San Francisco – Il sasso nello stagno l’ha lanciato per primo Amit Yoran, presidente di RSA, che sul palco durante il keynote di inaugurazione della edizione 2016 della storica convention che si tiene in California da 25 anni ha detto senza mezzi termini che si deve cambiare mentalità: non basta semplicemente installare un software per garantire a posteriori la sicurezza di un server, di un servizio o di una intera organizzazione , bensì occorre iniziare a penare in modo creativo e come fare ad assicurare alla propria infrastruttura adeguati livelli di protezione anche in presenza di un’emergenza. Un approccio, insomma, più umano e meno automatico: e lo stesso approccio RSA, costola di EMC a sua volta in procinto di essere acquisita definitivamente da Dell, lo propone in tanti dei prodotti che sta lanciando sul mercato.
Tra gli annunci di RSA Conference 2016 c’è ad esempio la nuova versione di RSA Via, soluzione pensata per gestire in modo organico le identità e l’autenticazione in organizzazioni di qualunque complessità. E l’approccio seguito da RSA per gestire questa delicata questione è tutt’altro che banale: “Stiamo attraversando un periodo di profondi cambiamenti – spiega a Punto Informatico Kayvan Alikhani, responsabile tecnologico per il prodotto RSA Via – con l’autenticazione che è passata da essere un’esperienza fortemente legata al rapporto server-client a un processo sempre più legato al device, magari dotato di sistemi di identificazione biometrica, e alla cosiddetta root of trust . Anche il movimento verso il cloud però fino a questo punto è stato fortemente legato a una questione di convenienza economica: un meccanismo che vediamo ripetersi, ma che non garantisce rispetto alla progettazione sicura dei prodotti e dei servizi, o alla loro facilità d’uso”.
La questione, ci spiega, è che si deve senz’altro tenere conto della semplicità con la quale gli strumenti di autenticazione devono e possono essere utilizzati, ma senza trascurare l’efficacia delle soluzioni scelte : “Abbiamo visto accadere cose interessanti in questo settore, con diversi approcci che sono riusciti a superare la dolorosa procedura classica della password a favore di metodi e tecnologie più moderne: l’idea di avvicinare uno smartphone al viso per far riconoscere la forma del volto o l’iride sta diventando familiare, così come si sono moltiplicati i dispositivi (smartphone e non solo) che incorporano altri sistemi di identificazione biometrica come quello dell’impronta digitale. La diffusione di elementi di sicurezza embedded all’interno dei device ha poi permesso di gestire le operazioni di cifratura direttamente a bordo dell’hardware locale, senza dover ricorrere all’autenticazione remota”.
Il problema è il bilanciamento tra queste nuove forme di identificazione e riconoscimento, tanto comode visto che basta appoggiare il dito su un sensore incorporato in uno smartphone, e il corrispettivo livello di sicurezza garantito: se l’impronta può essere sostituita da un codice numerico a 4 cifre, dice Alikhani, invece di rafforzare la sicurezza del sistema si finisce per indebolire il processo . Il principio però resta valido: “Pensate a TouchID di Apple – prosegue – e al fatto che consenta di autenticarsi con un singolo dato, la vostra impronta, per effettuare acquisti su molteplici piattaforme e di molteplici beni: è un passo importante. Allo stesso tempo, le vostre credenziali non vengono trasmesse a un server remoto, rimangono sul dispositivo usato, e ciò è un altro vantaggio tangibile di questo approccio che non accentra le credenziali di milioni di utenti su un server che può essere violato”.
Tra gli obiettivi centrati recentemente da questa industria, Alikhani ci tiene a sottolineare la costituzione della FIDO Alliance : un luogo dove, ci spiega, finalmente si è proceduto di concerto tra quasi la totalità dell’industria coinvolta alla standardizzazione di questi nuovi metodi di autenticazione e identificazione, con l’obiettivo chiaro di semplificare l’esperienza dal lato utente senza per questo indebolire il valore complessivo della sicurezza offerta dai servizi che adottano le specifiche FIDO. Lui stesso cita le sperimentazioni di Google che ha voluto provare un metodo basato sull’impiego di una chiave hardware per garantire l’identità di un PC, approccio che ora è entrato a far parte anche del prodotto RSA Via di cui Alikhani cura lo sviluppo.
Sembrano cambiamenti da poco, ma si portano dietro una serie di conseguenze non banali: per esempio il phishing può essere messo seriamente in crisi da questo tipo di autenticazione , visto che l’identità dell’utilizzatore è legata al dongle USB locale da agganciare al PC ed elimina la necessità di far circolare le proprie credenziali via Rete. Non dovendo più andare a popolare i campi di una pagina Web, magari per accedere al sito contraffatto della propria banca, si annulla il rischio di fornire più o meno volontariamente i propri dati ai malintenzionati. Il risultato è che ci sono meno informazioni sensibili in circolazione, e si complica la vita a chi voglia provare a fare “pesca a strascico” (mentre ovviamente gli attacchi su misura indirizzati a una singola persona o organizzazione sono un’altra storia:) il fatto stesso che per violare l’identità di 1 milione di persone che usano lo smartphone come token per l’accesso si dovrebbe sottrarre loro 1 milione di smartphone (uno a testa) è un passo in avanti.
