Marco Calamari

Lampi di Cassandra/ SPID, un dibattito è indispensabile

di M. Calamari - La segnalazione di Cassandra sulle falle strutturali di SPID è stata raccolta, ma le perplessità restano. E' per questo motivo che il confronto tra esperti e istituzioni è d'obbligo. Magari nel contesto di e-privacy

Roma - SPID è stato l'oggetto dell'esternazione di Cassandra di qualche settimana fa. Agenda Digitale, testata telematica di informazione che tiene traccia dei passi dell'Italia verso la digitalizzazione, pubblica oggi un articolo di risposta e chiarimenti.
In primis, Cassandra ringrazia per l'interessante dialettica gli autori dell'articolo, due rappresentanti di una azienda che opera nell'ambito della digitalizzazione, e la testata, e coglie l'occasione per invitare aspiranti relatori rappresentanti del quotidiano o dell'AgID all'edizione 2016 di e-privacy che si svolgerà il 24 e 25 giugno a Pisa ed il cui tema "SPID ed Identità Digitale" è appunto integralmente dedicato a queste problematiche.

Detto questo, ed entrando nel merito, l'articolo di chiarimenti di Agenda Digitale è interessante, ma a parere di chi scrive non risponde a nessuno dei punti sollevati nell'articolo di Cassandra, e nemmeno a quelli del paper dell'università di Amsterdam che l'articolo citava. In buona sostanza la risposta degli autori contiene una ottima dettagliata spiegazione di come funzionano gli attacchi "Man in the Browser", e la riduttiva e poco utile conclusione che se il pc è infettato non c'è nulla che si possa fare; cita anche un interessante articolo sulle responsabilità legali di una situazione di questo tipo.

Lascia però senza risposta la maggior parte delle problematiche sollevate dal paper e dall'articolo di Cassandra: riassumiamole e chiariamole brevemente.
Il paper conclude sostenendo in buona sostanza che, con l'aumento della complessità dell'ecosistema dell'informatica personale, l'autenticazione a due fattori si avvia ad essere insufficiente, e che comunque quella con token software (SMS sul cellulare) è molto più debole di quella con token hardware (portachiavi col numeretto che cambia ogni minuto), e per questo la prima deve essere scartata in favore della seconda.
Infatti i malware più evoluti, dopo aver infettato il pc, tentano anche di infettare il cellulare. Quando l'operazione ha successo, invece di dover aspettare che l'utente svolga una singola transazione per fare una ed una sola transazione fraudolenta, essi possono cominciare ad operare a nome e per conto dell'utente in un numero illimitato di transazioni completamente invisibili ad esso.

Se poi il metodo compromesso non è quello di una singola banca, ma quello di una identità digitale come lo SPID-2, i malware possono operare non solo sul sito compromesso, ma su qualunque altro sito che usi la SPID-2 con SMS, sempre senza che l'utente, che nel frattempo può anche essere a letto a dormire, possa accorgersi di nulla.
Quantitativamente la differenza di rischio è abissale, e l'articolo purtroppo non ne fa cenno.

La contromisura sarebbe semplicissima: basterebbe che i fornitori di SPID-2 fossero obbligati ad offrire solo la versione con One Time Password Generator (portachiavi con numeretto che cambia ogni minuto) e tutti questi profili di rischio scomparirebbero.
Ma costa di più, e guarda caso nessuno dei tre provider attuali (e futuri) di SPID la offre, come pure nessuno offre la ancora più sicura SPID-3.

L'articolo di Agenda Digitale non risponde nemmeno all'affermazione che la SPID-1, fornita insieme alla SPID-2, è così rischiosa, per motivi simili, che non dovrebbe (a parere di chi scrive) neppure esistere, e che l'unica infrastruttura di identità digitale ragionevolmente sicura è quella SPID-3.
SPID-3 però non solo ancora non esiste, ma non è neppure necessaria, esistendo ben due sistemi già implementati, la CSA - Carta Nazionale dei Servizi (tessera sanitaria) e la Firma Elettronica Certificata (dispositivi di firma normali).

