Tag Archive for 'token OTP'

One device, one authentication

L’autenticazione a due fattori è un processo di autenticazione che combina qualcosa che si conosce, con qualcosa che si possiede, o che ci caratterizza:

  1. qualcosa che si conosce: PIN o Password;
  2. qualcosa che si possiede: Token OTP, crittografico, smart card, ecc.;
  3. qualcosa che ci caratterizza: impronte digitali, impronta retina, firma biometrica, ecc..

Le tradizionali soluzioni di autenticazione a due fattori (2FA), basate sul modello “distribuzione token OTP”, si sono rivelate troppo costose per essere applicate in modo generalizzato e diffuso. Se si considera l’importante investimento richiesto per acquistare, implementare e gestire l’autenticazione a due fattori, è inevitabile che nella gran parte dei casi si sia optato per la protezione di ambiti aziendali selezionati in modo specifico e alternativo, oppure di rimanere fedeli al “no buono” vecchio metodo UserID e Password.

In “One nation, one authentication” abbiamo visto come il governo di Singapore, attraverso la distribuzione di OneKey, si sia posto l’obiettivo di far accedere i propri cittadini, verso una moltitudine di servizi on-line (con i vari fornitori di servizi), attraverso l’uso di un unica “chiave” di autenticazione (OneKey, appunto).

In “One person, one authentication” il progetto free software I-AM sposa “qualcosa che già si ha” con “qualcosa che si è”, ponendosi come obiettivo la realizzazione di un sistema di autenticazione OTP distribuito basato sul modello “una persona – un’unica identità” (one person – one unique identifier, 1P-1UID), garantendo la rigorosa associazione tra la persona e la sua credenziale digitale sfruttando una credenziale frutto dell’identificazione operata da una Pubblica Amministrazione e/o da un Pubblico Ufficiale.

Intel, Symantec e Vasco hanno unito le loro forze per sviluppare la tecnologia IPT (Identity Protection Technology), un livello di sicurezza aggiuntivo basato su hardware; per avvalersi della tecnologia IPT, ciò che serve è esclusivamente un computer, un PC tablet, o uno smartphone per generare one-time password (OTP) senza doversi dotare di token, evitando così di trasformarci in portatoken. Le tre aziende hanno scelto di rendere disponibile la tecnologia IPT secondo modalità diverse, in questo guidate dalle loro vocazioni più o meno “hardware or software oriented“, ed è così che Intel ha scelto di integrare l’autenticazione a due fattori direttamente nei processori dei PC basati su alcuni processori Intel® Core™ vPro™ di terza generazione, mentre

Symantec e VASCO hanno preferito la via del software, da installare sul dispositivo prescelto dall’utente, che diventa quindi un generatore di password monouso da utilizzare, o come un codice di sicurezza univoco, che può essere utilizzato insieme al proprio nome utente e password per accedere agli account in modo sicuro, o come una seconda password, un ultertiore strato di sicurezza; nel caso in cui non si disponga di uno smartphone, o dispositivo di ultima generazione IPT ready, sia Symantec che VASCO sono comunque in grado di offrire dispositivi hardware che generino password monouso. Entrambi forniscono le loro soluzioni, Validation & ID Protection (VIP) per Symantec,

e MYDIGIPASS.COM per Vasco,

come applicazioni gratuite, scaricabili sia dagli App Store che dai siti che hanno aderito al circuito IPT. L’idea è quella di consorziare il maggior numero di soggetti intorno al progetto IPT, che siano clienti utilizzatori finali, o fornitori di servizi, di modo da poter utilizzare, e fornire, un solo dispositivo per accedere a una moltitudine di servizi, che a tendere, e negli intenti, saranno tutti i servizi. Tutte e tre le aziende sono contemporaneamente impegnate nell’aumentare il numero di adesioni al circuito IPT, in quanto il successo della tecnologia/progetto è inevitabilmente legato alla diffusione dei servizi che richiedono l’autenticazione tramite quest’ultimo. Per quelle aziende che utilizzano l’autenticazione a due fattori, esiste già la consapevolezza dei problemi legati all’usabilità e alla logistica distributiva dei token. La sostituzione dei token smarriti, o non funzionanti, e la non corretta digitazione delle password monouso da parte degli utenti sono solo due dei problemi che gli help desk e i reparti IT devono affrontare. La tecnologia IPT sostituisce il token fisico dedicato, semplificando il processo di login a due fattori. La soluzione di autenticazione IPT è qualcosa di facile da usare, ed è disponibile tramite diversi OEM e ISV (Indipendent Software Vendor) di sicurezza.

