Lampi di Cassandra/ Lo SPID è nato morto?

di M. Calamari - I sistemi di autenticazione a due fattori gestiti tramite SMS soffrono di problemi strutturali, suggerisce una ricerca dell'Università di Amsterdam. SPID-2 si basa proprio su questo meccanismo

Roma – Probabilmente persino alcuni dei 24 informatissimi lettori non conoscono SPID , acronimo di “Sistema Pubblico di Identità Digitale”, che si autodefinisce “La soluzione per accedere a tutti i servizi online della pubblica amministrazione e dei privati con un’unica Identità Digitale”. Perciò, prima di passare a fosche profezie, Cassandra è obbligata a fornire qualche informazione, peraltro facilissimamente reperibile in Rete. Dunque, SPID, noto anche a chi ha memoria lunga come “Il PIN di Renzi”, è un sistema pubblico di creazione e distribuzione di identità digitali, controllato dallo Stato Italiano e realizzato da fornitori privati da esso certificati ed iscritti un un apposito Albo.
Viene infatti gestito esattamente come è stato fatto per la Posta Elettronica Certificata con la quale, per fortuna, si sono creati sia un utile strumento per il cittadino che un onesto business per alcune aziende di servizi informatici.

I problemi che attualmente affliggono lo SPID sono di due tipi: commerciali e tecnici.
Quello commerciale, dovuto al solito bando confezionato ad arte (“solo aziende con almeno 5 milioni di euro di fatturato”) pare sia stato risolto di recente .

I problemi tecnici sono appena cominciati, ma preoccupano già molto: vediamo un attimo perché.
Chi ha bisogno di una identità digitale la compra da un fornitore a scelta: attualmente ce ne sono tre.
I fornitori, dotati di adeguata struttura amministrativa e tecnica certificata, effettuano il riconoscimento della persona, ne verificano l’identità e rilasciano le credenziali richieste. Con queste credenziali l’utente si potrà ( prossimamente ) autenticare a tutti i siti e servizi delle pubbliche amministrazioni, ed a tutti i siti e servizi commerciali che la vorranno adottare.
E per i primi due anni le credenziali sono anche gratuite.
“Tutti” e “Gratis”. Bello eh?
Si, ma anche no, e vediamo perché.

Esistono tre tipi di credenziali: SPID-1, SPID-2 e SPID-3.

SPID-1 è un nome utente fisso con una password modificabile dall’utente: buono per autenticarsi su un social o una mail list, ma certo non buono per una dichiarazione dei redditi, un pagamento, un voto o la presentazione di un bilancio. Secondo Cassandra non avrebbe nemmeno dovuto esistere perché implementa una cultura dell’insicurezza.

SPID-3: autenticazione con token digitale. Per ora nessuno la fornisce, quindi è difficile darne un giudizio, se non che è la triplicazione di altri due servizi che potrebbero essere usati con la stessa efficacia, cioè dispositivo di firma digitale e carta nazionale dei servizi (di solito coincide con la tessera sanitaria). Essendo non una duplicazione ma una triplicazione anche SPID-3 non dovrebbe esistere.

SPID-2 è una autenticazione a due fattori, nome utente e password, congiuntamente alle generazione di un codice temporaneo che viene inviato via SMS o con app mobile dedicata. Già diffuso ed usato soprattutto dalle banche, è realizzabile anche in una diversa, più sicura e più costosa versione, in cui il codice temporaneo viene generato ogni minuto da un piccolo token con display LCD che si tiene in casa o nel portachiavi.
SPID-2 non prevede tuttavia l’uso di un token fisico, ma solo della versione SMS. E qui vengono i dolori.

