c.m.g
17-04-2012, 08:10
lunedì 16 aprile 2012
di C. Giustozzi - Le vere infrastrutture critiche non sono quelle da cui dipende il funzionamento della Rete. Il vero punto debole sono i servizi da cui dipende la Rete stessa. Il caso delle Certificate Authorities
Roma - È di solo poche settimane fa la notizia di quella che probabilmente è la prima truffa perpetrata in Italia mediante l'uso (o l'abuso) della firma digitale: alcuni truffatori, utilizzando abusivamente la firma digitale di un imprenditore, si sono a sua insaputa intestati le quote dell'azienda di cui egli era titolare, di fatto "scippandogliela". Molti giornali hanno rilanciato la storia con grande enfasi ma ben poca dovizia di particolari, limitandosi soprattutto a ripubblicare gli scarni comunicati d'agenzia, e qualcuno si è perfino lanciato in commenti personali tanto azzardati quanto poco azzeccati, parlando ad esempio di "copia della firma digitale". Il risultato è stato l'ennessimo guazzabuglio tecno-mediatico, nel quale nessuno (in primis gli stessi giornalisti) ci ha capito nulla, ma che in tutti ha lasciato l'amara impressione che la firma digitale non sia affatto sicura.
L'episodio in effetti è rilevante, e occorre approfondito per capire come sia avvenuto. La buona notizia è che la tecnologia della firma digitale in sé non è affatto vulnerabile, al contrario di come taluni hanno pensato: quella cattiva è che, come del resto già si sapeva ma troppo spesso si dimentica, è invece dannatamente vulnerabile tutto il corollario di processi amministrativi che la circondano, specie quelli presidiati da operatori umani. L'occasione è quindi utile per ampliare la riflessione ad un aspetto spesso trascurato ma fondamentale del funzionamento della Rete, quello del trust: ossia di quella "catena di fiducia" grazie alla quale possiamo stabilire con certezza l'identità dei soggetti, umani o automatici, coi quali interagiamo nel cyberspazio.
L'integrità della catena di fiducia è condizione irrinunciabile affinché si possano effettuare in Rete quelle attività fondamentali della società umana, quali ad esempio la compravendita di beni e servizi, potendo contare su un livello di garanzia almeno uguale se non superiore a quello che ci aspettiamo nelle tradizionali interazioni in presenza. Come noto la gestione della catena di trust è affidata, per norme e consuetudini internazionali, alle cosiddette "Autorità di certificazione" o "Certification Authorities": ossia particolari entità super partes che, essendo considerate affidabili per definizione, garantiscono con assiomatica certezza l'identità dei soggetti cui rilasciano quelle speciali e non falsificabili credenziali elettroniche che vanno sotto il nome di certificati digitali. Pertanto il sistema delle Autorità di certificazione svolge un servizo vitale per il funzionamento della Rete stessa, e una sua eventuale compromissione potrebbe portare alla sovversione totale di ogni rapporto di fiducia da essa mediato con conseguenze facilmente immaginabili.L'episodio balzato agli onori della cronaca verso la fine dello scorso marzo, in effetti, non ha fatto altro che evidenziare una falla nel processo di trust sfruttando la quale, con la complicità più o meno volontaria e consapevole di alcuni intermediari umani, un gruppo di malintenzionati è riuscito a farsi rilasciare una smart card di firma digitale inestata alla vittima; da qui ad usarla per autorizzare a sua insaputa il trasferimento a loro favore delle quote di un'azienda di sua proprietà il passo è stato breve. Quello che è successo è in realtà desolantemente semplice: i truffatori si sono rivolti ad una Certification Authority accreditata, tramite una Registration Authority pubblica (la Camera di Commercio), chiedendo l'emissione di una smart card di firma intestata all'imprenditore; la domanda era accompagnata dalla fotocopia dei documenti di quest'ultimo, e da una falsa delega che li autorizzava al ritiro del dispositivo per conto del legittimo intestatario a causa della sua assenza dall'Italia. L'impiegato della Registration Authority, evidentemente poco scrupoloso nello svolgimento del suo mestiere, ha accettato pacificamente la richiesta ed ha provveduto a far emettere alla Certification Authority il certificato richiesto, senza effettuare i necessari accertamenti sulla validità della richiesta e soprattutto senza accertarsi della reale identità del richiedente. A causa di questo comportamento improprio i truffatori sono potuti entrare in possesso di un dispositivo di firma digitale valido ed intestato all'ignaro imprenditore: e così, grazie anche alla complicità di un commercialista poco scrupoloso, hanno facilmente potuto autorizzare il trasferimento a sé stessi delle quote societarie dell'azienda di proprietà della vittima.