Mentre Intel è indossolubilmente legata ai suoi processori di ultima generazione Core i3, i5, ed i7, ed è quindi disponibile ad alleanze di tipo hardware (il suo) – software (di qualsivoglia altro, nel caso di specie Symantec e Vasco), i security service provider IPT sono impegnati nel fidelizzare i vecchi e nuovi clienti (i fornitori di servizi di accesso) ai servizi/prodotti da loro forniti, rendendo al momento illusoria la prospettiva della interoperabilità che potrebbe scaturire dalla diffusione massiccia della tecnologia.

Ed è così che sia Symantec

che Vasco

diffondono si la tecnologia, ma lo fanno pro domo loro, cercando di raccogliere il maggior numero di adesioni, “piazzando” il più velocemente possible il loro servizio (e/o i loro prodotti) al maggior numero di fornitori di servizi di accesso.

A tendere ne potrebbe restare uno solo insieme ad Intel, e potrebbe anche essere colui che avrà raccolto il maggior numero di adesioni (che avrà venduto di più, ndr.), ma prima di quella data il sogno della interoperabilità e del singolo dispositivo di autenticazione sarà ancora di la da venire, e alla fine potrebbe configurarsi una situazione di pericoloso monopolio dell’accesso.

FantaITSecurity?

Una stupida smart card

Io sarò un deficiente che non capisce le istruzioni, ma è assurdo che non ci siano uffici dove, andando con i soldi e la carta di identità, non ti rilasciano subito una stupida smart card …

Avv. Luca Bosi – Milano
Rinnovo firma digitale…….Viva l’italiano

Sul portale di discussione SmartphoneTab rinvengo la discussione “Rinnovo firma digitale…….Viva l’italiano” postato da un avvocato, “incavolato come una biscia”, che lamenta una serie di inesattezze e impecisioni a livello di lingua italiana, rinvenibili in una comunicazione di preavviso per il rinnovo della sua (e quella di sua moglie) firma digitale.

Perchè?

Avendo, in maniera un po’ ingenua, “perso il treno” del rinnovo della firma digitale di venerdì, l’avvocato si trova così senza firma digitale, senza la possibilità di accedere a Polisweb per controllare le loro cause (quelle sue e di sua moglie), e forse non riceverà nemmeno le notifiche telematiche sulla PEC, perché anche quella è legata a Polisweb. Inoltre, dopo verifica, constata sconsolato, che fino a lunedì non potrà chiedere le due smart card all’addetto del tribunale, che le avrà chissà quando, arrivando alla conclusione amara che dovrà nuovamente iscriversi a Polisweb ed attendere che qualche buona anima vagli la sua iscrizione.

Polisweb è il servizio che permette agli Avvocati registrati e muniti di dispositivo di firma digitale con certificato di autenticazione di collegarsi al Sistema Polisweb per la visualizzazione dello stato dei propri fascicoli presso i Tribunali Civili e le Corti d’Appello.

“Minimo starò 10 gg senza accesso telematico e dovrò andare un giorno sì ed uno no a controllare presso l’ufficio in tribunale se ho ricevuto notifiche, così come fanno gli avvocati di 80 anni che non si sono registrati ancora.”

La cosa che fa incavolare il nostro avvocato è che, per dotarsi in altro modo di un dispositivo di firma digitale in tempi brevi sembra non esista alcuna soluzione nel pomeriggio di venerdì e nella giornata di sabato, avendo passato un ora e mezza su Google senza trovare nulla … c’ è forse lo spiraglio, tutto da verificare, di PosteImpresa fuori Milano, in quanto a Milano, a suo dire, è chiusa il venerdì pomeriggio ed il sabato, ma ahimè rimane il dilemma dei tempi di rilascio della smart card. E poi, aggiungo io, senza però conoscere minimamente le prassi di accesso a Lextel, l’ipotesi di accesso con firma digiltale rilasciata da un Identity Provider terzo è tutta da verificare.