Su queste problematiche non c'è stato ancora confronto, ed e-privacy sarebbe un eccellente canale per servire bene il pubblico facendo informazione completa su opportunità e rischi di un sistema pubblico di identità digitale.
Rinnovo perciò l'invito a confrontarsi a Pisa il 24 e 25 Giugno.
Vi aspettiamo.

Marco Calamari
Lo Slog (Static Blog) di Marco Calamari
L'archivio di Cassandra/ Scuola formazione e pensiero
Notizie collegate
  • SicurezzaLampi di Cassandra/ Lo SPID è nato morto?di M. Calamari - I sistemi di autenticazione a due fattori gestiti tramite SMS soffrono di problemi strutturali, suggerisce una ricerca dell'Università di Amsterdam. SPID-2 si basa proprio su questo meccanismo
29 Commenti alla Notizia Lampi di Cassandra/ SPID, un dibattito è indispensabile
Ordina
  • finché respiri, finché ci vedi, ci senti, riesci a interagire e ti funziona il cervello:

    NON MOLLARE MAI, scrivi, rompi le palle, rispondi, obietta, fai pensare.
    non+autenticato
  • Buonasera, sono molto d'accordo, direi per principio, sul fatto che iniziative come quella di SPID siano oggetto di una pubblica discussione. Segnalo in tal senso che nell'ambito del SecuritySummit di Roma, l'8 Giugno ne parleremo in questa tavola rotonda:
    https://www.securitysummit.it/roma-2016/tavole-rot.../

    L'evento è liberamente fruibile, previo registrazione.
  • con queste pagine dinamiche del cavolo, che si aggiornano in continuazione, ogni pochi secondi il testo viene riposizionato e la lettura ne è ostacolata.
    non+autenticato
  • - Scritto da: Giacomo
    > con queste pagine dinamiche del cavolo, che si
    > aggiornano in continuazione, ogni pochi secondi
    > il testo viene riposizionato e la lettura ne è
    > ostacolata.

    Leggi questo visto che ti piace leggere:

    https://www.maketecheasier.com/disable-web-page-au.../

    Così magari la smettete pure di romperci il tasso.
    non+autenticato
  • non sarebbe è sufficiente avere un celluare senza accesso a internet, non smartphone, con una sim dedicata da usare quindi solo come token per tutti questi servizi?
    non+autenticato
  • Non e' molto meglio un piccolo token che genera i codici temporanei ? Piu' leggero , non si scarica la batteria sul piu' bello , non richiede una sim ( su tutte le sim stanno comparendo dei costi fissi per servizi "super-mega-vantaggiosi" che non servono a nulla ! )
    non+autenticato
  • - Scritto da: lorenzo
    > Non e' molto meglio un piccolo token che genera i
    > codici temporanei ? Piu' leggero , non si scarica
    > la batteria sul piu' bello , non richiede una sim

    Lo devi cambiare ogni due anni, giusto? E magari devi fare pellegrinaggi burocratici per averlo, come in banca.

    E se uno tirasse fuori il vecchio cellulare del nonno dal cassetto, ci mettesse sopra una SIM Tiscali ricaricabile solo voce (che non scade), certificasse quel numero lì e campasse tranquillo?A bocca aperta
  • - Scritto da: ZLoneW

    >
    > Lo devi cambiare ogni due anni, giusto?

    no.
    quello della mia banca ce l'ho di più di 10 anni
    non+autenticato
  • Il token dura parecchio il vecchio cellulare con la batteria ni-mh bruciata un poco meno ... per non parlare del peso e delle dimensioni e del fatto che non e' legato ad un terzo ( sim ) per funzionare .
    non+autenticato
  • Non è un problema di pila, è un problema di sequenza pseudocasuale.

    Sono stato correntista di una banca che imponeva la sostituzione ogni tot anni, pochi, mi sembra due.

    Il dispositivo continuava a funzionare, ma veniva rifiutato il codice al login, con l'invito a sostituirlo.
  • - Scritto da: ZLoneW
    > Non è un problema di pila, è un problema di
    > sequenza pseudocasuale.
    >
    > Sono stato correntista di una banca che imponeva
    > la sostituzione ogni tot anni, pochi, mi sembra due.
    >
    > Il dispositivo continuava a funzionare, ma veniva
    > rifiutato il codice al login, con l'invito a sostituirlo.