È infatti stata pubblicata un’interessantissima ricerca dell’Università di Amsterdam dal titolo “How Anywhere Computing Just Killed Your Phone-Based Two-Factor Authentication”, cioè “Come l’integrazione di smartphone e pc ha appena ucciso l’autenticazione a due fattori via SMS”. Si parla appunto delle ben note sincronizzazioni nei vari cloud e tra i vari sistemi operativi dei nostri gadget tecnologici, tanto comode ma anche tanto rischiose, e non solo per la privacy.

Le 17 lucide pagine descrivono dettagliatamente l’implementazione di attacchi mirati per violare i sistemi con codice temporaneo via SMS, sia in ambiente Android che iOS, con una prosa precisa ed implacabile, concludendo che mantenere ragionevolmente sicura l’autenticazione a due fattori via SMS sarà una sfida difficile e costosa.
Per chi non troverà il tempo di leggere il paper (e farà male) è importante sottolineare che il problema segnalato non riguarda il semplice exploit di un paio di bachi, che poi saranno corretti in modo da risolvere il problema stesso. Il problema delineato è più sistemico e più profondo, quindi anche più grave e difficilmente correggibile, visto che contrasta con l’usabilità di prodotti. È il problema di permettere a più device di sincronizzarsi automaticamente ed in vario modo tra di loro e col cloud. Meccanismi di questo tipo, che si moltiplicano continuamente perché sempre più necessari, sono violabili anche senza veri e propri bachi software, perché dovendo far parlare device diversi tra loro senza disturbare troppo l’utente (e quindi avere prodotti più “belli”) saranno sempre intrinsecamente deboli perché, per spinte commerciali, devono essere prima di tutto flessibili e facili da usare.

Così la sicurezza, da sempre Cenerentola dell’elettronica di consumo, sarà considerata ancora meno, quando invece il paper, nelle sue conclusioni, sottolinea che i problemi intrinseci di sicurezza diverranno sempre più gravi fino al limite dell’ingestibilità.

Leggetevelo, anche perché all’Agenzia per l’Italia Digitale non hanno probabilmente avuto il tempo per farlo.

Se SPID-2 fosse invece un’autenticazione a due fattori con token hardware, anche se suscettibile di attacchi tipo Man-in-the-Browser ( MitB ), sarebbe comunque di gran lunga più difficile da violare e soprattutto da violare su larga scala.

E quindi?
Quindi anche se SPID-2 non è nato proprio morto, è purtroppo un neonato a gravissimo rischio.
Cassandra la ritiene una soluzione decisamente sconsigliabile, come le sue due sorelle.

Nulla rimane da dire quindi sullo SPID come iniziativa digitale italiana.

Il problema più vasto di avere una identità digitale univoca merita invece qualche altra considerazione.
La violazione delle vostre (ipotetiche) credenziali SPID implica pericoli molto più gravi del semplice svuotamento del vostro conto corrente.
Le credenziali sono “voi”, dovunque. Devono essere sicure ed utilizzate con attenzione.
Essendo uniche potrebbero essere usate per impersonarvi e realizzare azioni su innumerevoli siti e servizi di cui voi nemmeno conoscete l’esistenza.

Ecco perché, secondo Cassandra, per SPID vale quanto detto a suo tempo per la CEC-PAC ed altre storie dell’orrore digitale italiane.
Neanche gratis.

Marco Calamari
Lo Slog (Static Blog) di Marco Calamari
L’archivio di Cassandra/ Scuola formazione e pensiero