L’avvocato infine arriva alla amara conclusione riportata in testata di post.

Due considerazioni finali a margine di questo episodio:

  1. così come è successo a me la scorsa settimana di vedermi inibire, per la seconda volta in due anni (Risorgimento informatico, a quando?), l’accesso ai servizi di Internet Banking per esaurimento tentativi di reimmissione PWD (ho avuto il classico e banale vuoto di memoria che mi ha fatto invertire i numeri del codice cliente), l’evento mi ha catapultato insieme all’avvocato compagno di sventure in ambinetazioni dai primi dell’ottocento, allorquando i messi papali, latori di missive timbrate e sigillate, con tanto di cera lacca e sigilli papali, dopo giorni di viaggio, consegnavano il plico, la “busta” … per richiedere la busta password, per la visualizzazione dello stato dei propri fascicoli presso i Tribunali Civili e le Corti d’Appello, effettuare un bonifico, o richiedere un estratto conto, ecc.;
  2. la tecnologia, non mi stancherò mai di ripeterlo, sopratutto quella usabile, è in grado di rendere la vita più facile, ma i processi che la “dispensano” a volte non viaggiano di pari passo; se da un lato la firma digitale, nello specifico caso del processo telematico, rende tutto estremamente più rapido e più facile, non così rapido si dimostra essere un processo di rinnovo, figlio di una burocrazia ancora poco “facile”.

Mi chiedo infine se non sarebbe stato più facile rinnovare un certificato di firma remota scaduto, magari utlizzando una finestra temporale di 10 gg. successivi alla scadenza, utile al solo processo di rinnovo, utilizzando da un lato, il sempre attivo processo di autenticazione OTP richiesto dal CNIPA per l’utilizzo delle credenziali di firma da remoto, e dall’altro il vecchio PIN di firma del certificato scaduto, così il nostro avvocato, non sarebbe stato in grado di firmare alcunchè, ma avrebbe avuto aperta una finestra temporale per il rinnovo, senza tirarsi addosso la croce del deficente.

One nation, one authentication

... c’è anche il cellulare, che potrebbe utilmente diventare un fattore di autenticazione, evitando di trasformarci in portachiavi (o portatoken…).

Ing. Andrea CACCIA su Firma Facile

OneKey è stato lanciato lo scorso 12 dicembre 2011.

OneKey è il primo dispositivo al mondo di autenticazione multifunzionale c.d. a due fattori a carattere nazionale utilizzabile (e richiedibile gratuitamente) da tutti gli utenti dei servizi online del settore pubblico e privato della repubblica di Singapore.

‘One’, come unico dispositivo comune a tutti gli utenti per effettuare transazioni con molti e differenti fornitori di servizi online.

Key‘, come chiave che serve a sbloccare e aprire un mondo di transazioni elettroniche in modalità sicura e conveniente.

Come nel caso delle firme digitali, dove l’identità del Pippo di turno viene garantita da una terza parte fidata, che risponde al nome di Certification Authority, anche nel caso della autenticazione OneKey esiste una terza parte, Assurity Trusted Solutions Pte Ltd, meglio nota come “Assurity“, società interamente controllata da IDA – Info-commmunication Development Authority di Singapore (“the Chief Information Officer for the Singapore Government“), che è stata istituita per gestire il NAF, sistema nazionale di autenticazione (National Authentication Framework) e servizi/sistemi nazionali 2FA (Second Factor Authentication).

Il National Authentication Framework (NAF) ha come obiettivo quello di creare un’infrastruttura nazionale di autenticazione forte per la tutela contro l’accesso non autorizzato ad informazioni sensibili online, come ad esempio le coordinate bancarie, i dettagli dei conti di trading, o le cartelle cliniche elettroniche, e che sia in grado di offrire ai consumatori una maggiore sicurezza durante l’esecuzione di transazioni online.