Una truffa banale, dunque? Un mero incidente di percorso, dovuto ad incuria umana, che non incrina minimamente la validità dei meccanismi tecnici della firma digitale? Insomma, mica tanto. Tanto per cominciare non si è trattato solo di una semplice leggerezza da parte della Registration Authority ma di un vero e proprio reato: la legge prevede infatti che colui che richiede un dispositivo sicuro di firma digitale debba essere "identificato con certezza" da colui che dovrà rilasciarglielo, e ciò proprio per evitare possibili casi di truffe o furti di identità. Cosa che nel caso di specie non è evidentemente avvenuta. Così, se da un lato restiamo rincuorati sul fatto che la firma digitale continua ad essere tecnicamente sicura, dall'altro dovremmo iniziare ad interrogarci di più sulla insospettata vulnerabilità di quei meccanismi non tecnici che dovrebbero fornirci proprio quelle garanzie irrinunciabili sull'affidabilità dell'intero processo di trust sul quale si basa la validità della firma digitale. In altre parole: tutto il sistema di fiducia si fonda sul fatto che le Certification Authority siano affidabili, ma come facciamo ad essere sicuri che lo siano davvero?
La realtà è che le Autorità di certificazione sono davvero il tallone d'Achille di tutto il meccanismo di attribuzione della fiducia sul quale si basano i processi ed i sistemi di e-commerce, e-governement e via dicendo. E ci sono oramai le prove che tale meccanismo stia iniziando a scricchiolare sotto i colpi di chi ha interesse a sovvertirne il funzionamento. Negli ultimi due anni, ad esempio, sono già almeno tre i casi eclatanti in cui certificati digitali validi ma "rubati", oppure estorti fraudolentemente a CA appositamente compromesse, sono stati utilizzati per consentire lo svolgimento di azioni malevole su larga o larghissima scala. Si tratta di un segnale davvero inquietante, perché mette chiaramente in luce come tutta la catena di fiducia della rete si poggi su fondamenta assai più deboli del previsto.
Continua su Punto Informatico =============>> (http://punto-informatico.it/3499412_2/PI/Commenti/certificati-anello-debole-nella-catena.aspx)
Fonte: Punto Informatico (http://punto-informatico.it/3499412/PI/Commenti/certificati-anello-debole-nella-catena.aspx)
di C. Giustozzi - Le vere infrastrutture critiche non sono quelle da cui dipende il funzionamento della Rete. Il vero punto debole sono i servizi da cui dipende la Rete stessa. Il caso delle Certificate Authorities
Roma - È di solo poche settimane fa la notizia di quella che probabilmente è la prima truffa perpetrata in Italia mediante l'uso (o l'abuso) della firma digitale: alcuni truffatori, utilizzando abusivamente la firma digitale di un imprenditore, si sono a sua insaputa intestati le quote dell'azienda di cui egli era titolare, di fatto "scippandogliela". Molti giornali hanno rilanciato la storia con grande enfasi ma ben poca dovizia di particolari, limitandosi soprattutto a ripubblicare gli scarni comunicati d'agenzia, e qualcuno si è perfino lanciato in commenti personali tanto azzardati quanto poco azzeccati, parlando ad esempio di "copia della firma digitale". Il risultato è stato l'ennessimo guazzabuglio tecno-mediatico, nel quale nessuno (in primis gli stessi giornalisti) ci ha capito nulla, ma che in tutti ha lasciato l'amara impressione che la firma digitale non sia affatto sicura.
L'episodio in effetti è rilevante, e occorre approfondito per capire come sia avvenuto. La buona notizia è che la tecnologia della firma digitale in sé non è affatto vulnerabile, al contrario di come taluni hanno pensato: quella cattiva è che, come del resto già si sapeva ma troppo spesso si dimentica, è invece dannatamente vulnerabile tutto il corollario di processi amministrativi che la circondano, specie quelli presidiati da operatori umani. L'occasione è quindi utile per ampliare la riflessione ad un aspetto spesso trascurato ma fondamentale del funzionamento della Rete, quello del trust: ossia di quella "catena di fiducia" grazie alla quale possiamo stabilire con certezza l'identità dei soggetti, umani o automatici, coi quali interagiamo nel cyberspazio.