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • breaking news scrive:
    e intanto
    apple-palle crolla! -22.5% di profitti.L' iphogna non tira più come un tempo:http://www.wsj.com/articles/apple-reports-first-quarterly-sales-drop-since-2003-1461702629E il macaco si dispera!
    • breaking balls scrive:
      Re: e intanto
      Il ferro cola giù a picco:[img]http://cdn.arstechnica.net/wp-content/uploads/2016/04/Apple-earnings-chart-Q2-2016.003-1-980x720.png[/img]
  • furbetti scrive:
    il profumo dei soldi
    Oh, la EFF, urla e strilla in difesa delle santerelline dell' IT USA che MAI si sono beneficiate delle norme fascite di quel pezzo di mondo e mai hanno fatto accordi sordidi col governo americano.Pagliacciata.
  • santomon scrive:
    che squallore
    Quello che mi sto chiedendo da diversi anni è: solo gli USA spiano tutti?Solo gli USA hanno gente che dice chiaro e tondo ciò che accade nel loro Paese, o cercano di capirlo?L'europa non spia?Non c'è nessuno che cerca di capire, di denunciare?Ma siamo davvero solo la periferia dell'impero!?
    • marcione scrive:
      Re: che squallore
      - Scritto da: santomon
      Quello che mi sto chiedendo da diversi anni è:
      solo gli USA spiano
      tutti?
      Solo gli USA hanno gente che dice chiaro e tondo
      ciò che accade nel loro Paese, o cercano di
      capirlo?
      L'europa non spia?
      Non c'è nessuno che cerca di capire, di
      denunciare?
      Ma siamo davvero solo la periferia dell'impero!?qui un articoletto su come vanno le cose in america: https://www.techdirt.com/articles/20160422/16055234251/house-reps-to-james-clapper-no-really-stop-ignoring-question-tell-us-how-many-americans-are-spied-nsa.shtmltira tu le somme.
  • Umbrella Piscator scrive:
    all'ombra dell'ultimo sole...
    s'era assopito un pescatore e aveva un solco lungo il viso come una specie di sorriso.(cit.)Pescava boccaloni e ne ha pescato sei... (rotfl)(rotfl)[img]http://1.bp.blogspot.com/_gzlUv6IQkg4/R8ciYVg2aaI/AAAAAAAAAD0/S8TXxtzjiQg/S660/pescatore.gif[/img]
  • umby scrive:
    Si, come no!
    Ma al dipartimento di giustizia, frega assai di 4 scimmie urlanti quali l'EFF !!!
    • maxsix scrive:
      Re: Si, come no!
      - Scritto da: umby
      Ma al dipartimento di giustizia, frega assai di 4
      scimmie urlanti quali l'EFF
      !!!Ma scherzi?Gigi sta organizzando l'ingresso al Doj insieme a piedi puzzosi e ken il guerriero.Tremerà anche il cielo [cit.]
      • giaguareggi ando ma con merdeces scrive:
        Re: Si, come no!
        - Scritto da: maxsix
        - Scritto da: umby

        Ma al dipartimento di giustizia, frega assai
        di
        4

        scimmie urlanti quali l'EFF

        !!!

        Ma scherzi?

        Gigi sta organizzando l'ingresso al Doj insieme a
        piedi puzzosi e ken il
        guerriero.
        Tremerà anche il cielo [cit.]Eggià anche perchè solo il cielo sa cosa c'entra piedi puzzosi con EFF...(rotfl)(rotfl)(rotfl)
        • il fuddaro scrive:
          Re: Si, come no!
          - Scritto da: giaguareggi ando ma con merdeces
          - Scritto da: maxsix

          - Scritto da: umby


          Ma al dipartimento di giustizia, frega
          assai

          di

          4


          scimmie urlanti quali l'EFF


          !!!



          Ma scherzi?

          Gigi sta organizzando l'ingresso al Doj insieme
          a

          piedi puzzosi e ken il

          guerriero.

