Tag Archive for 'OTP'

One device, one authentication

L’autenticazione a due fattori è un processo di autenticazione che combina qualcosa che si conosce, con qualcosa che si possiede, o che ci caratterizza:

  1. qualcosa che si conosce: PIN o Password;
  2. qualcosa che si possiede: Token OTP, crittografico, smart card, ecc.;
  3. qualcosa che ci caratterizza: impronte digitali, impronta retina, firma biometrica, ecc..

Le tradizionali soluzioni di autenticazione a due fattori (2FA), basate sul modello “distribuzione token OTP”, si sono rivelate troppo costose per essere applicate in modo generalizzato e diffuso. Se si considera l’importante investimento richiesto per acquistare, implementare e gestire l’autenticazione a due fattori, è inevitabile che nella gran parte dei casi si sia optato per la protezione di ambiti aziendali selezionati in modo specifico e alternativo, oppure di rimanere fedeli al “no buono” vecchio metodo UserID e Password.

In “One nation, one authentication” abbiamo visto come il governo di Singapore, attraverso la distribuzione di OneKey, si sia posto l’obiettivo di far accedere i propri cittadini, verso una moltitudine di servizi on-line (con i vari fornitori di servizi), attraverso l’uso di un unica “chiave” di autenticazione (OneKey, appunto).

In “One person, one authentication” il progetto free software I-AM sposa “qualcosa che già si ha” con “qualcosa che si è”, ponendosi come obiettivo la realizzazione di un sistema di autenticazione OTP distribuito basato sul modello “una persona – un’unica identità” (one person – one unique identifier, 1P-1UID), garantendo la rigorosa associazione tra la persona e la sua credenziale digitale sfruttando una credenziale frutto dell’identificazione operata da una Pubblica Amministrazione e/o da un Pubblico Ufficiale.

Intel, Symantec e Vasco hanno unito le loro forze per sviluppare la tecnologia IPT (Identity Protection Technology), un livello di sicurezza aggiuntivo basato su hardware; per avvalersi della tecnologia IPT, ciò che serve è esclusivamente un computer, un PC tablet, o uno smartphone per generare one-time password (OTP) senza doversi dotare di token, evitando così di trasformarci in portatoken. Le tre aziende hanno scelto di rendere disponibile la tecnologia IPT secondo modalità diverse, in questo guidate dalle loro vocazioni più o meno “hardware or software oriented“, ed è così che Intel ha scelto di integrare l’autenticazione a due fattori direttamente nei processori dei PC basati su alcuni processori Intel® Core™ vPro™ di terza generazione, mentre

Symantec e VASCO hanno preferito la via del software, da installare sul dispositivo prescelto dall’utente, che diventa quindi un generatore di password monouso da utilizzare, o come un codice di sicurezza univoco, che può essere utilizzato insieme al proprio nome utente e password per accedere agli account in modo sicuro, o come una seconda password, un ultertiore strato di sicurezza; nel caso in cui non si disponga di uno smartphone, o dispositivo di ultima generazione IPT ready, sia Symantec che VASCO sono comunque in grado di offrire dispositivi hardware che generino password monouso. Entrambi forniscono le loro soluzioni, Validation & ID Protection (VIP) per Symantec,

e MYDIGIPASS.COM per Vasco,

come applicazioni gratuite, scaricabili sia dagli App Store che dai siti che hanno aderito al circuito IPT. L’idea è quella di consorziare il maggior numero di soggetti intorno al progetto IPT, che siano clienti utilizzatori finali, o fornitori di servizi, di modo da poter utilizzare, e fornire, un solo dispositivo per accedere a una moltitudine di servizi, che a tendere, e negli intenti, saranno tutti i servizi. Tutte e tre le aziende sono contemporaneamente impegnate nell’aumentare il numero di adesioni al circuito IPT, in quanto il successo della tecnologia/progetto è inevitabilmente legato alla diffusione dei servizi che richiedono l’autenticazione tramite quest’ultimo. Per quelle aziende che utilizzano l’autenticazione a due fattori, esiste già la consapevolezza dei problemi legati all’usabilità e alla logistica distributiva dei token. La sostituzione dei token smarriti, o non funzionanti, e la non corretta digitazione delle password monouso da parte degli utenti sono solo due dei problemi che gli help desk e i reparti IT devono affrontare. La tecnologia IPT sostituisce il token fisico dedicato, semplificando il processo di login a due fattori. La soluzione di autenticazione IPT è qualcosa di facile da usare, ed è disponibile tramite diversi OEM e ISV (Indipendent Software Vendor) di sicurezza.

Mentre Intel è indossolubilmente legata ai suoi processori di ultima generazione Core i3, i5, ed i7, ed è quindi disponibile ad alleanze di tipo hardware (il suo) – software (di qualsivoglia altro, nel caso di specie Symantec e Vasco), i security service provider IPT sono impegnati nel fidelizzare i vecchi e nuovi clienti (i fornitori di servizi di accesso) ai servizi/prodotti da loro forniti, rendendo al momento illusoria la prospettiva della interoperabilità che potrebbe scaturire dalla diffusione massiccia della tecnologia.

Ed è così che sia Symantec

che Vasco

diffondono si la tecnologia, ma lo fanno pro domo loro, cercando di raccogliere il maggior numero di adesioni, “piazzando” il più velocemente possible il loro servizio (e/o i loro prodotti) al maggior numero di fornitori di servizi di accesso.

A tendere ne potrebbe restare uno solo insieme ad Intel, e potrebbe anche essere colui che avrà raccolto il maggior numero di adesioni (che avrà venduto di più, ndr.), ma prima di quella data il sogno della interoperabilità e del singolo dispositivo di autenticazione sarà ancora di la da venire, e alla fine potrebbe configurarsi una situazione di pericoloso monopolio dell’accesso.

FantaITSecurity?

One person, one authentication

Esisto, sono, accedo.

… c’è anche il cellulare, che potrebbe utilmente diventare un fattore di autenticazione, evitando di trasformarci in portachiavi (o portatoken …).

