ed entriamo nel vivo della discussione cioè il povero SPID2 !

    La ricerca linkata che immagino tutti abbiano letto, parla di diversi attacchi e di come portarli a termine, sui vari sistemi mobile, sfruttando in particolare i meccanismi di sincronizzazione e parlando di Trojan e di Malware per l'SMS stealing.

    La sintesi è che un sistema informatico potenzialmente insicuro, messo in mano ad una persona che non sa quello che sta facendo, costituiscono un rischio per la sicurezza. Ma va ?

    Il problema è che quando hai a che fare con il pubblico non ti puoi puntare sulla sicurezza assoluta ( che per altro non esiste ) ma devi sempre guardare al compromesso tra sicurezza e "ACCESSIBILITÀ" che è la prima cosa richiesta a chi sviluppa software in ambito pubblico.

    Non è che puoi pretendere che l'interlocutore capisca il concetto di chiave pubblica e privata, di sicurezza, del fatto che deve essere certificata eccetera, altrimenti succede come è successo per il PGP (o GPG) che usano solo gli autori, giusto per fare un test e basta.

    E così usano l'autenticazione tramite SMS che è la cosa più ovvia e quelli che non lo fanno usano strategie alternative per esempio per impedire che l'utente usi 123456 come password, mandandogli i vari PIN metà su SMS e metà per posta ordinaria, in attesa che esca una nuova ricerca dell'università di Amsterdam dal titolo: "Intercettazione di postini, tramite l'uso di cani affamati" .

    Quindi invece che lamentarsi della sicurezza di SPID2 e dei suoi problemi, vediamo di tenere in considerazione quello che dice VERAMENTE quella ricerca, che non parla solo di PIN o di telefoni, ma mostra chiaramente come non la semplice "convergenza" desktop/mobile, ma soprattutto il cloud e i meccanismi di sincronizzazione aggiunti ad minchiam dai vari fornitori di servizi siano il reale problema.

    Un telefono che appena attivato mi spara tutte le fotografie, la rubrica, i miei impegni, le mie ricerche, in remoto, che fa il backup di tutto quello che ho (compresi i token), e lo mette su un server sconosciuto, che ha la testiera software che si può aggiornare vi Internet con un sistema di keylogging ad apprendimento, integrato con il correttore automatico e magari dizionari online, è ovviamente una ca*ata per design.

    Su un sistema così, che per altro cambia automaticamente di giorno in giorno, si scarica automaticamente gli aggiornamenti di non so cosa in non so che modo, io non installo l'APP che permette l'accesso alla mia banca, uso un browser su una chiavetta Linux in read only.

    Il problema è che tra un po`sparirà anche l'interfaccia browser, visto che ormai il futuro è quello lì e Windows 10 l'ha definitivamente sdoganato e istituzionalizzato, quindi anche con lo SPID8000 inventato da Cory Doctorow in persona, non cambierebbe nulla, perché gli idioti, idioti sono e idioti restano.
    non+autenticato
  • L'altra faccia della medaglia è usare tutti Gentoo e compilarsi a mano qualsiasi sw (compreso il lato client di SPID)(*)... ma credo confligga con il discorso "accessibilità" (per il famoso cittadino medio), giusto?

    (*) come hanno fatto i cinesi con COS su CPU Dragon.
    883
  • - Scritto da: Sky

    Ah beh ... Gentoo non è nulla ... se vogliamo aumentare l'accessibilità, un bel linux from scratch. Tanto che vuoi che sia ? Calamari stesso, è un esperto di Linux, lo cita sempre quando si lamenta dei virus.
    non+autenticato
  • - Scritto da: Sky
    > L'altra faccia della medaglia è usare tutti
    > Gentoo e compilarsi a mano qualsiasi sw (compreso
    > il lato client di SPID)(*)...

    Non è mica sufficiente, eh. Prima di compilarsi del codice, bisognerebbe leggerlo (e capirlo, soprattutto) per assicurarsi che non ci siano backdoor, così come anche bisognerebbe leggersi il codice del compilatore.

    Perché avere fiducia in chi scrive il codice o in chi dice di averlo controllato, se non lo hai in altre situazioni?
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | 5 | Successiva
(pagina 1/5 - 21 discussioni)