Vale la pena ricordare che l’autenticazione è il processo di convalida dell’identità di una persona per assicurare che “è colui che dice di essere”. Esistono tre elementi per autenticare un individuo:

  • “Qualcosa che conosci”, come ad esempio una password o un PIN;
  • “Qualcosa che hai”, come un token hardware di sicurezza (smart card, chiavetta USB, OTP, ecc.);
  • “Qualcosa che si è”, come impronte digitali, scansione della retina, ecc..
  • Il primo elemento, “Qualcosa che conosci”, è in genere fornito dal provider di servizi web quando un utente accede al suo sito. Il secondo elemento di autenticazione, o 2FA (Second Factor Authentication), nella pratica corrente del retail banking è la One-Time Password, o OTP, generata dinamicamente attraverso un dispositivo/token, o via SMS.

    Al giorno d’oggi pressoché tutti i service provider hanno, o stanno implementando, le proprie infrastrutture 2FA, con il risultato che i token, o dispositivi di autenticazione, sono di tipo proprietario, potendo essere utilizzati solo per accedere a specifici servizi online trasformando l’utilizzatore nel portachiavi (o portatoken…) menzionato in premessa.

    L’obiettivo del NAF è quello di consentire ai consumatori dotati di OneKey, distribuita gratuitamente a tutti i cittadini di Singapore che ne fanno richiesta, di accedere a numerosi e diversi servizi on-line (con i loro vari fornitori di servizi), attraverso l’uso di un unico dispositivo, potendo “fare tutte le transazioni online in tutta tranquillità”.

    Il successo di questo progetto “one nation, one authenticacion” non può prescindere dai numeri, che Chai Chin Loon, Chief Operating Officer di Assurity, ha indicato in “milioni di autenticazioni al mese”  fatte con il dispositivo OneKey; alla base della fiducia nel successo dell’iniziativa vi sono, tra gli altri:

    • la diffusione capillare, che a regime dovrebbe raggiungere oneKey;
    • la comodità di utilizzo e la sicurezza (se ne fa garante direttamente il governo di Singapore!) dello strumento di autenticazione unico, sia per consumatori/utilizzatori che per fornitori di servizi online;
    • la convenienza per i fornitori di servizi, che anzichè doversi dotare di strutture di autenticazione 2FA, possono ricorrere al NAF.

    Restando in attesa di verificarne o meno il successo, rendendomi conto delle difficoltà di replicare il modello “one nation, one authentication” in realtà più grandi della Repubblica di Singapore, continuo ad essere dell’idea che firma digitale e sitemi di autenticazione a secondo fattore dovrebbero avere sin dalla nascita (nostra, ndr.) un importante imprinting da parte dei governi di ogni paese, al pari di carta di identità, passaporto, codice fiscale/partita IVA.

    Parafrasando il jingle di Radio Deejay auguriamoci che il “test del National Authentication System” vada a buon fine affinchè …

    one nation one authentication!

    “Mi metta una firma qui e poi un’altra qui sotto, grazie”

    Eppur si muove!

    Galileo Galilei al tribunale dell’Inquisizione al termine dell’abiura dell’eliocentrismo

    A “muoversi”, è la firma remota!

    A giugno 2010, a “muoversi” per prima è Intesa San Paolo, che annuncia O-KeyPiù “il servizio di Firma Digitale comodo, in quanto non richiede alcun supporto fisico aggiuntivo rispetto all’O-Key, quale smart card o chiavetta USB, con emissione (e conservazione, ndr.) del certificato digitale su speciali server della Banca”. Il sistema viene definito sicuro, in quanto basato su un doppio sistema di identificazione (Pin della firma digitale, creato dal titolare della firma, e one-time password generata dal dispositivo O-Key) e semplice da usare, in quanto per firmare i documenti basta inserire il Pin della firma digitale e la one-time password.

    Dall’inizio del 2011 stiamo assistendo ad un movimento sempre più accelerato ed ormai inarrestabile, generato dal sistema dei “pianeti bancari”, che in queste ultime settimane si stanno rubando la scena del palcoscenico dell’informazione, per dare l’annuncio, che loro, la firma digitale (remota, ndr.), ce l’hanno, e che i loro clienti la possono richiedere ed utilizzare.

    Gli ultimi annunci fatti di recente riguardano Banca Sella e Deutsche Bank, la prima con SellaDigit e la seconda con una ancora non commercializzata, ma pronta ad esserlo, “Firma Remota”.