Ing. Andrea CACCIA su Firma Facile

Tutte le identificazioni digitali basate su richieste di username+password sono diventate ormai altamente insicure, ma possono, e vengono rese sicure con sistemi di autenticazione forte, che utilizzano due, o più, fattori di identificazione (qualcosa che si conosce, qualcosa che si ha e qualcosa che si è).

Minacce ed esigenze di sicurezza crescenti hanno portato la gran parte dei fornitori di servizi online ad adottare metodi di autenticazione forte basate sul modello OTP (One Time Password), tecnologia diventata standard “de facto”, con password “a perdere” (One Time, appunto) generate dai token, con cui ormai abbiamo familiarizzato, soprattutto grazie ai conti in banca.

Risultato: per ogni servizio online, che preveda la gestione dei nostri dati sensibili (carte di credito, dati personali, numeri di conto, ecc.), ogni fornitore di servizio (Service Provider) rilascia il SUO token OTP, per l’autenticazione esclusiva al SUO servizio – e non altri, NON interoperabile con altri servizi e NON standardizzato, trasformando il portachiavi dell’utilizzatore di servizi (leggasi “il cliente”) in un portatoken.

In “One nation, one authentication” abbiamo visto come il governo di Singapore, attraverso la distribuzione di OneKey, si sia posto l’obiettivo di far accedere i propri cittadini, verso una moltitudine di servizi on-line (con i vari fornitori di servizi), attraverso l’uso di un unica “chiave” di autenticazione (OneKey, appunto). OneKey è pensato nell’ottica “Highlander” de “alla fine ne resterà soltanto uno”, ciò nonostante, la centralizzazione del servizio di autenticazione non può prescindere però dalla ennesima distribuzione di un dispositivo, il token OTP OneKey.

Gli oltre dieci anni vissuti all’ombra dei dogmi “possesso” (… della smart-card) e “conoscenza”, ci hanno reso, in un certo qual modo, “token dependent”; il possesso, oltre ad essere fattore di strong authentication, peraltro ci conforta e rassicura, sopratutto a livello di inconscio, nella nostra capacità di controllo, e in ultima analisi sicurezza associata al processo di autenticazione che di volta in volta effettuiamo.

Le recenti evoluzioni tecnologiche e normative hanno però consentito, e stanno consentendo di spostare il paradigma del possesso, da qualcosa che si riceve/ottiene a qualcosa che già si ha (e che deve essere solamente configurato, ndr.); è questo il caso della firma digitale remota, eseguibile dal nostro computer collegato alla rete, ed è questo il caso di sistemi di autenticazione basati sui nostri smartphone e/o tablet pc.

Il progetto italiano free software I-AM sposa il paradigma di “qualcosa che già si ha” associato “a qualcosa che si è”, ponendosi come obiettivo la realizzazione di un sistema di autenticazione OTP distribuito basato sul modello “una persona – un’unica identità” (one person – one unique identifier, 1P-1UID).

Il progetto I-AM segue le dinamiche che sottendono ai processi di certificazione in ambito firma digitale, in questo caso ad essere coinvolti sono il Cliente, il Fornitore di Servizio (Service Provider) e le Terze Parti (Trust Provider), che certificano e garantiscono l’identità delle parti, le credenziali di accesso e in definitiva la validità/sicurezza della transazione. I Trust Provider sono distribuiti su due strati, il primo direttamente a ridosso del Service Provider e rappresenta l’anello di fiducia “più vicino”, o già esistente (per esemplificare quello che già gestisce il processo di identificazione e autenticazione “proprietario” fra Service Provider e Cliente, in soldoni, quello che ha fornito, o sta “dietro” alla fornitura, del token OTP hardware), il secondo strato, è rappresentato dai nodi della catena di fiducia (chain of trust) che collegano fra loro tutti i gestori di accesso tramite soluzioni OTP proprietarie, con il risultato che una volta identificato/autenticato presso un nodo, posso, le volte successive, farlo da qualsiasi altro nodo della rete I-AM, utilizzando sempre e solo un unico dispositivo di autenticazione: il MIO smartphone/tablet pc. La diffusione degli smart phone e degli altri dispositivi portatili in grado di connettersi con la Rete rappresenta la base tecnologica per una capillare distribuzione della soluzione e per la sua efficace gestione come sistema di autenticazione/accesso OTP distribuito (e diffuso) event based.

Per fare un parallelo, ci basti pensare alla carta di identità: ce la rilascia un Comune, ma è valida in tutti gli altri Comuni ed è anche utilizzabile nei paesi della UE, al di fuori del perimetro nazionale.

Una volta che il Cliente ha ottenuto le credenziali I-AM si può autenticare c/o qualsiasi Service provider, senza alcuna altra attività propedeutica di registrazione/attivazione.

Ogni Fornitore di Servizi online (Service Provider) ha un Fornitore di Fiducia online di riferimento (I-AM Community Trust Provider), con cui scambia tutti i messaggi di richiesta di autenticazione.

Lo schema di seguito riportato rappresenta una situazione ideale

Quale che sia l’I-AM Community Trust Provider che ha guidato la registrazione di uno USER, non ha rilevanza. Il circuito è organizzato affinchè tutte le componenti siano informate su quale Fornitore di Fiducia online di riferimento (I-AM CTP) sia necessario attivare per ottenere la verifica di una richiesta di autenticazione OTP del circuito I-AM/OTP.

I-AM garantisce la rigorosa associazione tra la persona e la sua credenziale digitale sfruttando una credenziale frutto dell’identificazione operata da una Pubblica Amministrazione e/o da un Pubblico Ufficiale (ad esempio all’atto dell’emissione di una Carta d’Identità – elettronica, o meno, o del rilascio del PIN di una Carta Nazionale dei Servizi). Di seguito lo schema di registrazione/attivazione di un utente attraverso la sua Carta Nazionale dei Servizi (CNS).