    Sara' stato un problema/caratteristica del sistema della tua banca.
    Ce lo vedi un cracker che ogni minuto, per mesi, si annota il numerello e poi ci fa astrusi calcoli sopra? Io no, e comunque ti dovrebbe aver rubato il token senza che tu te ne accorgessi per un lungo periodo.
    Alla fine ricostruirebbe la chiave segreta del tuo token ... e poi? Se voleva rubare a te ha gia' in mano il tuo token ....

    I token non hanno problemi di pseudocasualita'-
    Comunque, almeno quelli RSA che ho davanti hanno una data intrinseca di scadenza incisa sul retro, non foss'altro per i problemi di batteria.
    Pero' e' il 2019 nel mio token, cioe' 8 anni da quando me l'hanno dato.
    non+autenticato
  • No, con il token in mano e osservando i numerelli che cambiano non determini la chiave embedded neanche se piangi in turco...
    non+autenticato
  • Marco, tu hai ragione su SPID3. Ragione sul piano della sicurezza.

    Però dimentichi che SPID è pensato per essere USABILE dagli utOnti.
    Per farti capire chiaramente cosa intendo ti chiedo se hai mai provato a configurare una "postazione di firma" o un "posto di lavoro" per la CNS.

    Allora...
    -Devi avere un PC. Nel migliore dei casi è un ultra-portatile, nel peggiore un desktop che non puoi muovere dalla scrivania
    -Devi avere un lettore di smart card. Fortunatamente alcuni certificatori forniscono dei token USB
    -Devi installare i driver del lettore/token
    -Devi installare il CSP (Crypto Service Provider) che legge i certificati dalla smart card


    Se hai un Mac o un sistema Unix non ho la benchè minima idea di come si configuri una postazione.

    L'utOnto medio è una persona che informatica non ne mastica. All'utOnto si chiede, a prescindere da Winzozz, Mac o Linux di:

    -Inserire lo user name annotato sul post it
    -Inserire la password annotata sullo stesso post it
    -Aspettare che arrivi l'SMS

    Ora... già dare un token hardware potrebbe essere una scelta azzeccata sempre per la storia della sicurezza, così non resta un punto vulnerabile nella catena.
    Ma pensa che addirittura c'è una banca... olandese... arancione... fan delle zucche di Halloween...
    Che ai clienti, a grande richiesta, ha sostituito la "carta dei codici operativi" con un'applicazione iOS/Android che genera gli stessi codici one time.

    Sottolineo questo: a grande richiesta!

    L'utOnto medio non vuole riempirsi la borsa di: chiavette, tessere, post it con le password, strani congegni elettronici che potrebbero essere scambiati per mini-dildo.

    SPID non è perfetto. Sempre meglio di quell'obbrobbio della PEC.
    Ai posteri l'ardua sentenza
  • Linux : installi driver lettore usb , installi servizi di gestione delle smartcard ( se non sono gia' installati ) , inserisci la smartcard , digiti pin .
    non+autenticato
  • - Scritto da: lorenzo
    > Linux : installi driver lettore usb , installi
    > servizi di gestione delle smartcard ( se non sono
    > gia' installati ) , inserisci la smartcard ,
    > digiti pin
    > .


    OSX: paghi! il resto "it's magic!"
  • Ok mi dici le istruzioni che provo a farlo fare a mia madre? Sorride

    Indoviniamo un po'...


    Per trovare i driver del lettore cerchi su apt/yum/yast. Uff non c'è.
    Sbatti a cercare il sito del produttore. Cacchio è in formato deb, io ho suse...

    No allora vediamo i sorgenti. Ok sì... configure... ma la option --prefix...

    Ok poi per essere sicuro devo controllare udev e farmi un init script

    Servizi di gestione della smart card non ci sono, uff stessa trafila di prima...

    No forse ho esagerato un po', ma seriamente mia madre preferirebbe il PIN sul post it. Io glielo dico che non è sicuro, ma lei lo custodisce gelosamente. Me ne farò una ragione?
  • Che senso ha lo spid senza un pc ?
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 8 discussioni)