L'integrità della catena di fiducia è condizione irrinunciabile affinché si possano effettuare in Rete quelle attività fondamentali della società umana, quali ad esempio la compravendita di beni e servizi, potendo contare su un livello di garanzia almeno uguale se non superiore a quello che ci aspettiamo nelle tradizionali interazioni in presenza. Come noto la gestione della catena di trust è affidata, per norme e consuetudini internazionali, alle cosiddette "Autorità di certificazione" o "Certification Authorities": ossia particolari entità super partes che, essendo considerate affidabili per definizione, garantiscono con assiomatica certezza l'identità dei soggetti cui rilasciano quelle speciali e non falsificabili credenziali elettroniche che vanno sotto il nome di certificati digitali. Pertanto il sistema delle Autorità di certificazione svolge un servizo vitale per il funzionamento della Rete stessa, e una sua eventuale compromissione potrebbe portare alla sovversione totale di ogni rapporto di fiducia da essa mediato con conseguenze facilmente immaginabili.L'episodio balzato agli onori della cronaca verso la fine dello scorso marzo, in effetti, non ha fatto altro che evidenziare una falla nel processo di trust sfruttando la quale, con la complicità più o meno volontaria e consapevole di alcuni intermediari umani, un gruppo di malintenzionati è riuscito a farsi rilasciare una smart card di firma digitale inestata alla vittima; da qui ad usarla per autorizzare a sua insaputa il trasferimento a loro favore delle quote di un'azienda di sua proprietà il passo è stato breve. Quello che è successo è in realtà desolantemente semplice: i truffatori si sono rivolti ad una Certification Authority accreditata, tramite una Registration Authority pubblica (la Camera di Commercio), chiedendo l'emissione di una smart card di firma intestata all'imprenditore; la domanda era accompagnata dalla fotocopia dei documenti di quest'ultimo, e da una falsa delega che li autorizzava al ritiro del dispositivo per conto del legittimo intestatario a causa della sua assenza dall'Italia. L'impiegato della Registration Authority, evidentemente poco scrupoloso nello svolgimento del suo mestiere, ha accettato pacificamente la richiesta ed ha provveduto a far emettere alla Certification Authority il certificato richiesto, senza effettuare i necessari accertamenti sulla validità della richiesta e soprattutto senza accertarsi della reale identità del richiedente. A causa di questo comportamento improprio i truffatori sono potuti entrare in possesso di un dispositivo di firma digitale valido ed intestato all'ignaro imprenditore: e così, grazie anche alla complicità di un commercialista poco scrupoloso, hanno facilmente potuto autorizzare il trasferimento a sé stessi delle quote societarie dell'azienda di proprietà della vittima.
Una truffa banale, dunque? Un mero incidente di percorso, dovuto ad incuria umana, che non incrina minimamente la validità dei meccanismi tecnici della firma digitale? Insomma, mica tanto. Tanto per cominciare non si è trattato solo di una semplice leggerezza da parte della Registration Authority ma di un vero e proprio reato: la legge prevede infatti che colui che richiede un dispositivo sicuro di firma digitale debba essere "identificato con certezza" da colui che dovrà rilasciarglielo, e ciò proprio per evitare possibili casi di truffe o furti di identità. Cosa che nel caso di specie non è evidentemente avvenuta. Così, se da un lato restiamo rincuorati sul fatto che la firma digitale continua ad essere tecnicamente sicura, dall'altro dovremmo iniziare ad interrogarci di più sulla insospettata vulnerabilità di quei meccanismi non tecnici che dovrebbero fornirci proprio quelle garanzie irrinunciabili sull'affidabilità dell'intero processo di trust sul quale si basa la validità della firma digitale. In altre parole: tutto il sistema di fiducia si fonda sul fatto che le Certification Authority siano affidabili, ma come facciamo ad essere sicuri che lo siano davvero?
La realtà è che le Autorità di certificazione sono davvero il tallone d'Achille di tutto il meccanismo di attribuzione della fiducia sul quale si basano i processi ed i sistemi di e-commerce, e-governement e via dicendo. E ci sono oramai le prove che tale meccanismo stia iniziando a scricchiolare sotto i colpi di chi ha interesse a sovvertirne il funzionamento. Negli ultimi due anni, ad esempio, sono già almeno tre i casi eclatanti in cui certificati digitali validi ma "rubati", oppure estorti fraudolentemente a CA appositamente compromesse, sono stati utilizzati per consentire lo svolgimento di azioni malevole su larga o larghissima scala. Si tratta di un segnale davvero inquietante, perché mette chiaramente in luce come tutta la catena di fiducia della rete si poggi su fondamenta assai più deboli del previsto.
Continua su Punto Informatico =============>> (http://punto-informatico.it/3499412_2/PI/Commenti/certificati-anello-debole-nella-catena.aspx)
Fonte: Punto Informatico (http://punto-informatico.it/3499412/PI/Commenti/certificati-anello-debole-nella-catena.aspx)