I vantaggi derivanti dalla piena diffusione del progetto sono abbastanza evidenti:

  • per i Clienti, l’estrema facilità d’uso dello strumento di autenticazione e poter scongiurare il pericolo di diventare dei … portatoken;
  • per i Fornitori di Servizi online (Service Provider), la possibilità di fornire servizi senza ulteriori distribuzioni, sia a nuovi clienti che a clienti già autenticati (evitando laboriose, complicate e spesso poco, o per nulla user friendly, procedure di enrollment) e l’importante risparmio in termini di investimenti tecnologici in infrastrutture per la strong authentication;
  • per i Fornitori di Fiducia la possibilità di “saltare”, o ereditare da un altro nodo della catena I-AM, il passaggio del enrollment e la fase della autenticazione, laddove questa sia necessaria, ad es. ad apporre una firma digitale remota (“se il Cliente è già iscritto al circuito I-AM non c’e’ bisogno di altro per utilizzare il servizio”).

Parafrasando Amleto … “accedo o non accedo, questo non è più il problema!”

Un ringraziamento a Andrea Caccia ed Egidio Casati per il contributo alla stesura di questo post. Per maggiori dettagli: http://www.i-am-association.org/it/

Firme digitali remote, chi garantisce e vigila?

Come avevamo avuto modo di raccontare nel post “Mi metta una firma qui e poi un’altra qui sotto, grazie” la firma digitale remota si è “mossa”, e fra i primi a muoversi, di cui esiste una evidenza mediatica, c’erano e ci sono le banche (l’elenco è in ordine di apparizione temporale, ndr.):

1

Banca Intesa San Paolo, prima fra tutte a muoversi a giugno 2010 con O-KeyPiù “il servizio di Firma Digitale comodo, in quanto non richiede alcun supporto fisico aggiuntivo rispetto all’O-Key, quale smart card o chiavetta USB, con emissione (e conservazione, ndr.) del certificato digitale su speciali server della Banca”;

2

nel 2011 si sono “mosse” Banca Sella con SellaDigit, la “tua firma digitale” pratica e semplice da usare per i clienti di Banca Sella, che non richiede installazioni sul proprio Pc, e per utilizzarla non serve altro che il proprio dispositivo @pritisella.it, lo stesso utilizzato per accedere ai servizi on line, tanto facile da poter “firmare in pochi click!” e …

3

Deutsche Bank con db Identity Business, la nuova soluzione per il banking on-line, che grazie alla combinazione dei più recenti sistemi di sicurezza informatica, OTP token (generatore di codici di protezione dinamici), Certificato di firma digitale remoto, PEC (Posta Elettronica Certificata), offre al firmatario, autorizzato ad operare sui conti correnti dell’azienda, la possibilità di autenticarsi e firmare digitalmente transazioni online tramite il servizio db Corporate Banking.

Alla “rivoluzione copernicana digitale remota” delle banche (abbiamo citato solo le principali), vanno aggiunti anche altri soggetti extra bancari, fra cui, per citare solo i più noti, rinveniamo:

4

InfoCert con LegalCert Remote sign, che “consente al titolare di effettuare tutte le normali operazioni di sottoscrizione di documenti informatici utilizzando una smart card “virtuale””.

5

Aruba Pec con la Firma Digitale Remota che consente di “effettuare tutte le operazioni volte alla sottoscrizione di documenti digitali in modo rapido, semplice e totalmente sicuro, grazie all’utilizzo di una comoda Smart Card Virtuale, Password OTP (One Time Password) e Software di Firma e Verifica;

6

Poste Italiane con l’offerta Postemailbox per privati, per “inviare e ricevere comunicazioni sicure e certificate, firmare digitalmente documenti elettronici, conservare i tuoi dati nella sezione archivio” (che si tratti di firma digitale remota nel caso di Postemailbox lo si evince dall’art. 1 delle Condizioni Generali del servizio ““POSTECERT – Firma Digitale” (Utenza Privati Postemailbox) dove la “generazione delle chiavi asimmetriche (avviene, ndr.) all’interno di un dispositivo di firma centralizzato tenuto presso il Certificatore”);

Per quanto mi è dato sapere, il numero di firme digitali remote rilasciabili dalle sei realtà citate, escludendo InfoCert di cui non ho evidenza di numeri al riguardo, assomma a circa 7.400.000 unità, che rappresenta, se ricomprendiamo nel conteggio anche Infocert e quanti non considerati, oltre il doppio dei 3.700.000 certificati di firma digitale rilasciati principalmente su smart card, o chiavette USB, alla fine del 2010, così come riportato nel “Rapporto E-Gov Italia 2010“.

Ora come allora in “Chi garantisce e vigila?“, ci si trova di fronte alla continua evoluzione della normativa e delle regole tecniche (vedasi il recente caso del decreto relativo alla “certificazione” dei dispositivi HSM per firma digitale remota – DPCM 14/10/2011, che “guarda caso” regola i quasi 8 milioni di firme di cui sopra) che richiedono spesso chiarimenti, precisazioni, rassicurazioni (nel caso degli HSM “ma chi mi garantisce che questa firma digitale remota è valida? ma la certificazione del dispositivo è valida per erogare firme digitali remote?”) e non ultime interpretazioni precise ed autorevoli (leggasi pareri DigitPA – Ente Nazionale per la Digitalizzazione della Pubblica Amministrazione, e OCSI – Organismo di Certificazione della Sicurezza Informatica), che mal si combinano con il processo di “depauperamento” in fieri degli organismi di vigilanza e di supporto tecnico, normativo e di certificazione, a suo tempo denunciato nel succitato “Chi garantisce e vigila?“.

Se avevamo evidenziato in passato il problema, che chi dovrebbe fare chiarezza è “poco visibile” nei media e sul mercato, vis à vis dei famosi “venditori di caffè“, proprio lì dove avvengono i processi di compravendita delle “tecnologie normate” fra clienti e fornitori, oggi e domani come possiamo sperare di poter contare sui giusti riferimenti per chiarirsi le idee su cosa è “buono” e su cosa “no buono” (o non del tutto)?

In ultima battuta, chi fa rispettare la legge?