Nel corso della conversazione naturalmente fa capolino anche la vicenda Apple-FBI, citata tra l’altro più volte sul palco del Moscone Center durante le keynote mattutine: “Senza entrare nello specifico – dice Alikhani a Punto Informatico – è importante quando si progetta un sistema di sicurezza che sia tale a tutti i livelli e sia privo di aperture che complicherebbero la vita a chi lo progetta o a chi lo utilizza”. Siamo già in una fase complicata, prosegue, durante la quale non tutti gli utenti dispongono già di apparati dotati dei giusti ritrovati tecnici: inserire ulteriori fattori che potenzialmente potrebbero minare questi nuovi approcci viene percepito come il fumo negli occhi. Inoltre, bisogna sconfiggere la attuale mentalità che pone la password solo alla fine della progettazione di un prodotto come barriera poco efficace all’accesso indiscriminato ai dati: la password è una soluzione tampone vecchia, pensata in altra epoca quando ci si è trovati nella necessità di risolvere un problema in fretta e non si ipotizzavano i molteplici rischi odierni , ma un servizio sviluppato oggi non può continuare a fare affidamento su una tecnologia antidiluviana per assicurare la propria sicurezza.
La soluzione prospettata, in ogni caso, va oltre la semplice implementazione di uno o più ritrovati software che da soli non possono risolvere il problema dell’autenticazione e della sicurezza: secondo Alikhani è indispensabile calarsi nella realtà delle attività svolte dagli utenti, cercando di fondersi con il loro modo di lavorare e di utilizzare i diversi servizi e strumenti, arricchendo la loro esperienza. E anche questo è un tema già raccontato dal presidente Yoran durante il keynote: la sola tecnologia non basta, occorre prevedere l’intervento umano che declini la soluzione sul caso specifico e che modelli nel tempo anche la diversa modalità di interazione con il livello del rischio legato alla singola operazione o informazione scambiata. Alikhani la chiama la politica del “what if”, ovvero cercare di prevedere alternative e soluzioni nel caso di imprevisti.
L’approccio di RSA Via in questo senso è significativo: lato server c’è la massima attenzione nel comprendere ogni tipo di autenticazione e tecnologia ad essa collegata nel software, ma poi sta all’acquirente e a chi utilizza la soluzione scegliere caso per caso quale tipo di livello di sicurezza applicare. Questo significa poter variare il meccanismo di autenticazione a seconda del livello del dipendente (un dirigente maneggerà teoricamente dati più preziosi di un impiegato), del contesto, del luogo in cui ci si trova e dell’operazione svolta : se siamo operando su un conto bancario, ad esempio, operazioni insolite potrebbero far scattare la richiesta di autenticazione ulteriore o secondo criteri più rigidi, così da garantire sia il fornitore del servizio che l’utente finale. Anche l’implementazione di queste policy non può prescindere dall’apporto umano, che deve influenzare la gestione dei criteri secondo uno schema che si evolva nel tempo anche per fare fronte a nuovi tipi di minacce. E la chiusura su un solo metodo di autenticazione non è salutare, poiché la violazione di quel singolo fattore può spalancare la porta a tutte le informazioni presenti (citato il caso OPM )
“Il punto è offrire una scelta: se uso il riconoscimento facciale ed è troppo buio? Se uso le impronte digitali ma non posso usare il sensore perché fa freddo o perché indosso i guanti? Se l’unica alternativa che mi viene proposta è inserire un codice di 4 cifre al posto del mio riconoscimento biometrico, sto indebolendo la catena della sicurezza che circonda i miei dati” continua Alikhani. La visione proposta da RSA, spiega, prevede la fusione tra diversi sistemi e diversi criteri di autenticazione in grado però di garantire un livello costante di sicurezza: e l’obiettivo è promuovere un approccio consapevole anche tra i clienti che scelgono i prodotti della divisione di sicurezza di EMC, permettendogli di sfruttarli al meglio.
Il punto è, ancora, che l’utilizzo delle sole password come strumento di protezione dei dati si è rivelato inefficace : le password possono essere violate, per rendere efficace una password si deve sacrificare la sua facilità d’uso, gli utenti finiscono per usare spesso la stessa semplice parola per più account. “Bisogna superare questo stadio, è un Golia che deve essere ancora sconfitto: dipendiamo ancora troppo da questi vecchi schemi che non garantiscono un livello adeguato di protezione. Come RSA – conclude Alikhani – non crediamo che ci sia un solo metodo, una sola soluzione tecnologica in grado di garantire la sicurezza in termini assoluti: viviamo in questa realtà complessa che ci costringe a gestire più metodi di autenticazione legati al tipo di compito da svolgere e alla portata dell’azione compiuta, unendo l’analisi del comportamento al riconoscimento biometrico e componendo strato dopo strato un sistema realmente sicuro. Complicato sul piano della sua creazione, ma facile e conveniente da usare per l’utente finale”.
a cura di Luca Annunziata