Ciao, intervengo senza spirito pedante, ma per esperienza personale, occupandomi tra l'altro di telefonia ed essendo mio malgrado esposto a svariati problemi di compliance che affliggono/interessano alcuni miei clienti.
Ho avuto modo di contattare il garante per chiarimenti su diversi provvedimenti che impattano sul settore, e che, nonostante gli indubbi costi e difficoltà che riversano sugli operatori, mi sembra vadano nella direzione giusta, ovvero verso l'applicazione a un settore industriale così delicato di misure tecniche che nessuno finora aveva avuto il coraggio istituzionale di imporre (crittografia, strong authemntication, audit log, expiring dei dati, divieto di trattamenti occulti e di registrazione dei dati di navifazione...). In questo mi sembra che l'azione del garante sia in linea con le aspirazioni della comunità della sicurezza informatica italiana, casomai andrebbero rafforzati i suoi poteri, anche di applicare sanzioni a chi non adempie. Veniamo al caso in questione: ho interpellato l'urp del garante (che risponde, a volte dopo un po' di attesa, ma risponde) a proposito di un caso segnalatomi da un cliente, che riguardava l'accesso online a dati telefonici degli abbonati. I funzionari con cui ho parlato (l'urp mi ha pure messo in contatto con l'ufficio informatico interno) mi hanno gentilmente spiegato che le misure minime di sicurezza, la cui violazione è un reato, si applicano agli incaricati del trattamento, perché così dice il codice all'allegato B. Gli abbonati telefonici che accedono al proprio conto non possono invece essere considerati "incaricati". Alle mie obiezioni sul fatto che se una misura di sicurezza è ritenuta minima (si trattava proprio della lunghezza minima delle password per l'accesso web) le misure idonee dovrebbero essere maggori, ho riscontrato comprensione e sostanziale condivisione da parte dei miei interlocutori, che però si sono fatti schermo con la legge che prevede certe cose e con l'impossibilità da parte del garante di intervenire interpretando una norma la cui violazione è penalmente sanzionata. Altro discorso è l'idoneità delle misure di sicurezza, ma qui si esce dall'ambito penale. Quindi il collega Sandro potrebbe, per chiarire meglio, dirci succintamente quali siano i contorni della sua storia kafkiana? Per quanto riguarda i numeri, posto che evidentemente gli ordini di grandezza sono quelli che contano ai fini della complessità computazionale e della sicurezza che ne può derivare, mi sa che un ripasso di calcolo probabilità non guasti a nessuno, perché la probabilità di azzeccare una password entro 3 tentativi non può che essere 3/N dove N è il numero delle combinazioni possibili. Nei casi frequenti in cui i pin o le password numeriche non inizino per zero, su cinque cifre si ha che P = 3,3 x 10^-5 mentre per otto cifre decimali si ottiene P = 3,3 X 10^-8. Questo in generale, non sapendo dettagli sulle combinazioni ammissibili che, facendo variare il numero N, modificano il conto... Ciao a tutti Corrado Conti Sandro Fontana ha scritto: > Salve a tutti. > > La storia e' personale e forse un poco lunga e me ne scuso in anticipo ma la situazione, kafkiana, mi sembra degna > di nota, quindi ho deciso di raccontarla in tono leggero. > > > Chi fosse interessato ai dettagli ed ai documenti ufficiali scambiati tra le parti, può farmene richiesta via e-mail. > > Come sempre sono bene accette note e suggerimenti. > > Saluti, S. > > >================================================================ > > Il Garante per la protezione dei dati personali apre gli occhi alla > comunità degli esperti di ICT Security, con un parere che spazza via un mucchio di vecchie > prassi: l'Autorità ha calcolato (nel vero senso della parola) che una password composta da > cinque caratteri numerici è sufficiente a proteggere un accesso online ad un conto bancario e > che questa modalità non viola il Codice in materia di protezione dei dati personali. > > Prima di esultare di gioia all'idea di abbandonare i nostri riti estrumenti pagani e buttare > via password da minimo 8 caratteri alfanumerici, token OTP, strong authentication basata > sulla crittografia asimmetrica e circa 15 anni di esperienza nel settore dell'ICT Security > sarà il caso di definire i contorni della vicenda. > > La banca che ha messo in piedi questo sistema di accesso per i conti on line (userid > predefinita da 8 caratteri decimali e password da 5 caratteri decimali a scelta dell'utente) > ha spiegato all'Autorità che usando una password di cinque caratteri numerici con un > sistema di accesso che si blocca al terzo tentativo sbagliato, ne risulta che (letterale): > > "[...] la probabilità di accesso abusivo ad un conto on-line di cui si conosca il codice > identificativo (la userid, ndr), procedendo per tentativi ed avendo successo al terzo > tentativo è stimabile in un valore numerico pari a circa 0,000075 (7,5 x 10^-5)." > > Messi di fronte ad un calcolo così evidente (il cui risultato tra l'altro è sbagliato; il valore > corretto procedendo per tentativi ed avendo successo al terzo tentativo sarebbe 5,00015 x 10^-5, ndr), > gli esperti del Garante hanno giustamente reputato che una probabilità così bassa, dà la > certezza che un tentativo di accesso non autorizzato non sarebbe in pratica mai coronato da > successo e quindi questa modalità non viola il Codice in materia di protezione dei dati personali. > > Ve lo immaginate voi il cattivo/a della situazione, davanti al suo PC, con un browser > aperto sulla pagina di login della banca, che prova ad indovinare la password di accesso > al mio conto on-line con un massimo di tre tentativi ? No ? > Effettivamente neppure io; chissà perchè ho sempre immaginato il lavoro di password cracking qualcosa di > completamente differente da un lui/lei che prova a digitare password a mano davanti ad > un terminale. > Ma probabilmente per gli esperti di sicurezza del Garante le cose stanno così. > È probabile infatti che parlando con loro di John the Ripper, tanto per fare un nome, > ci si senta rispondere con una forbita critica sull'ultimo romanzo di Patricia Cornwell: interessante, ma fuori tema. > > Mah! cosa dire della vicenda ? Come minimo è un pò sconfortante. Dando per certa la > buona fede dell'Autorità e naturalmente dando per certa la malafede della banca, > interessata ad allargare la sua base clienti con azioni marketing – in questo caso ad > agevolare l'uso dell'accesso online da cellulare- a scapito della sicurezza reale e che > per giunta ha buttato fumo in faccia al Garante, viene da chiedersi perchè una Istituzione > che ha sicuramente una significativa expertise a livello legale e che si occupa di temi > così importanti come quello della privacy, non si faccia suportare da veri esperti di > settore, quando deve occuparsi di domini dei quali, obiettivamente, non ha la minima conoscenza. > > ================================================================= > > > > > Sandro Fontana, > CISSP, ISO27001 L.A., CISM, CISA > pho: +39.06.54223164 fax: +39.06.5430607 > mobile: +39 335 8125031 skype://sinetqnlap > > > > ______________________________________________ Tiscali.Fax: ricevi gratis sulla tua email e invii a 12 cent per pagina senza scatto alla risposta http://vas.tiscali.it/fax//
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
