giovedì 30 giugno 2016
SPID, ecco le (FALSE) falle della tecnologia usata: necessaria maggiore buona comunicazione
A mio personalissimo avviso e con tutto il rispetto per l'autore l'articolo riporta in modo al limite dell'artificioso alcune informazioni di carattere tecnico, come esempi di vulnerabilità specifiche del Sistema Pubblico di Identità digitale. Vediamole insieme e verifichiamo se la vulnerabilità paventata è tecnicamente rilevante.
"Anzitutto il primo attacco che può essere tentato è quello di “iniettare” del codice malevolo presso l’identity Provider in modo che quando gli utenti chiedono di accedere inserendo user e password il codice lo invia ad un sito dove gli hacker possono raccogliere questi dati. Questo tipo di attacco non funziona se il sito è controllato e sottoposto a misure di sicurezza solide e se l’utente deve identificarsi con un meccanismo “a due fasi” (ad esempio tramite conferma via sms) o tramite token."
Come lo stesso autore indica questa segnalazione di vulnerabilità è puramente accademica: è sufficiente una azione di controllo costante sul "sito" e il pericolo è scongiurato.
Controllo che, come meglio specificato tra qualche riga, esiste.
E poi
"Tuttavia le specifiche SPID prevedono che il livello base di identificazione sia fatto tramite user e password per alcuni servizi (ad esempio il controllo delle multe da pagare o altri servizi). Tali servizi possono apparire di basso impatto ma se sono fatti attacchi suindicato come personalità molto note possono creare notevoli danni economici al personaggio. AGID non ha emanato raccomandazioni su come realizzare “finestre di input” in modo sicuro e su come provarne la sicurezza."
L'autore purtroppo riporta un'informazione errata.
Infatti in questo documento emesso da AGID si vede che non è possibile accedere a servizi come quello del controllo delle multe con solo login e password.
gli unici servizi citati come accessibili con livello 1 (login e password) sono:
-Servizio di personalizzazione (della grafica del sito pubblicamente consultabile)
-Consultazioni civiche (ossia poco più di un forum)
-Richiesta informazioni di carattere generale (che non hanno quindi impatti sulla privacy)
"Purtroppo sono spesso riscontrati buchi di sicurezza dei browser che possono consentire a codice malevolo di accedere a questi dati e poi cominciare a fare richieste in modo invisibile all’utente. Il protocollo non tiene traccia di informazioni aggiuntive che consentono di capire da dove arriva la richiesta e se è ancora valida."
questo pericolo non è collegato a SPID o au un sistema specifico, sinceramente non apprezzo l'accenno fatto in quanto rischia di generare un senso di "terrore" nell'utente non ancora smaliziato.
"Il protocollo SAML utilizza una cifratura che identifica il token che chiede accesso ai servizi. E’ stato dimostrato che è possibile manomettere questo token, malgrado la cifratura, e utilizzarlo per chiedere accesso all’insaputa degli utenti."
Queste affermazioni tecniche non mi trovano concorde enon mi risultano dimostrate.
SAML non utilizza "token" ma asserzioni che hanno una validità di tempo dell'ordine di qualche minuto e che una volta utilizzati non possono essere "riutilizzati" in modo malevolo.
Temo che l'autore si sia confuso con il protocollo oauth nella sua versione precedente, protocollo che non è utilizzato in SPID.
"In generale il protocollo SAML presenta cinque rischi principali suddivisi in un elenco di circa 13 tipologie di attacco"
questa affermazione fa riferimento ad un articolo redatto nel 2012 (Is SAML An Effective Framework For Secure SSO? ”, Vinayendra Nataraja, 2012) ossia bel 4 anni fa.
Lo stesso articolo citato indica nelle conclusionila soluzione per mitigare i rischi, principalmete connessi all'uso del browser utente come "pivot" della comunicazione tra le parti attrici.
" To mitigate risk, SAML systems need to use timed sessions, HTTPS, and SSL/TLS" cosa che in SPID è già avviene.
altra informazione a mioavviso mal veicolata:
"Infine un ulteriore attacco a cui sono sensibili i due protocolli utilizzati (SMAL e TLS/SSL) è il “Denial of Service”, questo attacco consente ad un criminale informatico di poter mettere in atto una iniziativa volta a rendere impossibile l’operatività del servizio.
Questa tipologia di attacco è particolarmente problematica nel caso di SPID perché potrebbe bloccare tutti i servizi digitali dello Stato bloccando l’erogazione via internet"
Proprio per l'utilizzo di SAML e di vari gestori di identità e vari gestori dei servizi SPID è una federazione composta da vari nodi.
Nel caso che uno di questi non possa più erogare il servizio gli altri nodi non vengono interessati.
Certo, ci possono essere dei disagi per una parte degli utenti che vogliono utilizzare lo specifico servizio che ipoteticamente è stato reso non opertaivo, ma gli altri servizi continuano a funzionare in modo indipendente.
