Ahime! altro post lungo :-))
mi tocchera' invitare a pranzo che si lamentera'
(solo i primi 5 lamentatori pero')
Cerco di rispondere a Stefano Zanero (che speravo di incontrare al
convegno IEEE a Milano- sara' per la prox), a Corrado Conti ed agli
altri.
Prima di tutto mi scuso per l'errore fatto anche da me:
si vede che a forza di frequentare il Garante ... :-)
- ovviamente 3 tentativi su 99.999 possibili combinazioni possono
solo dare un valore come 3 10^-5 ed alcuni decimali:
(1/99999 + 1/99998 + 1/99997)
(detto questo ricordo che l'obiettivo di questa discussione non e'
lo sporco sulla punta del dito, ma la luna che questo dito sta
indicando)
Per gli approfondimenti del caso, che Corrado mi richiede, visto che
sono parecchi, invio direttamente a lui (ed a chi me lo chiedera' in
modo esplicito) un file zip con tutta la documentazione tra me, il
Garante e la Banca, in modo che nelle notti di luna piena possiate
ululare con comodo.
Vediamo ore di rispondere inizialmente per la parte non tecnica:
Stefano dice:
> Perche' (e sara' la centesima volta che lo predico) le misure minime
> SI APPLICANO NEI CONFRONTI DEGLI INCARICATI.
e' vero che le "misure minime" si applicano nei confronti degli incaricati
ma e' anche vero che prima dell'art. 33 delle misure minime, ci sono anche:
Art. 31: Obblighi di sicurezza
1. I dati personali oggetto di trattamento sono custoditi e controllati,
anche in relazione alle conoscenze acquisite in base al progresso tecnico,
alla natura dei dati e alle specifiche caratteristiche del trattamento,
in modo da ridurre al minimo, [...] i rischi di distruzione o perdita, anche
accidentale, dei dati stessi,di accesso non autorizzato o di trattamento
non consentito o non conforme alle finalità della raccolta.
Art. 32. Particolari titolari
1. Il fornitore di un servizio di comunicazione elettronica accessibile al
pubblico adotta ai sensidell'articolo 31 idonee misure tecniche e organizzative
adeguate al rischio esistente, per salvaguardare la sicurezza dei suoi servizi,
l'integrità dei dati relativi al traffico, dei dati relativi all'ubicazione e
delle comunicazioni elettroniche rispetto ad ogni forma di utilizzazione o
cognizione non consentita.
E comunque vorrei chiedervi: che senso ha creare una Autority, scrivere
leggi e regolamenti per un argomento cosi' importante come la privacy
e poi cercare di nascondersi dietro il fatto che "la legge mi dice
questo e io l'ho fatto, di altro non mi debbo interessare" ?
Se la legge sulla privacy (permettetemi di chiamarla brevemente cosi')
non e' sufficiente per indirizzare chi tratta dati personali e sensibili
(come fa la banca, quando mantiene traccia di chi e cosa pago) a gestire
in piena sicurezza un accesso cosi' critico come quello on-line, mi
aspetto che chi opera nel Garante si faccia carico di segnalare
il fatto, di cercare nuovi percorsi legali/operativi, di sensibilizzare
coloro che devono operare ... insomma di fare qualche cosa oltre ad
osservare in modo rigido (vorrei dire in modo stolido, ma non vorrei
offendere nessuno) i regolamenti.
Certo, seguire le regole e le leggi, per chi opera all'interno di una
organizzazione come l'Autorita' Garante e' fondamentale, ma non deve
essere tutto!
Il "Garante della protezione dei dati personali" per prima cosa
dovrebbe avere a cuore la protezione dei dati personali o no ?
E' chiaro che un sistema di accesso tramite Internet non e' quello
usato dagli incaricati del trattamento, ma e' di questo accesso che
un cittadino (me) si sta preoccupando.
Perdonami Stefano ma quando dici:
> Il correntista che accede al SUO conto non e' un incaricato, quindi
> quelle misure minime non si applicano, e giustamente il garante se ne
> lava le manine :)
non ci trovo molto da sorridere.
Vorrei, anzi, che persone con la tua credibilita' sul campo,
dicano la loro su questo tipo di atteggiamento che --spero tu sia
d'accordo con me-- e' assolutamente deleterio e da condannare.
Cosi' come e' deleterio e da condannare il fatto che il dirigente
responsabile di questa pratica, alle mie perplessita' tecniche, mi
dica "io non sono un tecnico e mi devo attenere alla legge".
Se non e' un tecnico, come puo' prendere corrette decisioni che
riguardano la tecnologia ?
In tutto cio', mi sembra comunque che l'Art. 31 chieda di ridurre al
minimo i rischi di accesso non autorizzato.
