Quando ho letto il pezzo "SPID, ecco le falle della tecnologia usata: necessarie nuove misure di sicurezza" pubblicato sulla testa on line Agendadigitale sono rimasto prima sorpreso, poi perplesso.
A mio personalissimo avviso e con tutto il rispetto per l'autore l'articolo riporta in modo al limite dell'artificioso alcune informazioni di carattere tecnico, come esempi di vulnerabilità specifiche del Sistema Pubblico di Identità digitale. Vediamole insieme e verifichiamo se la vulnerabilità paventata è tecnicamente rilevante.
"Anzitutto il primo attacco che può essere tentato è quello di “iniettare” del codice malevolo presso l’identity Provider in modo che quando gli utenti chiedono di accedere inserendo user e password il codice lo invia ad un sito dove gli hacker possono raccogliere questi dati. Questo tipo di attacco non funziona se il sito è controllato e sottoposto a misure di sicurezza solide e se l’utente deve identificarsi con un meccanismo “a due fasi” (ad esempio tramite conferma via sms) o tramite token."
Come lo stesso autore indica questa segnalazione di vulnerabilità è puramente accademica: è sufficiente una azione di controllo costante sul "sito" e il pericolo è scongiurato.
Controllo che, come meglio specificato tra qualche riga, esiste.
E poi
"Tuttavia le specifiche SPID prevedono che il livello base di
identificazione sia fatto tramite user e password per alcuni servizi (ad
esempio il controllo delle multe da pagare o altri servizi).
Tali servizi possono apparire di basso impatto ma se sono fatti attacchi
suindicato come personalità molto note possono creare notevoli danni economici al
personaggio. AGID non ha emanato raccomandazioni su come realizzare “finestre di input” in modo sicuro e su come provarne la sicurezza."
L'autore purtroppo riporta un'informazione errata.
Infatti in questo documento emesso da AGID si vede che non è possibile accedere a servizi come quello del controllo delle multe con solo login e password.
gli unici servizi citati come accessibili con livello 1 (login e password) sono:
-Servizio di personalizzazione (della grafica del sito pubblicamente consultabile)
-Consultazioni civiche (ossia poco più di un forum)
-Richiesta informazioni di carattere generale (che non hanno quindi impatti sulla privacy)
"Purtroppo sono spesso riscontrati buchi di sicurezza dei
browser che possono consentire a codice malevolo di accedere a questi
dati e poi cominciare a fare richieste in modo invisibile all’utente. Il
protocollo non tiene traccia di informazioni aggiuntive che consentono
di capire da dove arriva la richiesta e se è ancora valida."
questo pericolo non è collegato a SPID o au un sistema specifico, sinceramente non apprezzo l'accenno fatto in quanto rischia di generare un senso di "terrore" nell'utente non ancora smaliziato.
"Il protocollo SAML utilizza una cifratura che identifica il token che
chiede accesso ai servizi. E’ stato dimostrato che è possibile
manomettere questo token, malgrado la cifratura, e utilizzarlo per
chiedere accesso all’insaputa degli utenti."
Queste affermazioni tecniche non mi trovano concorde enon mi risultano dimostrate.
SAML non utilizza "token" ma asserzioni che hanno una validità di tempo dell'ordine di qualche minuto e che una volta utilizzati non possono essere "riutilizzati" in modo malevolo.
Temo che l'autore si sia confuso con il protocollo oauth nella sua versione precedente, protocollo che non è utilizzato in SPID.
"In generale il protocollo SAML presenta cinque rischi principali suddivisi in un elenco di circa 13 tipologie di attacco"
questa affermazione fa riferimento ad un articolo redatto nel 2012 (Is SAML An Effective Framework For Secure SSO? ”, Vinayendra Nataraja, 2012) ossia bel 4 anni fa.
Lo stesso articolo citato indica nelle conclusionila soluzione per mitigare i rischi, principalmete connessi all'uso del browser utente come "pivot" della comunicazione tra le parti attrici.
" To mitigate risk, SAML systems need to use timed sessions, HTTPS, and SSL/TLS" cosa che in SPID è già avviene.
altra informazione a mioavviso mal veicolata:
"Infine un ulteriore attacco a cui sono sensibili i due protocolli
utilizzati (SMAL e TLS/SSL) è il “Denial of Service”, questo attacco
consente ad un criminale informatico di poter mettere in atto una
iniziativa volta a rendere impossibile l’operatività del servizio.
Questa tipologia di attacco è particolarmente problematica nel caso di
SPID perché potrebbe bloccare tutti i servizi digitali dello Stato
bloccando l’erogazione via internet"
Proprio per l'utilizzo di SAML e di vari gestori di identità e vari gestori dei servizi SPID è una federazione composta da vari nodi.
Nel caso che uno di questi non possa più erogare il servizio gli altri nodi non vengono interessati.
Certo, ci possono essere dei disagi per una parte degli utenti che vogliono utilizzare lo specifico servizio che ipoteticamente è stato reso non opertaivo, ma gli altri servizi continuano a funzionare in modo indipendente.
Auspicando che queste mie note possano essere utili alla comunità ringrazio l'autore dell'articolo in questione per aver dato la possibilità di trattare questi argomenti.