Auspicando che queste mie note possano essere utili alla comunità ringrazio l'autore dell'articolo in questione per aver dato la possibilità di trattare questi argomenti.
E pur rispettando ogni opinione rivolgo un invito al fine di una maggiore attenzione nella comunicazione, che se non attenta invece che generare informazione rischia di generare disinformazione.
Questo detto ecco un estratto (spero non troppo tecnico) di come viene garantita sicurezza ed operatività in uno dei tanti servizi presenti nella federazione SPID.
Il monitoraggio implementato sui sistemi è orientato a verificare:
-lo stato di efficienza in termini di performance, occupazione di spazi fisici e logici, temperatura ambientale;
-la disponibilità dei sistemi (check di raggiungibilità, controlli sulle connessione attive, ecc.);
-l’esecuzione ed il corretto funzionamento delle applicazioni;
-la sistematica e corretta sincronizzazione dei sistemi con la fonte oraria di rife
rimento;
-l’assenza di tentativi di accesso non autorizzato;
-che i livelli di servizio siano effettivamente rispettati;
-che i processi di conservazione dei log e delle evidenze siano correttamente eseguiti.
Qualora nel corso delle operazioni di verifica e monitoraggio, il team di gestione rilevi anomalie nel funzionamento del servizio, sono attivate le analisi al fine di comprenderne cause e conseguenze nonché determinare le azioni da
intraprendere
Gli eventi significativi che hanno impatto sul servizio sono notificati alla Service Control Room del Gestore dell’Identità Digitale.
I cambiamenti di stato dell’evento vengono monitorati e notificati agli attori interessati.
Il gestore si avvale di gruppi specialistici per il monitoraggio della sicurezza dei Sistemi informativi che erogano il servizio
.
In particolare sono svolte attività di rilevazione tempestiva di eventi ed allarmi critici per la sicurezza informatica per mezzo della continua osservazione dell’infrastruttura gestita.
I suddetti eventi/allarmi sono rilevati attraverso piattaforme di Intrusion Prevention atte a difendere applicazioni e dati critici da attacchi avanzati e piattaforme di “Security Information and Event Management”per la raccolta degli eventi di Sicurezza.
Le consolle di monitoraggio sono configurate per il controllo continuo e
la produzione di allarmi e report di sicurezza per le diverse tipologie di
controlli effettuati. Con cadenza settimanale è prodotta la reportistica degli eventi verificatisi, al fine di valutare l’ efficacia dei controlli attuati.
La struttura
Tutela Aziendale Fraud-Management al fine della prevenzione e gestione delle frodi sul canale internet, detiene una soluzione di Adaptive Authentication denominata “Fraud DNA”, basata su tecnologia RSA che, in maniera automatica, delinea uno scoring di rischio della sessione di autenticazione al sito.
Tale score è computato in funzione del riconoscimento del finger print della sessione (caratteristiche tecniche del dispositivo utilizzato: IP, configurazione
dei parametri di rete, S.O., browser, ...) rispetto al comportamento tipico del cliente archiviato nella kwnoledge base di Poste Italiane. Inoltre è stato
integrato nell’infrastruttura Fraud DNA un servizio antimalware fraud detection volto alla rilevazione dell’eventuale presenza di codice malevolo sulla
postazione del cliente.
Il sistema cataloga in real time gli accessi ai siti di Poste ma è impostato in modalità “invisible” lato cliente in modo da consentire comunque l’accesso del cliente anche in caso di rilevazione “High Risk”. Le attività di monitoraggio ed analisi eseguite successivamente analizzando gli scoring a più alto rischio concretizzano eventualmente il blocco degli account confermati compromessi.
Presidi di Sicurezza
Il Gestore si av vale di gruppi specialistici per il monitoraggio della sicurezza
dei s istemi informativi che erogano il servizio .
L’ infrastruttura di sicurezza è costituita dall’insieme dei sistemi e degli apparati adibiti alla protezione dell’ambiente tecnologico ed applicativo dedicato al servizio, nonché dai meccanismi di protezione dei dati transitano o risiedono sui sistemi.
Sono svolte attività di rilevazione tempestiva di eventi ed allarmi critici per la sicurezza informatica per mezzo della continua osservazione dell’infrastruttura gestita. I suddetti eventi/allarmi sono visualizzati principalmente attraverso specifiche console di monitoraggio.
Ciascuna console è configurata per monitorare eventi diversi e produrre allarmi e report in funzione delldi come a tipologia dei controlli effettuati. Con cadenza settimanale è prodotta la reportistica degli eventi verificatisi
al fine di valutare l’efficacia dei controlli attuati.
