mercoledì 9 febbraio 2011

Anche la CIE svizzera nel mirino

Ieri, Stefano Zanero (che non ha bisogno di particolari presentazioni) ha pubblicato una notizia sulla lista sikurezza.org relativamente alla violazione della sicurezza della SuisseID, la carta di identità svizzera che consente, tra l'altro, di apporre firme digitali a valore legale.

La problematica è nota ed è stata messa in evidenza anche per altre smart-card. A ottobre, ad esempio, la CIE tedesca era stata hackerata in un modo simile dal Chaos Computer Club, addirittura in diretta televisiva.

Come dicevo, il problema è annoso e non riguarda tanto la tecnologia in sé della carta quanto piuttosto l'utilizzo che ne viene proposto. Mi spiego meglio... le carte di firma (compresa quella italiana) sfruttano meccanismi di sicurezza molto robusti e certificati, però si appoggiano, per l'inserimento del PIN, sul computer dell'utente finale che rappresenta quindi l'anello vulnerabile della catena.

Ciò che è stato fatto in questo caso è stato compromettere la sicurezza del PC sul quale veniva inserito il lettore della carta e quindi, dopo una serie di passaggi, è stato possibile catturarne il PIN. Successivamente, tramite altro software inserito fraudolentemente nel PC dell'utente, è stato possibile firmare con valore legale dei documenti, in nome e per conto  dell'utente, utilizzando la carta inserita nel lettore sul PC dell'utente. Senza quindi che l'utente abbia perso "fisicamente" il controllo sulla sua carta.

Nel filmato è possibile vedere tutti i passaggi effettuati...


USB Smartcard (SuisseID) Takeover from Max Moser on Vimeo.

Pur non volendo fare del terrorismo, è indubbio che questa situazione, che ripeto, non è isolata e limitata alla SuisseID, meriti attenzione e che, forse, dovrebbe essere affrontata seriamente.

Basta infatti chiedere agli attuali titolari di smart-card di firma digitale se sono a conoscenza di questa problematica o se hanno idea di quali "attenzioni" dovrebbero essere usate per evitare che questo tipo di "incidenti" succedano.

Per quanto riguarda la PA io la risposta ce l'ho ed è negativa, non so dire in ambito privato, ma secondo me non è molto diversa.

Voi che ne pensate?

Nessun commento:

Posta un commento

http://www.wikio.it