One nation, one authentication

... c’è anche il cellulare, che potrebbe utilmente diventare un fattore di autenticazione, evitando di trasformarci in portachiavi (o portatoken…).

Ing. Andrea CACCIA su Firma Facile

OneKey è stato lanciato lo scorso 12 dicembre 2011.

OneKey è il primo dispositivo al mondo di autenticazione multifunzionale c.d. a due fattori a carattere nazionale utilizzabile (e richiedibile gratuitamente) da tutti gli utenti dei servizi online del settore pubblico e privato della repubblica di Singapore.

‘One’, come unico dispositivo comune a tutti gli utenti per effettuare transazioni con molti e differenti fornitori di servizi online.

Key‘, come chiave che serve a sbloccare e aprire un mondo di transazioni elettroniche in modalità sicura e conveniente.

Come nel caso delle firme digitali, dove l’identità del Pippo di turno viene garantita da una terza parte fidata, che risponde al nome di Certification Authority, anche nel caso della autenticazione OneKey esiste una terza parte, Assurity Trusted Solutions Pte Ltd, meglio nota come “Assurity“, società interamente controllata da IDA – Info-commmunication Development Authority di Singapore (“the Chief Information Officer for the Singapore Government“), che è stata istituita per gestire il NAF, sistema nazionale di autenticazione (National Authentication Framework) e servizi/sistemi nazionali 2FA (Second Factor Authentication).

Il National Authentication Framework (NAF) ha come obiettivo quello di creare un’infrastruttura nazionale di autenticazione forte per la tutela contro l’accesso non autorizzato ad informazioni sensibili online, come ad esempio le coordinate bancarie, i dettagli dei conti di trading, o le cartelle cliniche elettroniche, e che sia in grado di offrire ai consumatori una maggiore sicurezza durante l’esecuzione di transazioni online.

Vale la pena ricordare che l’autenticazione è il processo di convalida dell’identità di una persona per assicurare che “è colui che dice di essere”. Esistono tre elementi per autenticare un individuo:

  • “Qualcosa che conosci”, come ad esempio una password o un PIN;
  • “Qualcosa che hai”, come un token hardware di sicurezza (smart card, chiavetta USB, OTP, ecc.);
  • “Qualcosa che si è”, come impronte digitali, scansione della retina, ecc..
  • Il primo elemento, “Qualcosa che conosci”, è in genere fornito dal provider di servizi web quando un utente accede al suo sito. Il secondo elemento di autenticazione, o 2FA (Second Factor Authentication), nella pratica corrente del retail banking è la One-Time Password, o OTP, generata dinamicamente attraverso un dispositivo/token, o via SMS.

    Al giorno d’oggi pressoché tutti i service provider hanno, o stanno implementando, le proprie infrastrutture 2FA, con il risultato che i token, o dispositivi di autenticazione, sono di tipo proprietario, potendo essere utilizzati solo per accedere a specifici servizi online trasformando l’utilizzatore nel portachiavi (o portatoken…) menzionato in premessa.

    L’obiettivo del NAF è quello di consentire ai consumatori dotati di OneKey, distribuita gratuitamente a tutti i cittadini di Singapore che ne fanno richiesta, di accedere a numerosi e diversi servizi on-line (con i loro vari fornitori di servizi), attraverso l’uso di un unico dispositivo, potendo “fare tutte le transazioni online in tutta tranquillità”.

    Il successo di questo progetto “one nation, one authenticacion” non può prescindere dai numeri, che Chai Chin Loon, Chief Operating Officer di Assurity, ha indicato in “milioni di autenticazioni al mese”  fatte con il dispositivo OneKey; alla base della fiducia nel successo dell’iniziativa vi sono, tra gli altri:

    • la diffusione capillare, che a regime dovrebbe raggiungere oneKey;
    • la comodità di utilizzo e la sicurezza (se ne fa garante direttamente il governo di Singapore!) dello strumento di autenticazione unico, sia per consumatori/utilizzatori che per fornitori di servizi online;
    • la convenienza per i fornitori di servizi, che anzichè doversi dotare di strutture di autenticazione 2FA, possono ricorrere al NAF.

    Restando in attesa di verificarne o meno il successo, rendendomi conto delle difficoltà di replicare il modello “one nation, one authentication” in realtà più grandi della Repubblica di Singapore, continuo ad essere dell’idea che firma digitale e sitemi di autenticazione a secondo fattore dovrebbero avere sin dalla nascita (nostra, ndr.) un importante imprinting da parte dei governi di ogni paese, al pari di carta di identità, passaporto, codice fiscale/partita IVA.

    Parafrasando il jingle di Radio Deejay auguriamoci che il “test del National Authentication System” vada a buon fine affinchè …

    one nation one authentication!

    “Mi metta una firma qui e poi un’altra qui sotto, grazie”

    Eppur si muove!

    Galileo Galilei al tribunale dell’Inquisizione al termine dell’abiura dell’eliocentrismo

    A “muoversi”, è la firma remota!

    A giugno 2010, a “muoversi” per prima è Intesa San Paolo, che annuncia O-KeyPiù “il servizio di Firma Digitale comodo, in quanto non richiede alcun supporto fisico aggiuntivo rispetto all’O-Key, quale smart card o chiavetta USB, con emissione (e conservazione, ndr.) del certificato digitale su speciali server della Banca”. Il sistema viene definito sicuro, in quanto basato su un doppio sistema di identificazione (Pin della firma digitale, creato dal titolare della firma, e one-time password generata dal dispositivo O-Key) e semplice da usare, in quanto per firmare i documenti basta inserire il Pin della firma digitale e la one-time password.

    Dall’inizio del 2011 stiamo assistendo ad un movimento sempre più accelerato ed ormai inarrestabile, generato dal sistema dei “pianeti bancari”, che in queste ultime settimane si stanno rubando la scena del palcoscenico dell’informazione, per dare l’annuncio, che loro, la firma digitale (remota, ndr.), ce l’hanno, e che i loro clienti la possono richiedere ed utilizzare.