    SellaDigit è la firma digitale pratica e semplice da usare per i clienti di Banca Sella. Non richiede installazioni sul proprio Pc, e per utilizzarla non serve altro che il proprio dispositivo @pritisella.it, lo stesso utilizzato per accedere ai servizi on line, tanto facile da poter “firmare in pochi click!”. SellaDigit è disponibile in due versioni: una in cui nel certificato di firma è inserita una “limitazione” che la rende valida solo ed esclusivamente per firmare documenti con il Gruppo Banca Sella, l’altra, senza limitazione, che permette, mediante apposito software “DigitalSign”, da installare sul proprio personal computer, di firmare digitalmente anche altri tipi di file.

    Deutsche Bank, nel corso dell’evento svoltosi a maggio 2011 fra Milano e Roma dal titolo “Identità digitale e firma remota per la dematerializzazione e l’efficienza dei processi”, ha presentato la sua soluzione di firma digitale remota, disponibile a breve per la propria clientela.

    Fattori abilitanti del “movimento bancario” sono stati, e sono:

    • il possesso e l’utilizzo già consolidato, da parte della clientela, dei famosi token OTP, per effettuare autenticazioni sicure, e da questo momento in poi, per apporre firme digitali da remoto;
    • dematerializzazione e sicurezza, temi fortemente sentiti e fondamentali nello scatenare e dare un notevole impulso al movimento pro firma remota.

    A tutto questo movimento Copernicano fa da contraltare l’ennesimo dato dal sapore un po’  Tolemaico riguardante 262 lettori di firma digitale, che verranno installati nel mese di giugno 2011 in 42 uffici giudiziari (su un totale di poco meno di 500), comunicato nel corso della conferenza stampa a Palazzo Chigi dello scorso 24 maggio, da parte del ministro per la Pubblica Amministrazione e l’Innovazione Renato Brunetta e dal ministro della Giustizia Angelino Alfano, sullo stato d’attuazione del Piano straordinario per la digitalizzazione della giustizia.

    Piano straordinario per la digitalizzazione della giustizia
    A che punto siamo?

    Aspettando l’avvio/arrivo della rivoluzione copernicana anche in sistemi extra bancari, per adesso accontentiamoci di poter sottoscrivere documenti relativi a prodotti e servizi direttamente dal nostro computer, in qualsiasi momento, senza la necessita’ di doversi recare allo “sportello” per sentirsi dire “mi metta una firma qui e poi un’altra qui sotto, grazie”.

    How secure is my password?

    Il sito “Quanto sicura è la mia password“, offre di fare una semplice ed unica cosa: controllare la nostra password e dirci quanto è sicura. Digitando la password viene fatta una stima di quanto tempo ci vorrebbe per un attacco di forza bruta da parte di un hacker per venirne a conoscenza, impossessarsene (IMPORTANTE: anche se sono state effettuate alcune verifiche di affidabilità/sicurezza del succitato sito si consiglia di utilizzare una variante della vostra password, piuttosto che quella esatta, “just in case”). Le c.d. password stupide come ‘abc123′,’ciao’ e ‘password’ vengono segnalate come violabili quasi istantaneamente.

    Sono di questi giorni le notizie relative ai cyber-attacchi a Comodo e RSA Security.

    Comodo, il cui slogan è Creating Trust Online (creare fiducia online), è una Certification Authority mondiale che rilascia certificati digitali per connessioni sicure https, “utili a rassicurare” i browser/utenti che il sito che si sta visitando è realmente chi dice di essere. Comodo è stata “derubata” di alcuni certificati digitali, che fanno capo a mail.google.com, google.com, login.yahoo.com (3 SSL), login.skype.com, addons.mozilla.org e login.live.com. , dal sito http://instantssl.it/ che adesso (momento in cui è iniziata la redazione del presente post: 8 aprile 2011, ore 15:40 – GMT + 1) è “pubblicato” in stato Forbidden Code 403,

    mentre arrivandoci da una ricerca su Google, compare come Errore SSL con il seguente messaggio:

    È possibile che questo sito non sia quello che stavi cercando!

