Sicurezza

Come proteggere la nostra identità digitale Spid da attacchi “man in the middle”

Lo Spid è prima di tutto un processo digitale e in quanto tale ha bisogno di organizzare e pianificare le metodologie di sicurezza atte a garantire che non ci siano problematiche o falle nel sistema. Ecco qualche soluzione pratica

25 Mag 2016
Nicola Savino

esperto digitalizzazione a norma dei processi aziendali

identità-160419144741

Alcuni giorni fa nella distribution list del progetto Procedamus è stato segnalato un articolo sul sito punto informatico che referenziando una ricerca dell’Università di Amsterdam (documento in lingua inglese) illustra una potenziale criticità del sistema SPID proveniente dal mondo dei malware pensati per l’home banking.

Scopo del presente articolo non è di sottoporre a critica positiva o negativa lo SPID, ma dare un pò di informazioni complementari che siano di dettaglio sufficiente e non eccessivo sulla criticità in questione e che possano guidare, sotto questo punto di vista, anche un cittadino nella valutazione dei servizi offerti.

Anzitutto richiamiamo anche qui i 3 livelli di sicurezza che attualmente sono proposti dallo SPID (sono implementati in realtà solo i primi 2):

IDENTITÀ SPID DI LIVELLO 1: Permette l’accesso ai servizi con nome utente e password

IDENTITÀ SPID DI LIVELLO 2: permette l’accesso ai servizi con nome utente e password insieme ad un codice temporaneo che ti viene inviato via sms o con app mobile dedicata (cosiddetta autenticazione a due fattori)

IDENTITÀ SPID DI LIVELLO 3: Permette l’accesso ai servizi con nome utente e password e l’utilizzo di un dispositivo di accesso

La criticità segnalata è della tipologia degli attacchi cosiddetti “man in the middle/man in the browser”.

Andiamo un attimo per gradi e vediamo il ruolo che ha il nostro browser nelle transazioni.

La figura seguente illustra il caso più semplice di una qualunque transazione web che possiamo fare dal nostro PC, da smartphone o da qualunque dispositivo connesso ad Internet usando un qualunque browser (Internet Explorer, Google Chrome, Firefox…ecc..)

Il browser assume un ruolo fondamentale: raccoglie i dati di una transazione e li comunica al server web che eroga il nostro servizio. I dati della nostra transazione potrebbero essere tra i più svariati: dalla prenotazione di un volo, o di un biglietto del cinema o anche la semplice richiesta di una pagina web e contenere dati più o meno importanti e personali. Potremmo includere l’identità spid di livello 1 in questa tipologia di transazioni…le più semplici.

In moltissimi contesti, allo scopo di fornire un livello di sicurezza maggiore all’utente, viene impiegata la cosiddetta autenticazione a due fattori, ossia la conferma della transazione avviene tramite un codice di conferma che viene inviato all’utente tramite canali svariati: dalla mail, o altre specifiche app sullo smartphone all’invio di sms o telefonate da dispositivi automatici. Nei casi in cui la comunicazione avvenga usando canali differenti da quello utilizzato per la transazione (es. nel caso di sms si utilizza la rete telefonica) si parla di notifiche “Out Of Band” cioè fuori banda, appunto, usando un altro canale di comunicazione nel caso in cui quello web potesse essere in qualche modo “non affidabile”, perché magari qualcuno si è impossessato della nostra password e sta facendo una transazione a nostro nome.

In ogni caso, l’utente invierebbe tramite il browser il codice di controllo ricevuto per confermare la transazione.

La figura seguente illustra tale modalità:

Questa seconda modalità è quella adoperata per molte tipologie di transazioni bancari e per l’identità spid di livello 2.

Vediamo quindi i malware basati su attacchi del tipo man in the middle come agiscono. In qualche modo (tramite link ricevuti in email o perché si è visitata una particolare pagina web…ecc.) viene installato un software malevolo sul nostro dispositivo (PC, smartphone, tablet o altro) che riesce ad intercettare ed eventualmente modificare tutte le comunicazioni che il nostro browser fa verso il mondo esterno. Ha poca importanza che la connessione sia sicura o cifrata…l’intercettazione (e l’eventuale modifica) delle informazioni avviene prima che le stesse siano cifrate ed “escano” dal nostro dispositivo.

Chiedendo scusa ai più tecnici per il linguaggio non proprio perfetto e perché magari ad occhi puristi l’attacco man in the middle deve avere solo particolari caratteristiche, segnaliamo che una buona serie di video tutorial per chi vuole saperne di più anche in termini di dettagli tecnici è reperibile al canale Sourcefire (in lingua inglese).

Vediamo quindi i vari casi in cui un attacco man in the browser potrebbe creare problemi e le conseguenze.

Nel primo caso illustrato di seguito abbiamo una transazione via web semplice, senza invio di codici confermativi da inserire.

Il malware si limita ad intercettare i dati della transazione e ad inviarli ad un terzo soggetto. La motivazione potrebbe essere “semplicemente” scoprire qualcosa sulle nostra navigazioni allo scopo di invio di materiale pubblicitario o, molto peggio, impadronirsi delle nostre password.

Un altro caso è quello in cui il malware modifica le informazioni della nostra transazione prima di inviarle all’esterno allo scopo, ad esempio, di cambiare i dati di un bonifico bancario o di un pagamento per permettere ad un terzo di trarne profitto come illustrato nella figura seguente:

Tutti i casi di attacco visti finora sono sempre senza l’invio di un codice di conferma, e quindi assimilabili all’uso di identità spid di livello 1.