          Tremerà anche il cielo [cit.]
          Eggià anche perchè solo il cielo sa cosa c'entra
          piedi puzzosi con
          EFF...
          (rotfl)(rotfl)(rotfl)Purtroppo 'piedi puzzoso' e l'uomo che ha mandato in frantumi i sogni del maxsei!Nei suoi sogni le aziende fiorivano indistindamente tutte belle lustranti e ricchissieme, cos' facendo il maxsei, non avrebbe dovuto adorare un' unica azienda, ma avrebbe potuto leccare il culo a chiunque.Adesso invece deve scegliere attentamente, quale adorare, e come logica vuple(per i leccaculo), a scelto la santa chiesa di copertino!Rimani sempre è comunque un un lacchè
        • Etype scrive:
          Re: Si, come no!
          Cerca di capirlo,ha confuso EFF per FSF,a quel punto la sua gracile mente è andata in cortocircuito (rotfl)
          • giaguareggi ando ma con merdeces scrive:
            Re: Si, come no!
            - Scritto da: Etype
            Cerca di capirlo,ha confuso EFF per FSF,a quel
            punto la sua gracile mente è andata in
            cortocircuito
            (rotfl)nahhh il tapino ("meschineddu") per dirla alla Montalbano.....è sempre in "cortocircuito" lui ha visto un po' di F oltre non ci arriva non gli è possibile 2 F 2 neuroni esaurite le possibilità del resto con 2 neuroni come fai a fare un "lungocircuito" è corto per forza!(rotfl)(rotfl)
      • marcione scrive:
        Re: Si, come no!
        - Scritto da: maxsix
        - Scritto da: umby

        Ma al dipartimento di giustizia, frega assai
        di
        4

        scimmie urlanti quali l'EFF

        !!!

        Ma scherzi?

        Gigi sta organizzando l'ingresso al Doj insieme a
        piedi puzzosi e ken il
        guerriero.
        Tremerà anche il cielo [cit.]bello vedere che non perdi mai una buona occasione per tacere.
        • il fuddaro scrive:
          Re: Si, come no!
          - Scritto da: marcione
          - Scritto da: maxsix

          - Scritto da: umby


          Ma al dipartimento di giustizia, frega
          assai

          di

          4


          scimmie urlanti quali l'EFF


          !!!



          Ma scherzi?



          Gigi sta organizzando l'ingresso al Doj insieme
          a

          piedi puzzosi e ken il

          guerriero.

          Tremerà anche il cielo [cit.]

          bello vedere che non perdi mai una buona
          occasione per
          tacere.E un machaco che t'aspettavi! E pure dei più integralisti, sono uguali a gli islamisti, a culto. ;)
      • Etype scrive:
        Re: Si, come no!
        Invidia eh :D
    • il fuddaro scrive:
      Re: Si, come no!
      Toh anche il post del maxsix è risultato deleterio! (rotfl)E lui crede di dispensare perle di saggezza.
      • maxsix scrive:
        Re: Si, come no!
        - Scritto da: il fuddaro
        Toh anche il post del maxsix è risultato
        deleterio!
        (rotfl)

        E lui crede di dispensare perle di saggezza.Lui chi.Soggetto.Verbo.Complemento.Le basi di prima elementare della lingua italiana.Mio figlio ti presta il suo sussidiario di prima classe, non gli serve più.
      • xx tt scrive:
        Re: Si, come no!
        purtroppo non è il solo io ne conosco almeno alcuni altri tu no? :D
    • Umbrella scrive:
      Re: Si, come no!
      Davvero?Pare però che ci sia una lista assai lunga di casi in cui gli è toccato di ingoiare il rospo... la lista comincià qui.https://www.eff.org/victoriesBuona lettura.. :D
      • maxsix scrive:
        Re: Si, come no!
        - Scritto da: Umbrella
        Davvero?
        Pare però che ci sia una lista assai lunga di
        casi in cui gli è toccato di ingoiare il rospo...
        la lista comincià
        qui.
        https://www.eff.org/victories
        Buona lettura..
        :DGli è toccato a chi?Soggetto.Verbo.Complemento.Anche a te.
        • marcione scrive:
          Re: Si, come no!
          - Scritto da: maxsix
          - Scritto da: Umbrella

          Davvero?

          Pare però che ci sia una lista assai lunga di

          casi in cui gli è toccato di ingoiare il
          rospo...

          la lista comincià

          qui.

          https://www.eff.org/victories

          Buona lettura..