    Gli ultimi annunci fatti di recente riguardano Banca Sella e Deutsche Bank, la prima con SellaDigit e la seconda con una ancora non commercializzata, ma pronta ad esserlo, “Firma Remota”.

    SellaDigit è la firma digitale pratica e semplice da usare per i clienti di Banca Sella. Non richiede installazioni sul proprio Pc, e per utilizzarla non serve altro che il proprio dispositivo @pritisella.it, lo stesso utilizzato per accedere ai servizi on line, tanto facile da poter “firmare in pochi click!”. SellaDigit è disponibile in due versioni: una in cui nel certificato di firma è inserita una “limitazione” che la rende valida solo ed esclusivamente per firmare documenti con il Gruppo Banca Sella, l’altra, senza limitazione, che permette, mediante apposito software “DigitalSign”, da installare sul proprio personal computer, di firmare digitalmente anche altri tipi di file.

    Deutsche Bank, nel corso dell’evento svoltosi a maggio 2011 fra Milano e Roma dal titolo “Identità digitale e firma remota per la dematerializzazione e l’efficienza dei processi”, ha presentato la sua soluzione di firma digitale remota, disponibile a breve per la propria clientela.

    Fattori abilitanti del “movimento bancario” sono stati, e sono:

    • il possesso e l’utilizzo già consolidato, da parte della clientela, dei famosi token OTP, per effettuare autenticazioni sicure, e da questo momento in poi, per apporre firme digitali da remoto;
    • dematerializzazione e sicurezza, temi fortemente sentiti e fondamentali nello scatenare e dare un notevole impulso al movimento pro firma remota.

    A tutto questo movimento Copernicano fa da contraltare l’ennesimo dato dal sapore un po’  Tolemaico riguardante 262 lettori di firma digitale, che verranno installati nel mese di giugno 2011 in 42 uffici giudiziari (su un totale di poco meno di 500), comunicato nel corso della conferenza stampa a Palazzo Chigi dello scorso 24 maggio, da parte del ministro per la Pubblica Amministrazione e l’Innovazione Renato Brunetta e dal ministro della Giustizia Angelino Alfano, sullo stato d’attuazione del Piano straordinario per la digitalizzazione della giustizia.

    Piano straordinario per la digitalizzazione della giustizia
    A che punto siamo?

    Aspettando l’avvio/arrivo della rivoluzione copernicana anche in sistemi extra bancari, per adesso accontentiamoci di poter sottoscrivere documenti relativi a prodotti e servizi direttamente dal nostro computer, in qualsiasi momento, senza la necessita’ di doversi recare allo “sportello” per sentirsi dire “mi metta una firma qui e poi un’altra qui sotto, grazie”.

    How secure is my password?

    Il sito “Quanto sicura è la mia password“, offre di fare una semplice ed unica cosa: controllare la nostra password e dirci quanto è sicura. Digitando la password viene fatta una stima di quanto tempo ci vorrebbe per un attacco di forza bruta da parte di un hacker per venirne a conoscenza, impossessarsene (IMPORTANTE: anche se sono state effettuate alcune verifiche di affidabilità/sicurezza del succitato sito si consiglia di utilizzare una variante della vostra password, piuttosto che quella esatta, “just in case”). Le c.d. password stupide come ‘abc123′,’ciao’ e ‘password’ vengono segnalate come violabili quasi istantaneamente.

    Sono di questi giorni le notizie relative ai cyber-attacchi a Comodo e RSA Security.

    Comodo, il cui slogan è Creating Trust Online (creare fiducia online), è una Certification Authority mondiale che rilascia certificati digitali per connessioni sicure https, “utili a rassicurare” i browser/utenti che il sito che si sta visitando è realmente chi dice di essere. Comodo è stata “derubata” di alcuni certificati digitali, che fanno capo a mail.google.com, google.com, login.yahoo.com (3 SSL), login.skype.com, addons.mozilla.org e login.live.com. , dal sito http://instantssl.it/ che adesso (momento in cui è iniziata la redazione del presente post: 8 aprile 2011, ore 15:40 – GMT + 1) è “pubblicato” in stato Forbidden Code 403,

    mentre arrivandoci da una ricerca su Google, compare come Errore SSL con il seguente messaggio:

    È possibile che questo sito non sia quello che stavi cercando!

    Hai tentato di accedere a www.instantssl.it ma in realtà hai raggiunto un server che si identifica come secure.comodo.net. Ciò potrebbe essere causato da un errore di configurazione sul server o da qualcosa di più grave. Forse un utente malintenzionato sta tentando di indurti a visitare una versione falsa (e potenzialmente dannosa) di www.instantssl.it. Ti consigliamo di non procedere.

    RSA Security, anche lei società mondiale di sicurezza informatica e servizi correlati, è nota ai più per le sue chiavette OTP (One Time Password) che servono a rendere sicura, forte (STRONG), e allo stesso tempo usabile, l’autenticazione di un utente verso un servizio di rete, tipicamente i servizi di internet banking.

    In questo caso, il token OTP (la chiavetta, ndr.), oltre a “mettere in sicurezza” il sistema di autenticazione più “antico” e più utilizzato al mondo di User Id e password, ormai diventato altamente insicuro, risulta essere “utile a rassicurare” il fornitore del servizio (ad es. la Banca) che chi si sta autenticando al servizio è realmente colui che dice di essere.

    RSA Security, lo scorso 17 marzo 2011, ha pubblicato una lettera aperta sul suo sito aziendale indirizzata a tutti i suoi clienti, a firma del suo Presidente e AD Arthur W. Coviello, dove annuncia di essere stata vittima di un sofisticato cyber-attacco (Advanced Persistent Threat – APT), così come era accaduto a Google lo scorso anno, che ha portato alla estrazione/divulgazione di non specificate informazioni, alcune delle quali specificamente correlate ai prodotti di autenticazione a due fattori RSA SecurID e alla conseguente speculazione di mercato che milioni di token di autenticazione a due fattori potrebbero essere a rischio.