In realtà una volta che un malware riesce ad intercettare e modificare le nostre transazioni ben poco può fare il codice di conferma in quanto l’utente vedrebbe nella finestra del proprio browser i dati che lui ha immesso per la transazione, mentre il malware potrebbe inviare questi dati a terzi o modificarli immediatamente prima che essi viaggino su Internet come illustrato dalla figura seguente per il caso in cui ci sia modifica dei dati.

Le misure di protezione per ridurre i rischi di attacchi di questa tipologia sono svariate e nessuna di esse può totalmente prescindere da una corretta condotta dell’utente vittima potenziale.

Ovviamente vale sempre il solito avviso, purtroppo ancora spesso sottovalutato dall’utenza, di aggiornare i database degli antivirus e applicare tutti gli aggiornamenti di protezione per il proprio dispositivo fisso o mobile e in particolare per i browser.

Dal punto di vista del fornitore della soluzione di autenticazione le misure possono variare dal fornire dei browser dedicati per le transazioni che siano quindi rafforzati (hardened) contro certe tipologie di attacchi al prevedere, nel caso di autenticazione a due fattori come per lo SPID di livello 2, che la comunicazione del codice di conferma avvenga ad esempio per via telefonica indicando anche gli estremi della transazione che si sta per confermare in modo da far scoprire alla vittima eventuali modifiche. Quest’ultima misura sarebbe sicuramente risolutiva e preferibile ad un sms o ad un app ricevente il codice di conferma e riepilogativi della transazione considerando che, anche se più improbabile, lo smartphone potrebbe essere a sua volta oggetto di attacco. Ci sarebbe, ovviamente, da discutere dal punto di vista dell’accessibilità di una soluzione del genere rispetto alla cd Legge Stanca del 2004 sull’accessibilità degli strumenti informatici in particolare se si parla di PA.

Ancora altra soluzione potrebbe essere l’invio di un documento firmato digitalmente contenente il codice di conferma ed il riepilogo della transazione. Questa soluzione è anche quella più sicura, in quanto garantisce l’integrità e l’autenticità dei dati e delle informazioni contenute e rispetterebbe anche i dettami del rapporto tra cittadino e Pubblica Amministrazione, come sancito dal Codice dell’Amministrazione Digitale. Inoltre visto l’enorme mole di documenti che dovranno essere sottoscritti, potrebbe essere interessante avere a disposizione un servizio/server HSM per la firma remota massiva , in modo tale da automatizzare il processo di sottoscrizione digitale e permettere una rapida generazione in modo automatico di tali documenti. Sarà necessario avere evidentemente un servizio certificato secondo le ultime disposizioni legislative per quanto concerne gli HSM utilizzati e il server di firma remota massiva. Il documento firmato digitalmente, andrebbe poi sottoposto ad un processo di conservazione digitale a norma e non sostitutiva, essendo un documento nativamente digitale e facilitando dunque i procedimenti.

Infine potrebbe essere una buona soluzione se la transazione avvenisse attraverso l’uso di distribuzioni live di sistemi tipo linux “preconfezionati” per far partire direttamente all’avvio del dispositivo un sistema operativo minimale per la transazione da effettuarsi (e saremmo già ad una soluzione di livello 3 nel caso dello SPID con l’uso di una chiavetta per la distro da avviare). Questa soluzione è oggi di fatto già possibile grazie ai numerosi servizi online di fornitura di OS in cloud. Molti sono anche gratuiti o open source, ma sufficientemente sicuri da garantire la robustezza e l’integrità della transazione. I vantaggi di questa soluzione è che sarebbe impossibile avere una falla di sicurezza, in quanto il browser utilizzato sarebbe quello del OS in cloud e già disponibile nella distribuzione, invece di far fare al client del nostro pc tale richiesta. Con questa soluzione sarebbe inoltre possibile aggiungere la cifratura sicura dei dati e delle informazioni gestite ed inviate durante tutto il percorso della transazione e quindi della richiesta. Anche in questo caso sarà necessario conservare in maniera digitale i log della transazione per garantire integrità ed immodificabilità del dato e il suo valore probatorio nel tempo.

E’ chiaro che, in generale, queste soluzioni non sono le uniche né sono mutuamente esclusive e per quanto concerne lo SPID esse dovranno tanto più essere prese in considerazione quanto più lo SPID stesso diverrà uno strumento diffuso e quindi “appetibile” per attacchi.

Dal punto di vista normativo ci sentiamo di segnalare questo articolo a proposito delle possibili responsabilità della vittima che in qualche modo potrebbero diventare sempre più connesse alle sue competenze informatiche.

In conclusione tanti strumenti che, si prevede e si spera, si diffonderanno sempre di più nel panorama europeo, ma che porteranno sicuramente in primo piano le problematiche della sicurezza, non possono prescindere da una nuova cultura digitale dell’individuo che anche lo stesso codice dell’amministrazione digitale (d.lgs. 82/2005 e s.m.i.) ritiene fondamentale. Ci aspettiamo, pertanto, che le iniziative formative siano sempre più diffuse per l’utenza in un’era in cui il linguaggio giuridico e quello informatico devono confrontarsi ed uscire da nicchie ristrette di soggetti.

Speciale PNRR

Tutti
Analisi
PA
Salute digitale
News
Fondi
Formazione
Ecologia
Digital Economy
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Incentivi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Incentivi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 3