          :D

          Gli è toccato a chi?
          Soggetto.
          Verbo.
          Complemento.

          Anche a te.leggi invece di fare la maestrina.
        • giaguareggi ando ma con merdeces scrive:
          Re: Si, come no!
          - Scritto da: maxsix
          - Scritto da: Umbrella

          Davvero?

          Pare però che ci sia una lista assai lunga di

          casi in cui gli è toccato di ingoiare il
          rospo...

          la lista comincià

          qui.

          https://www.eff.org/victories

          Buona lettura..

          :D

          Gli è toccato a chi?
          Soggetto.
          Verbo.
          Complemento.Al "Department Of Justice""In Italiano quando si risponde a una frase o a un periodo si ereditano implicitamente soggetto e/o complemento dal periodo precedente per evitare di incorrere in errori di ripetizione"(Cit.) per impare ti potrà essere utile questo link:http://www.analisi-grammaticale.biz/Analisi_Grammaticale.phpP.S.Siamo sempre curiosi di sapere il legame tra piedi puzzosi (cit.) e EFF che ci risulta frutto di non chiare elucubrazioni di fantasia forse legate a episodi onirici orrifici (aka incubi) magari provocati dalla difficile digestione (salamella pesante?) (rotfl)(rotfl)
        • giaguareggi ando ma con merdeces scrive:
          Re: Si, come no!
          - Scritto da: maxsix
          - Scritto da: Umbrella

          Davvero?

          Pare però che ci sia una lista assai lunga di

          casi in cui gli è toccato di ingoiare il
          rospo...

          la lista comincià

          qui.

          https://www.eff.org/victories

          Buona lettura..

          :D

          Gli è toccato a chi?Non saprei... a gigi?(newbie)
          Soggetto.implicito il DoJ"in Italiano si eredita il soggetto (implicito) dal periodo precedente o in risposta a una frase precedente onde evitare errori di ripetizione"(Cit. "Grammatica italiana. con esercizi di autoverifica" Zanichelli editore)
          Verbo.Ingoiare (transitivo) "uso figurato es. 'ingoiare il rospo dover sopportare cose moleste'" (vedi dizionario treccani).
          Complemento."Il rospo" complemento oggetto.magari il libro citato compralo che non ti fa nessun danno leggerlo anzi!. :DPiuttosto vorremmo sapere quale sia (secondo te) il legame tra "piedi puzzosi" (cit.) e EFF che parrebbe esistere solo in concomitanza con fasi oniriche incontrollate frutto di non buona digestione....Troppe salamelle? ;)
        • trullico scrive:
          Re: Si, come no!
          Te capis 'na got, giargianes!
          • marcione scrive:
            Re: Si, come no!
            - Scritto da: trullico
            Te capis 'na got, giargianes!+1 per il 'giargianes' :)
        • sura maria scrive:
          Re: Si, come no!
          a sorata
        • Il fuddaro scrive:
          Re: Si, come no!
          - Scritto da: maxsix
          - Scritto da: Umbrella

          Davvero?

          Pare però che ci sia una lista assai lunga di

          casi in cui gli è toccato di ingoiare il
          rospo...

          la lista comincià

          qui.

          https://www.eff.org/victories

          Buona lettura..

          :D

          Gli è toccato a chi?
          Soggetto.
          Verbo.
          Complemento.

          Anche a te.Pure a te! COGLIONE!!!
        • sura Maria scrive:
          Re: Si, come no!
          - Scritto da: maxsix
          - Scritto da: Umbrella

          Davvero?

          Pare però che ci sia una lista assai lunga di

          casi in cui gli è toccato di ingoiare il
          rospo...

          la lista comincià

          qui.

          https://www.eff.org/victories

          Buona lettura..

          :D

          Gli è toccato a chi?a soreta.
          Soggetto.
          Verbo.
          Complemento.

          Anche a te.
Chiudi i commenti