    Hai tentato di accedere a www.instantssl.it ma in realtà hai raggiunto un server che si identifica come secure.comodo.net. Ciò potrebbe essere causato da un errore di configurazione sul server o da qualcosa di più grave. Forse un utente malintenzionato sta tentando di indurti a visitare una versione falsa (e potenzialmente dannosa) di www.instantssl.it. Ti consigliamo di non procedere.

    RSA Security, anche lei società mondiale di sicurezza informatica e servizi correlati, è nota ai più per le sue chiavette OTP (One Time Password) che servono a rendere sicura, forte (STRONG), e allo stesso tempo usabile, l’autenticazione di un utente verso un servizio di rete, tipicamente i servizi di internet banking.

    In questo caso, il token OTP (la chiavetta, ndr.), oltre a “mettere in sicurezza” il sistema di autenticazione più “antico” e più utilizzato al mondo di User Id e password, ormai diventato altamente insicuro, risulta essere “utile a rassicurare” il fornitore del servizio (ad es. la Banca) che chi si sta autenticando al servizio è realmente colui che dice di essere.

    RSA Security, lo scorso 17 marzo 2011, ha pubblicato una lettera aperta sul suo sito aziendale indirizzata a tutti i suoi clienti, a firma del suo Presidente e AD Arthur W. Coviello, dove annuncia di essere stata vittima di un sofisticato cyber-attacco (Advanced Persistent Threat – APT), così come era accaduto a Google lo scorso anno, che ha portato alla estrazione/divulgazione di non specificate informazioni, alcune delle quali specificamente correlate ai prodotti di autenticazione a due fattori RSA SecurID e alla conseguente speculazione di mercato che milioni di token di autenticazione a due fattori potrebbero essere a rischio.

    La maggior parte dei prodotti OTP si basano su un codice/chiave segreta condivisa tra la chiavetta OTP, che tipicamente usiamo per ottenere il numero per autenticarci al servizio di Internet Banking, e il meccanismo di autenticazione lato server, che verifica la validità della nostra chiave. La chiave, spesso indicata come “seed” (seme), viene utilizzata per generare le famose one-time password, valide solo in quel breve momento in cui le generiamo (di solito non più di 30 secondi), che per la loro natura “one-time” e la breve durata, sono diventate sinonimo di garanzia di irrobustimento della sicurezza, per i processi di autenticazione/certificazione.

    Nella generazione sicura, distribuzione sicura, conservazione, o non conservazione, sicura, e protezione sicura di queste chiavi, non a caso segrete, risiede il “senso della vita”, o mission per gli amanti del “linguaggio business”, delle società che si occupano di sicurezza informatica negli specifici ambiti dei processi di autenticazione/certificazione.

    Quando qualcuno di noi schiaccia il pulsantino del suo token OTP, sta affidando la sua autenticazione, e conseguentemente la sicurezza dei suoi dati, al numero/codice generato. La fiducia riposta nel codice OTP è mutuata da analoga fiducia che l’organizzazione (banca o altri), che ci ha dato lo strumento per autenticarsi, ripone nella società di sicurezza informatica a cui si è affidata per i suoi sistemi di c.d. autenticazione forte, strong authentication, o autenticazione a due fattori.

    La frase che abbiamo sentito spesso ripetere da chi si occupa di sicurezza delle informazioni è che “il dato sicuro al 100% è quello che non c’è!”. Nel momento stesso in cui una società di sicurezza informatica crea una “chiave segreta”, in cascata si dovrà preoccupare di come andare a proteggere “l’algoritmo genesi”, o come detto più su il “seed” (seme), come andare a spedire, consegnare e attivare le chiavi in maniera sicura e a “prova di furto”, e come conservarle in maniera protetta e a “prova di scasso”.

    Per quanto ci è dato sapere, possiamo constatare che è in atto un attacco mirato a delle specifiche organizzazioni con il fine di acquisire l’accesso ai dati riservati delle stesse, e con l’obiettivo di mantenere l’accesso ai dati per un periodo di tempo esteso, rispetto al momento della violazione iniziale.

    Le conseguenze per la sicurezza e per l’operatività che una minaccia così persistente può determinare sono facilmente immaginabili!