E la legge non lo chiede solo nei confronti degli incaricati, quando
nell'Art.32 dice che "il fornitore di un servizio di comunicazione
elettronica accessibile al pubblico adotta ai sensi dell'articolo 31
idonee misure tecniche e organizzative adeguate al rischio esistente"
Allora vediamo la parte tecnica:
- password da 5 caratteri numerici e blocco al terzo tentativo
Ora, che una password di accesso ad un sistema on-line o meno debba
essere di lunghezza minima 8 caratteri e che questi caratteri debbano
essere (almeno)alfanumerici , e' una delle "conoscenze acquisite in
base al progresso tecnico" (vedi Art. 31) da almeno 20 anni
(senza esagerare)
Ne dobbiamo ancora discutere ?
Che un sistema si blocchi al tentativo "n" --con n tipicamente da 3 a 5--
e' comunque la prassi seguita normalmente.
Certo, se l'ambito di accesso fosse esclusivamente "tre tentativi + blocco",
l'accesso al mio conto lo reputerei sicuro anche io.
Ma non credo sia questo il metodo usato da chi tenta di accedere ai sistemi.
Forse mi sto sbagliando, ma perche' nella progettazione di un sistema,
da anni si usano card/token OTP, credenziali X.509, passphrase
(e non password) da decine di caratteri alfanumerici/speciali e negli ultimi
anni si stanno diffondendo le smart card crittografiche (Carta nazionale dei
servizi, carta identita' elettronica -un velo pietoso sulla banda ottica-)
per accesso SICURO tramite Internet ... mica lo facciamo per sport, no?
Inoltre mi permetto di dubitare che ci siano ancora sistemi che
permettano di avere, in modo nativo, un meccanismo di accesso via password
di soli 5 caratteri numerici; questo sta a significare che la banca deve
aver progettato un sistema ad-hoc (o violentato uno esistente) ...
... e questo significa semplicemente che il sistema e' ancora piu' a rischio:
- l'archivio/DB delle password sara' protetto in modo adeguato?
- le password saranno crittografate (stile crypt)?
- useranno seed ?
- da quanti bit ?
- policy sul riuso delle password ?
- policy sulla loro (frequente a questo punto) sostituzione ?
(Le verifiche interne sulla robustezza delle password scelte dagli utenti
e' ovviamente inutile: una password da 5 digit si trova in frazioni di
secondo; se ci aggiungiamo i 12 bit di seed arriviamo a meno di 5 minuti)
In tutto cio', perche' sto facendo tanta cagnara?
Inizialmente avevo (ingenuamente) pensato che il Garante avrebbe ovviamente
detto alla banca di cambiare modus operandi e che quindi avrei potuto
"riappropriarmi" del mio conto on-line:
i cattivi battuti e la giustizia (e la logica) trionfante.
Poi, quando dopo 10 mesi di intenso lavoro, il Garante se ne esce con
parere in cui dice testualmente:
A tale proposito (quello dell'Art.31, nrd) deve rilevarsi che dagli elementi
in atti non emergono violazioni di tali misure. Tuttavia, [...] la
probabilita'
di accesso abusivo ad un conto on-line di cui si conosca il codice
identificativo (!!), [...] e' stimabile in un valore numerico pari a circa
0,00075 [...]
Tenendo conto di quanto dichiarato dai rappresentanti della banca (1)[...]
questo Ufficio ravvisa l'opportunita' di incrementare il livello di sicurezza
e rivolge un invito a estendere la lunghezza della parola chiave a otto cifre
[...]
inizio a pensare che, senza offendere nessuno, avallando questo genere di
operativita' il Garante possa rappresentare una vulnerabilita' inconsapevole,
per le infrastrutture di accesso ai dati dei cittadini: attuali e future.
In quest'ottica, sempre se risultasse corretto il mio pensiero ed
atteggiamento,
vorrei solecitare i rappresentanti delle organizzazioni che oggi vengono
identificate con il settore "ICT Security": CLUSIT, ISACA, AIPSI --delle quali
faccio anche parte-- alla preparazione di un documento che richieda al Garante
e gli altri eventuali Uffici Pubblici, di farsi supportare da queste stesse
organizzazioni specialistiche, ogni qual volta vengano alla luce necessita' di
valutazioni tecniche specifiche del settore.
Questo per evitare il "fai da te": ad ognuno il suo mestiere.
Grazie per la pazienza,
S.
(1) la banca dichiara che: l'utilizzo del codice numerico in origine e'
dovuto a motivi di natura tecnica "oggi sostanzialmente superati, che
non impedirebbero l'utilizzazione di credenziali alfanumeriche con PIN
di lunghezza non inferiore a otto caratteri"
Sono frasi riportate tra virgolette nel parere del Garante a partire da
un verbale che il Garante non mi ha inviato, ma che il Garante stesso mi
assicura che posso richiedere in base ad una legge ... :-))) Kafkaaaaaaaa!!!!!
--
Sandro Fontana
CISSP, ISO27001 L.A., CISM, CISA
mobile: +39 335 8125031 skype://sinetqnlap
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