    La maggior parte dei prodotti OTP si basano su un codice/chiave segreta condivisa tra la chiavetta OTP, che tipicamente usiamo per ottenere il numero per autenticarci al servizio di Internet Banking, e il meccanismo di autenticazione lato server, che verifica la validità della nostra chiave. La chiave, spesso indicata come “seed” (seme), viene utilizzata per generare le famose one-time password, valide solo in quel breve momento in cui le generiamo (di solito non più di 30 secondi), che per la loro natura “one-time” e la breve durata, sono diventate sinonimo di garanzia di irrobustimento della sicurezza, per i processi di autenticazione/certificazione.

    Nella generazione sicura, distribuzione sicura, conservazione, o non conservazione, sicura, e protezione sicura di queste chiavi, non a caso segrete, risiede il “senso della vita”, o mission per gli amanti del “linguaggio business”, delle società che si occupano di sicurezza informatica negli specifici ambiti dei processi di autenticazione/certificazione.

    Quando qualcuno di noi schiaccia il pulsantino del suo token OTP, sta affidando la sua autenticazione, e conseguentemente la sicurezza dei suoi dati, al numero/codice generato. La fiducia riposta nel codice OTP è mutuata da analoga fiducia che l’organizzazione (banca o altri), che ci ha dato lo strumento per autenticarsi, ripone nella società di sicurezza informatica a cui si è affidata per i suoi sistemi di c.d. autenticazione forte, strong authentication, o autenticazione a due fattori.

    La frase che abbiamo sentito spesso ripetere da chi si occupa di sicurezza delle informazioni è che “il dato sicuro al 100% è quello che non c’è!”. Nel momento stesso in cui una società di sicurezza informatica crea una “chiave segreta”, in cascata si dovrà preoccupare di come andare a proteggere “l’algoritmo genesi”, o come detto più su il “seed” (seme), come andare a spedire, consegnare e attivare le chiavi in maniera sicura e a “prova di furto”, e come conservarle in maniera protetta e a “prova di scasso”.

    Per quanto ci è dato sapere, possiamo constatare che è in atto un attacco mirato a delle specifiche organizzazioni con il fine di acquisire l’accesso ai dati riservati delle stesse, e con l’obiettivo di mantenere l’accesso ai dati per un periodo di tempo esteso, rispetto al momento della violazione iniziale.

    Le conseguenze per la sicurezza e per l’operatività che una minaccia così persistente può determinare sono facilmente immaginabili!

    “Credo che ci troviamo a un punto di svolta. In questo momento siamo di fronte al principio di un nuovo mondo: in quello del passato c’erano solo i cyber-criminali; ora, invece, temo che questa sia l’Era del cyber-terrorismo, delle cyber-armi, delle cyber-guerre”

    Eugene Kaspersky, cofondatore e CEO di Kaspersky Lab

    Token OTP più sicuri del “sistema” smart card

    Chaos Computer Club, il gruppo di hacker più grande d’Europa da oltre 25 anni, ha dimostrato, durante una trasmissione sul canale televisivo WDR, alla vigilia dell’imminente introduzione della nuova carta di identità elettronica multifunzione tedesca, che è molto facile violarla e impossessarsi così dell’identità altrui.

    Registrazione del “Berichts aus Brüssel” del 22/09/2010 sul canale WDR, dove viene presentato un attacco alla nuova ID card tedesca dal Chaos Computer Club (il servizio è in lingua tedesca, ma rende bene, e drammaticamente, l’idea).

    Secondo il Deutsche Welle, il portale internazionale dei media tedesco, la nuova carta di identità elettronica multifunzione è stata facilmente violata da normali ”computer nerds”.

    I fatti

    A partire da novembre 2010, i cittadini tedeschi, che chiederanno di rinnovare le loro carte di identità nazionali, riceveranno ID card  ricche di funzionalità, in grado di memorizzare dati e statistiche biometriche. Le nuove ID card, delle dimensioni di una carta di credito standard, permetteranno ai possessori di fare operazioni finanziarie con le autorità statali tramite Internet.

    Le card high-tech sono pensate per fornire alti livelli di sicurezza per gli acquisti online, ma un gruppo di hacker ne ha facilmente decifrato il codice PIN.

    Il Chaos Computer Club, ha dimostrato, utilizzando un modello di test della nuova ID card,  per il programma televisivo “Berichts aus Brüssel” della rete WDR, che il numero di identificazione personale (PIN) è facilmente crackabile.

    Business rischioso

    Una volta che un hacker è entrato in possesso del PIN, può spacciarsi per il titolare della carta e fare acquisti su Internet. Sempre lo stesso hacker può facilmente cambiare il PIN della carta.

    “Ciò significa, per il titolare della carta, che non sarà nemmeno in grado di accedere ai dati delle propria carta – non avrà più il PIN”, così racconta Constanze Kurz, membro del Chaos Computer Club alla WDR.

    L’Ufficio Federale per la Sicurezza Informatica (BSI) ha riconosciuto che è possibile utilizzare i cosiddetti malware trojan per violare/copiare il PIN allorquando l’utente utilizzi la versione base del lettore di schede, nel momento in cui, preliminarmente al momento di effettuare gli acquisti da un computer a casa, il titolare della card la inserisce nel lettore (ID card reader) per la necessaria verifica di identità. Lo schema è simile al software di registrazione di ”battitura”, che registra ogni carattere digitato su una tastiera.

    Errore costoso

    Il governo tedesco ha già speso circa 24 milioni di euro per l’acquisto di circa un milione di lettori nella loro versione base. L’Ufficio Federale per la Sicurezza Informatica, che ha sviluppato le carte, ha sottolineato che nonostante le debolezze del lettore di base siano note, il processo di autenticazione permane molto più sicuro di una semplice combinazione userid e password, facendo notare che la tecnica utilizzata dai membri del Chaos Computer Club (keylogging) è simile a quella utilizzata dagli hacker di tutto il mondo per rubare le credenziali degli utenti.

    “La ID card sarà introdotta secondo i piani, non ci sono ulteriori misure di sicurezza previste, alla luce delle discussioni in corso”, ha detto Tim Griese dell’Ufficio federale per la Sicurezza Informatica a Deutsche Welle.