    “Credo che ci troviamo a un punto di svolta. In questo momento siamo di fronte al principio di un nuovo mondo: in quello del passato c’erano solo i cyber-criminali; ora, invece, temo che questa sia l’Era del cyber-terrorismo, delle cyber-armi, delle cyber-guerre”

    Eugene Kaspersky, cofondatore e CEO di Kaspersky Lab

    Token OTP più sicuri del “sistema” smart card

    Chaos Computer Club, il gruppo di hacker più grande d’Europa da oltre 25 anni, ha dimostrato, durante una trasmissione sul canale televisivo WDR, alla vigilia dell’imminente introduzione della nuova carta di identità elettronica multifunzione tedesca, che è molto facile violarla e impossessarsi così dell’identità altrui.

    Registrazione del “Berichts aus Brüssel” del 22/09/2010 sul canale WDR, dove viene presentato un attacco alla nuova ID card tedesca dal Chaos Computer Club (il servizio è in lingua tedesca, ma rende bene, e drammaticamente, l’idea).

    Secondo il Deutsche Welle, il portale internazionale dei media tedesco, la nuova carta di identità elettronica multifunzione è stata facilmente violata da normali ”computer nerds”.

    I fatti

    A partire da novembre 2010, i cittadini tedeschi, che chiederanno di rinnovare le loro carte di identità nazionali, riceveranno ID card  ricche di funzionalità, in grado di memorizzare dati e statistiche biometriche. Le nuove ID card, delle dimensioni di una carta di credito standard, permetteranno ai possessori di fare operazioni finanziarie con le autorità statali tramite Internet.

    Le card high-tech sono pensate per fornire alti livelli di sicurezza per gli acquisti online, ma un gruppo di hacker ne ha facilmente decifrato il codice PIN.

    Il Chaos Computer Club, ha dimostrato, utilizzando un modello di test della nuova ID card,  per il programma televisivo “Berichts aus Brüssel” della rete WDR, che il numero di identificazione personale (PIN) è facilmente crackabile.

    Business rischioso

    Una volta che un hacker è entrato in possesso del PIN, può spacciarsi per il titolare della carta e fare acquisti su Internet. Sempre lo stesso hacker può facilmente cambiare il PIN della carta.

    “Ciò significa, per il titolare della carta, che non sarà nemmeno in grado di accedere ai dati delle propria carta – non avrà più il PIN”, così racconta Constanze Kurz, membro del Chaos Computer Club alla WDR.

    L’Ufficio Federale per la Sicurezza Informatica (BSI) ha riconosciuto che è possibile utilizzare i cosiddetti malware trojan per violare/copiare il PIN allorquando l’utente utilizzi la versione base del lettore di schede, nel momento in cui, preliminarmente al momento di effettuare gli acquisti da un computer a casa, il titolare della card la inserisce nel lettore (ID card reader) per la necessaria verifica di identità. Lo schema è simile al software di registrazione di ”battitura”, che registra ogni carattere digitato su una tastiera.

    Errore costoso

    Il governo tedesco ha già speso circa 24 milioni di euro per l’acquisto di circa un milione di lettori nella loro versione base. L’Ufficio Federale per la Sicurezza Informatica, che ha sviluppato le carte, ha sottolineato che nonostante le debolezze del lettore di base siano note, il processo di autenticazione permane molto più sicuro di una semplice combinazione userid e password, facendo notare che la tecnica utilizzata dai membri del Chaos Computer Club (keylogging) è simile a quella utilizzata dagli hacker di tutto il mondo per rubare le credenziali degli utenti.

    “La ID card sarà introdotta secondo i piani, non ci sono ulteriori misure di sicurezza previste, alla luce delle discussioni in corso”, ha detto Tim Griese dell’Ufficio federale per la Sicurezza Informatica a Deutsche Welle.

    La vicenda evidenzia come strati di sicurezza molto robusti (possesso e smart card) sono del tutto inutili allorquando si appoggiano su componenti presenti sul Pc degli utenti del tutto insicuri (lettori di smart card), che si rivelano come l’anello debole dell’intero sistema, rendendo possibile, a dei normali ”computer nerds”, caricare un malware, in grado di memorizzare e rubare il PIN, e di metterlo a disposizione di terzi.