Le attività di monitoraggio delle componenti di sicurezza attraverso il controllo e l’analisi dei report viene utilizzata anche ai fini della prevenzione degli incidenti di sicurezza. Gli eventi riscontrati sono classificati in funzione della loro gravità e degli impatti che possono avere sugli asset; in relazione a tale classificazione, sono identificate le contromisure idonee a gestire l’evento. Quando dall’evento scaturisce un danno, sono svolte le attività necessarie ad accertare e valutare il danno subito nonché a definire il piano di ripristino.
martedì 21 giugno 2016
#spid in arrivo altri due gestori di identità
"In arrivo due nuovi gestori dell'identità del sistema pubblico di identità digitale"
Questa una delle notizie anticipate da Antonio samaritani direttore dell'Agenzia per l'Italia digitale ai membri della community facebook SPID durante la prima video interattivo con i membri della community, i quali potevano avanzare domande ed avere risposte proprio dal massimo responsabile dell'attuazione delle Agenda Digitale italiana all'interno della quale il sistema pubblico d'identità digitale è uno degli architrave insieme al sistema dei pagamenti elettronici pago PA.
Di due candidati probabilmente uno in gruppo Aruba infatti durante FORUM PA Toscana Andrea Sassetti, direttore dei servizi di certificazione, ha annunciato che la società è pronta ad assumere il ruolo di gestione dell'identità digitale.
mercoledì 15 giugno 2016
"Come favorire la diffusione della cultura digitale in Italia" - Antonio Samaritani, DG AgID
=Il problema=
Secondo l'OCSE, come Sistema Italia, siamo ancora agli ultimi posti per il rapporto digitale tra cittadini e uffici pubbliciSolo una piccola percentuale degli italiani lo scorso ho avuto rapporti con uffici pubblici tramite tecnologie digitali, è necessario attuare uno scatto in avanti per ridurre il divario con il resto dell'Europa.
E' interessante sottolineare come noi italiani abbiamo ancora oggi un divario forte nel servizi di eGovernment sia dovuto sostanzialmente dal rapporto rapporto tra cittadino e la pubblica amministrazione mentre "siamo messi molto bene in termini di produzione di servizi".
Il sistema Italia ha un numero e una qualità di servizi digitali della pubblica amministrazione che sono allineati al resto dell'Europa ma la propensione all'utilizzo è sensibilmente inferiore a quella del resto dell'Europa.
Il fenomeno non è solo della pubblica amministrazione, è bensì un fenomeno complessivo.
Ad esempio i tassi di utilizzo di internet per il commercio elettronico in Italia rispetto al resto dell'Europa presenta un differenziale di circa 15 minuti quindi il tema da affrontare è un tema prevalentemente culturale, di propensione all'utilizzo dei servizi digitali da parte della popolazione italiana.
=la strategia=
Stiamo lavorando fortemente in un progetto organico di revisione della pubblica amministrazione, progetto voluto dalla riforma Madia e che vede il digitale come il sostegno alla trasformazione.Tutto nasce da un documento del governo: il documento di strategia per la crescita digitale che, per l'appunto, definisce quali siano i servizi da implementare per primi.Sulla base di questo documento sono nate due priorità fondamentali:
-l'implementazione e l'attuazione del sistema pubblico d'identità digitale
-la diffusione e la piena copertura sul territorio dei pagamenti elettronici.
Questi due elementi sono come architravi in tutta la trasformazione perché l'identità digitale è in sé servizio con cui si semplifica l'accesso ai servizi e che fa sì che possiamo rinunciare a tutte le password diverse e alla registrazione su innumerevoli servizi della PA con conseguente fatica, perdita di tempo e disaffezione del cittadino utente che trova complicato ed inutile ripetere sempre gli stessi passaggi di registrazione.
La seconda, i Pagamento elettronici, è fondamentale perché esiste una correlazione fortissima tra pagamenti elettronici e propensione all'utilizzo dei servizi digitali: infatti chi usa il pagamento elettronico è un utente maturo e quindi passare ai pagamenti digitali implica proporre all'utenza di trasformarsi, di "maturare" e di acquisire competenze e consapevolezze .
= A che punto siamo?=
Riguardo al sistema dei pagamenti elettronici vorrei far notare che solo l'anno scorso avevamo 250 amministrazioni collegate al sistema nazionale mentre oggi nel oggi ne abbiamo 15 mila.Al pari l'anno scorso si parlava di identità digitale e stavamo lavorando per mettere i regolamenti dell'identità digitale il 15 marzo ultimo scorso ha preso il via la fase operativa di SPID ( sistema per l'identità digitale) ed oggi abbiamo 60.000 cittadini che utilizzano l'identità digitale unica.
Ovviamente dobbiamo arrivare a diffondere il servizio massicciamente però possiamo affermare che il periodo di test sta già concludendosi e che stiamo orientando ad una diffusione massiva,
=La sintesi =
Abbiamo detto che c'è un gap, certificato da OCSE, ma contemporaneamente c'è una forte accelerazione (peraltro riconosciuto dagli stessi dati OCSE).L'Italia è indietro però è anche tra i paesi che stanno crescendo con maggior velocità.