    La vicenda evidenzia come strati di sicurezza molto robusti (possesso e smart card) sono del tutto inutili allorquando si appoggiano su componenti presenti sul Pc degli utenti del tutto insicuri (lettori di smart card), che si rivelano come l’anello debole dell’intero sistema, rendendo possibile, a dei normali ”computer nerds”, caricare un malware, in grado di memorizzare e rubare il PIN, e di metterlo a disposizione di terzi.

    Soluzione possibile

    Per aggirare eventuali trojan “succhia dati”, e sventare così potenziali attacchi da parte degli hacker, gli esperti raccomandano l’utilizzo di lettori di alta qualità, che hanno la loro propria tastiera per l’inserimento del PIN, oppure fare ricorso alla buona “vecchia” One Time Password e i token OTP, generatori di PIN dinamici.

    Risorgimento informatico, a quando?

    Busta password

    Prima dell’estate mi collego al servizio di Corporate Banking di “banca Pippo”, inserendo la mia userid e pwd; subito dopo l’accesso mi viene richiesto di rinnovare la pwd, operazione obbligatoria ogni “tot” di tempo, per garantire un accesso più sicuro. Manca poco alle vacanze, “rimescolo” i miei caratteri, numeri e simboli di riferimento, et voilà, password rinnovata. Le vacanze finiscono, abbandono la dolce melodia della risacca per il meno affascinante tip-tap delle dita sula tastiera. Rieccomi davanti al computer a ricollegarmi al sito di Corporate Banking e la sequenza “rimescolata” prima delle vacanze mi sfugge, cullato dal lontano rumore della risacca mi sembra di ricordarla, ma non ce la faccio, esaurisco i miei “n” tentativi per provare ad inserirla correttamente. Il messaggio che mi comapre mi suggerisce il da farsi: “Questa utenza è stata bloccata per aver esaurito il numero dei tentativi previsti per l’accesso al servizio. E’ necessario rivolgersi alla propria banca per ottenere una nuova password”.

    Con un po’ di smarrimento, e un velo di sconforto, la mia “propria banca” mi consiglia di rivolgermi al call-center di turno, con cui scambio alcune e rapide battute, intimorito dal costo massimo di “48 centesimi al minuto” …, ma dal cellulare. Mi viene indicata la procedura per recuperare la password:”deve scaricare dal sito del corporate banking (a cui non posso accedere, ndr.) il modulo da compilare ed inviare alla sua banca (via fax, presumo) per farsi rilasciare la nuova pwd”. La solerte Cinzia, all’altro capo del telefono, si avvede del loop di processo e non potendomi inviare per mail il modulo suggerisce: “contatto io la sua banca”.

    Dopo un paio d’ore, fugati smarrimento e veli di sconforto, la mia “propria banca” mi chiama dicendomi: “la sua busta password è qui, quando vuole può passare a prenderla”. Mi reco in filiale a prendere la busta password e il funzionario mi avverte: “sarà attiva da domani mattina”. L’indomani mi collego, inserisco la nuova password e il segnale è inequivocabile: utenza bloccata. Richiamo il call center, senza passare dalla banca, e mi viene consigliato di attendere fino al primo pomeriggio per ritentare l’accesso, e in caso di persistenza del blocco, ricontattare la banca. Due giorni di prove, telefonate e promesse di sollecito, alla fine, all’alba del quarto giorno … Gandalf si lancia contro il muro di picche degli Uruk-hai, accecati dalla luce del sole … … e la password finalmente funziona e l’utenza si sblocca.

    La vicenda mi ha ricordato ambientazioni da primi dell’ottocento, allorquando i messi papali, latori di missive timbrate e sigillate, con tanto di cera lacca e sigilli papali, dopo giorni di viaggio, consegnavano il plico, la “busta”.

    L’episodio ci suggerisce la seguente domanda: “perchè la maggior parte delle banche, ma non solo loro, non sono in grado di coniugare usabilità con sicurezza?”

    “IT favoring technology at the expense of usability?”

    Forse perchè gli IT manager/architect, messi di fronte a vincoli di progetto, come budget limitati e la necessità di integrare i sistemi legacy, spesso si “dimenticano” di affrontare il tema usabilità secondo la prospettiva dell’utente finale? Perchè una medievale procedura di consegna “brevi manu”, previo invio via fax di modulo debitamente compilato e firmato, viene ritenuta più sicura di una risorgimentale (post-moderna?) procedura di strong authentication?

    Una catena è forte quanto il suo anello più debole.

    Le password sono anelli deboli!

    Allora perchè spendiamo così tanto tempo e risorse appresso alla tutela delle password? Perchè la tanto decantata office automation degli anni 80 è stata declinata in rete come “complicazioni affari insicuri”?

    Quando assisteremo ad un risorgimento informatico, che non sia figlio di bachi millenari?

    .

    Firma facile, firma sicura

    Il sistema User Id e password è il metodo di autenticazione più utilizzato al mondo, ma considerato altamente insicuro, specialmente in ambiti finanziari e governativi. I motivi principali di questa mancanza di sicurezza derivano essenzialmente da un utilizzo di password facili da ricordare, insicure e facilmente rintracciabili, dalla negligenza nella conservazione (spesso lasciate in vista su Post-it), e dall’uso, e riuso, pressochè infinito della stessa password per diversi account e per lungo tempo.

    La sicurezza informatica non è più solo, come era in passato, virus ed hacker! In questi anni abbiamo, nostro malgrado, familiarizzato con trojan, spyware, social, pharming, phishing, ecc. ecc..

    Il phishing significa letteralmente “spillaggio” di dati sensibili. E’ una attività illegale utilizzata per ottenere l’accesso a informazioni personali riservate con la finalità del furto di identità mediante l’utilizzo delle comunicazioni elettroniche, soprattutto messaggi di posta elettronica fasulli o messaggi istantanei, ma anche contatti telefonici. Grazie a messaggi che imitano grafica e loghi dei siti istituzionali (pharming), l’utente è ingannato e portato a rivelare dati personali, come numero di conto corrente, numero di carta di credito, codici di identificazione, ecc..