    Soluzione possibile

    Per aggirare eventuali trojan “succhia dati”, e sventare così potenziali attacchi da parte degli hacker, gli esperti raccomandano l’utilizzo di lettori di alta qualità, che hanno la loro propria tastiera per l’inserimento del PIN, oppure fare ricorso alla buona “vecchia” One Time Password e i token OTP, generatori di PIN dinamici.

    Firma facile, firma sicura

    Il sistema User Id e password è il metodo di autenticazione più utilizzato al mondo, ma considerato altamente insicuro, specialmente in ambiti finanziari e governativi. I motivi principali di questa mancanza di sicurezza derivano essenzialmente da un utilizzo di password facili da ricordare, insicure e facilmente rintracciabili, dalla negligenza nella conservazione (spesso lasciate in vista su Post-it), e dall’uso, e riuso, pressochè infinito della stessa password per diversi account e per lungo tempo.

    La sicurezza informatica non è più solo, come era in passato, virus ed hacker! In questi anni abbiamo, nostro malgrado, familiarizzato con trojan, spyware, social, pharming, phishing, ecc. ecc..

    Il phishing significa letteralmente “spillaggio” di dati sensibili. E’ una attività illegale utilizzata per ottenere l’accesso a informazioni personali riservate con la finalità del furto di identità mediante l’utilizzo delle comunicazioni elettroniche, soprattutto messaggi di posta elettronica fasulli o messaggi istantanei, ma anche contatti telefonici. Grazie a messaggi che imitano grafica e loghi dei siti istituzionali (pharming), l’utente è ingannato e portato a rivelare dati personali, come numero di conto corrente, numero di carta di credito, codici di identificazione, ecc..

    Un’identificazione digitale è un processo basato su uno, o più, dei seguenti fattori:

    1) qualcosa che si conosce (PIN o Password);

    2) qualcosa che si possiede (Token OTP, crittografico, smart card, ecc.);

    3) ciò che si è (impronte digitali, impronta retina, ecc.).

    La strong authentication è un procedimento di identificazione sicuro, che utilizza due, o più, fattori di identificazione. Un esempio tipico di strong authentication si ha quando usiamo il Bancomat ad una cassa automatica, ovverosia utilizziamo qualcosa che abbiamo (la c.d. carta Bancomat) e qualcosa che conosciamo (il nostro PIN di autenticazione).

    Con le modifiche apportate con le nuove regole tecniche, sulla firma digitale (DPCM 30 marzo 2009) si è voluto rendere possibile alle CA di conservare le chiavi private dei titolari (quelle usate per l’operazione di generazione della firma digitale) su dispositivi sicuri per la generazione della firma (HSM) situati presso di loro, all’interno di locali adeguatamente protetti. In funzione delle caratteristiche del certificato è possibile modulare i requisiti di sicurezza facenti capo ad esso: se usiamo un certificato con forti limiti d’uso, può essere sufficiente una connessione protetta con autenticazione con userid e password, mentre, in assenza di limitazioni, è necessario mantenere inalterato il concetto di possesso e conoscenza, prevedendo oltre a userid e password, l’utilizzo di un sistema OTP (possesso) protetto da PIN (conoscenza).

    L’acronimo OTP sta  per One-Time-Password e indica un sistema che crea parole chiave usa e getta che durano pochi secondi. Sono generate da un piccolo apparecchio tascabile chiamato “token”. 

    Tutte le identificazioni digitali basate su richieste di username+password possono essere rese sicure con sistemi di autenticazione forte! Il sistema, in pratica, funziona con una doppia identificazione, la prima con identificativo e password e la seconda con la password “a perdere” (One Time, appunto) generata dal token, con cui abbiamo familiarizzato soprattuto grazie ai conti in banca, che ormai, nella gran parte dei casi, prevedono il processo di strong authentication basato sul possesso di OTP generator di varie fogge e colori.

    La definitiva eliminazione dei problemi di gestione delle smart card e delle business key di firma digitale, attraverso l’adozione della firma remota e centralizzata (la firma facile ndr.), si accoppia a garanzie di sicurezza molto elevate per l’autenticazione dei “firmatari digitali”.