E pur rispettando ogni opinione rivolgo un invito al fine di una maggiore attenzione nella comunicazione, che se non attenta invece che generare informazione rischia di generare disinformazione.
Questo detto ecco un estratto (spero non troppo tecnico) di come viene garantita sicurezza ed operatività in uno dei tanti servizi presenti nella federazione SPID.
Il monitoraggio implementato sui sistemi è orientato a verificare:
-lo stato di efficienza in termini di performance, occupazione di spazi fisici e logici, temperatura ambientale;
-la disponibilità dei sistemi (check di raggiungibilità, controlli sulle connessione attive, ecc.);
-l’esecuzione ed il corretto funzionamento delle applicazioni;
-la sistematica e corretta sincronizzazione dei sistemi con la fonte oraria di rife
rimento;
-l’assenza di tentativi di accesso non autorizzato;
-che i livelli di servizio siano effettivamente rispettati;
-che i processi di conservazione dei log e delle evidenze siano correttamente eseguiti.
Qualora nel corso delle operazioni di verifica e monitoraggio, il team di gestione rilevi anomalie nel funzionamento del servizio, sono attivate le analisi al fine di comprenderne cause e conseguenze nonché determinare le azioni da
intraprendere
Gli eventi significativi che hanno impatto sul servizio sono notificati alla Service Control Room del Gestore dell’Identità Digitale.
I cambiamenti di stato dell’evento vengono monitorati e notificati agli attori interessati.
Il gestore si avvale di gruppi specialistici per il monitoraggio della sicurezza dei Sistemi informativi che erogano il servizio
.
In particolare sono svolte attività di rilevazione tempestiva di eventi ed allarmi critici per la sicurezza informatica per mezzo della continua osservazione dell’infrastruttura gestita.
I suddetti eventi/allarmi sono rilevati attraverso piattaforme di Intrusion Prevention atte a difendere applicazioni e dati critici da attacchi avanzati e piattaforme di “Security Information and Event Management”per la raccolta degli eventi di Sicurezza.
Le consolle di monitoraggio sono configurate per il controllo continuo e
la produzione di allarmi e report di sicurezza per le diverse tipologie di
controlli effettuati. Con cadenza settimanale è prodotta la reportistica degli eventi verificatisi, al fine di valutare l’ efficacia dei controlli attuati.
La struttura
Tutela Aziendale Fraud-Management al fine della prevenzione e gestione delle frodi sul canale internet, detiene una soluzione di Adaptive Authentication denominata “Fraud DNA”, basata su tecnologia RSA che, in maniera automatica, delinea uno scoring di rischio della sessione di autenticazione al sito.
Tale score è computato in funzione del riconoscimento del finger print della sessione (caratteristiche tecniche del dispositivo utilizzato: IP, configurazione
dei parametri di rete, S.O., browser, ...) rispetto al comportamento tipico del cliente archiviato nella kwnoledge base di Poste Italiane. Inoltre è stato
integrato nell’infrastruttura Fraud DNA un servizio antimalware fraud detection volto alla rilevazione dell’eventuale presenza di codice malevolo sulla
postazione del cliente.
Il sistema cataloga in real time gli accessi ai siti di Poste ma è impostato in modalità “invisible” lato cliente in modo da consentire comunque l’accesso del cliente anche in caso di rilevazione “High Risk”. Le attività di monitoraggio ed analisi eseguite successivamente analizzando gli scoring a più alto rischio concretizzano eventualmente il blocco degli account confermati compromessi.
Presidi di Sicurezza
Il Gestore si av vale di gruppi specialistici per il monitoraggio della sicurezza
dei s istemi informativi che erogano il servizio .
L’ infrastruttura di sicurezza è costituita dall’insieme dei sistemi e degli apparati adibiti alla protezione dell’ambiente tecnologico ed applicativo dedicato al servizio, nonché dai meccanismi di protezione dei dati transitano o risiedono sui sistemi.
Sono svolte attività di rilevazione tempestiva di eventi ed allarmi critici per la sicurezza informatica per mezzo della continua osservazione dell’infrastruttura gestita. I suddetti eventi/allarmi sono visualizzati principalmente attraverso specifiche console di monitoraggio.
Ciascuna console è configurata per monitorare eventi diversi e produrre allarmi e report in funzione delldi come a tipologia dei controlli effettuati. Con cadenza settimanale è prodotta la reportistica degli eventi verificatisi
al fine di valutare l’efficacia dei controlli attuati.
Le attività di monitoraggio delle componenti di sicurezza attraverso il controllo e l’analisi dei report viene utilizzata anche ai fini della prevenzione degli incidenti di sicurezza. Gli eventi riscontrati sono classificati in funzione della loro gravità e degli impatti che possono avere sugli asset; in relazione a tale classificazione, sono identificate le contromisure idonee a gestire l’evento. Quando dall’evento scaturisce un danno, sono svolte le attività necessarie ad accertare e valutare il danno subito nonché a definire il piano di ripristino.
Il blog di Luca Bonuccelli. Egov, innovazione, digitale nel mondo analogico. Chiacchiere e riflessioni in libertà. (Post or re-post is not endorsement!)
Nessun commento:
Posta un commento