    Un’identificazione digitale è un processo basato su uno, o più, dei seguenti fattori:

    1) qualcosa che si conosce (PIN o Password);

    2) qualcosa che si possiede (Token OTP, crittografico, smart card, ecc.);

    3) ciò che si è (impronte digitali, impronta retina, ecc.).

    La strong authentication è un procedimento di identificazione sicuro, che utilizza due, o più, fattori di identificazione. Un esempio tipico di strong authentication si ha quando usiamo il Bancomat ad una cassa automatica, ovverosia utilizziamo qualcosa che abbiamo (la c.d. carta Bancomat) e qualcosa che conosciamo (il nostro PIN di autenticazione).

    Con le modifiche apportate con le nuove regole tecniche, sulla firma digitale (DPCM 30 marzo 2009) si è voluto rendere possibile alle CA di conservare le chiavi private dei titolari (quelle usate per l’operazione di generazione della firma digitale) su dispositivi sicuri per la generazione della firma (HSM) situati presso di loro, all’interno di locali adeguatamente protetti. In funzione delle caratteristiche del certificato è possibile modulare i requisiti di sicurezza facenti capo ad esso: se usiamo un certificato con forti limiti d’uso, può essere sufficiente una connessione protetta con autenticazione con userid e password, mentre, in assenza di limitazioni, è necessario mantenere inalterato il concetto di possesso e conoscenza, prevedendo oltre a userid e password, l’utilizzo di un sistema OTP (possesso) protetto da PIN (conoscenza).

    L’acronimo OTP sta  per One-Time-Password e indica un sistema che crea parole chiave usa e getta che durano pochi secondi. Sono generate da un piccolo apparecchio tascabile chiamato “token”. 

    Tutte le identificazioni digitali basate su richieste di username+password possono essere rese sicure con sistemi di autenticazione forte! Il sistema, in pratica, funziona con una doppia identificazione, la prima con identificativo e password e la seconda con la password “a perdere” (One Time, appunto) generata dal token, con cui abbiamo familiarizzato soprattuto grazie ai conti in banca, che ormai, nella gran parte dei casi, prevedono il processo di strong authentication basato sul possesso di OTP generator di varie fogge e colori.

    La definitiva eliminazione dei problemi di gestione delle smart card e delle business key di firma digitale, attraverso l’adozione della firma remota e centralizzata (la firma facile ndr.), si accoppia a garanzie di sicurezza molto elevate per l’autenticazione dei “firmatari digitali”.

    Cosa stiamo aspettando?

    Il mondo si è informatizzato, pc in ogni casa e ufficio, programmi che aiutano a scrivere, a far di conto, a disegnare, ad archiviare e via discorrendo; la rete supporta ogni tipo di invio, da quello semplice a quello multimediale “polifonico” ed organizzazioni e aziende hanno speso e continuano a spendere soldi per rendere sempre più digitale la loro organizzazione. Insomma, mentre alcuni stanno cominciando a perdere l’abitudine di scrivere alla vecchia maniera (carta e penna ndr.), tutti ormai hanno imparato ad usare i tasti di una tastiera, o di un touch screen. Tutto questo mastodontico insieme denominato ITC, interrompe la sua ragione d’essere di fronte all’inarrestabile processo di “stampa per la firma”.

    Ma cosa stiamo aspettando?

    Il valore probatorio della firma digitale

    Il legislatore ci ha detto da ormai più di 10 anni che la firma digitale viene equiparata a quella autografa, oltre a essere riconosciuta come un vero e proprio sigillo. Di più, a differenza di quanto è previsto per la firma tradizionale/autografa, in caso di contestazioni in tribunale deve essere il presunto firmatario a dover dimostrare di non aver messo il proprio timbro in calce al documento contestato, e se non riesce a provare il contrario, la firma viene considerata autentica (Codice di Amministrazione Digitale – D.Lgs 82/2005: il documento informatico, sottoscritto con firma digitale, o con un altro tipo di firma elettronica qualificata, ha l’efficacia prevista dall’articolo 2702 del codice civile. L’utilizzo del dispositivo di firma si presume riconducibile al titolare, salvo che questi dia prova contraria). In altre parole la credibilità della firma digitale è decisamente più pesante di quella di una normale firma elettronica, o autografa.

    La firma digitale remota

    Ancora, il legislatore, lo scorso anno, ha dato una bella spinta, con il DPCM del 30 marzo 2009, per facilitare l’adozione dei processi di firma digitale, introducendo il concetto di firma digitale remota, che rende possibilie il passaggio da un approccio distribuito, basato per così dire su smart-card, ad un aproccio centralizzato basato su server/appliance di firma remota, denominati HSM (Hardware Security Module), da me affettuosamente soprannominati “scatole sicure”.

    La tecnologia (gli HSM di cui sopra) è ormai pronta da tempo nel supportare l’adozione di processi di firma in azienda, in alcuni casi molte soluzioni tecnologiche hanno raggiunto semplificazioni d’uso tali da bastare due semplici click per firmare un documento, il primo sul token OTP, per la garanzia di un’autenticazione forte, il secondo sul pulsante firma del nostro applicativo (sistema di editing, di workflow documentale, di acquisto, ecc. ecc.), che ci consente di firmare il nostro documento attraverso l’uso della firma remota.

    E allora rifacciamoci la domanda, cosa stiamo aspettando? Perchè, pur consapevoli che l’adozione della firma digitale consente di accelerare i processi di approvazione e recupero di produttività del personale, realizzando ROI in meno di un anno, riducendo drasticamente, fino ad eliminare, i costi derivanti da stampa, postalizzazione, scansioni, archiviazione e non ultimo il costo per ritrovare e riprodurre documenti andati persi, continuiamo ad assistere inermi all’inarrestabile processo di “stampa per la firma”? … magari in triplice copia e con qualche timbro, “grazie”.