Grazie Sandro, in verità non mi sembra, dal carteggio che mi hai fornito, di rilevare uno spirito marcatamente elusivo che mi sembrava invece ci fosse stato. Le mie impressioni, che ti esprimo a ruota libera, sono le seguenti:
1) hanno ragione a sostenere che le misure minime si applichino solo agli incaricati, almeno finché non ci sia un'innovazione legislativa (l'ho detto su ml anch'io, modestamente :-) ); 2) un po' di timidezza a intervenire con prescrizioni migliorative, anche se c'è stata un'indicazione a estendere la lunghezza delle password. In altri momenti il Garante non è stato titubante, anzi ha imposto misure a mio avviso anche eccessive nel settore telefonico, che conosco meglio, ma comunque tecnicamente ben fondate. In questo caso evidentemente non si sono sentiti di intervenire su un caso singolo in modo "preventivo" rispetto al verificarsi di abusi. La loro tendenza è quella di fare provvedimenti di portata generale, se non necessario agire diversamente sulla spinta di urgenze e casi mediatici... 3) Il Garante sta evidentemente attento a non sovrapporsi ad altri organismi di vigilanza. Nel settore bancario è la Banca d'Italia ad avere il vero potere di vigilanza anche sugli aspetti di sicurezza. D'altra parte ha 9.000 addetti contro i 90 circa del Garante. Potresti provare a interpellarli. 4) La banca è stata davvero poco intelligente nel rapporto con un cliente come te. Avrebbero dovuto quantomeno dimostrare comprensione e agevolarti, riconoscendo che ci sono ampi margini di miglioramento nei propri sistemi. 5) Riconoscere i problemi da te sollevati potrebbe avere un effetto a catena anche sui sistemi ATM/Bancomat, dove i pin da 5 cifre sono norma internazionale. 6) Le violazioni sui dati personali e bancari ben difficilmente derivano da intrusioni basate sulla debolezza delle credenziali. A parte il phishing, temo molto di pù i trattamenti scorretti da parte degli insider che le ipotesi di accesso abusivo via web. 7) Ho fatto un po' di colore sulle probabilità, ma in effetti il conto mio è esatto, se calcoli le probabilità di indovinare la password al primo, al 2^ (prob. condizionale rispetto al failure del primo tentativo) o 3^ tentativo (condizionale rispetto al failure del secondo), e le sommi per ottenere la probabilità cumulativa, dopo una serie di semplificazioni ottieni proprio 3/N. Anche nel testo del Garante che mi hai mandato c'è il valore corretto per otto cifre, calcolato penso allo stesso modo... Ma non mi pare rilevi nella decisione/non decisione. 8) La comunità della security italiana dovrebbe a mio avviso impegnarsi a fianco di un'istituzione come il Garante, senza cui la sicurezza e la privacy sarebbero all'anno zero in Italia. Il problema è che lì dentro sono pochi, in assoluto, e pochissimi i tecnici. Ho conosciuto negli anni scorsi alcuni dirigenti del settore giuridico e informatico del Garante che incontravo a convegni, e mi sono sembrati tutti molto preparati e motivati, ma travolti dalla gran mole di pratiche. Occorrerebbero forme di confronto, magari tramite organizzazioni rappresentative, con il Garante su questi temi. In bocca al lupo comunque per la tua vicenda, e buona serata Corrado Conti (CO2) P.S.: leggo adesso il tuo posting, la formula di calcolo che riporti non è però corretta, non puoi sommare in quel modo le probabilità, il calcolo giusto per la probabilità di successo entro 3 tentativi su N combinazioni è: P(3, N) = 1/N + (1 - 1/N)*1/(N - 1) + (1 - (1 - 1/N)*1/(N - 1))*1/(N - 2) = 3/N :-) che per N = 90.000.000 produce quel 3,3*10^-8 riportato nella lettera che ti ha scritto il Garante. Se fai i conti con i coefficienti binomiali come dice Zanero ottieni esattamente lo stesso risultato (devi tener conto del fatto che per azzeccare al secondo tentativo devi prima avere sbagliato il primo, e così via...) Per quanto riguarda l'art. 32 del codice privacy, non penso possa applicarsi a soggetti diversi dai fornitori di servizi di comunicaione elettronica accessibili al pubblico, come una banca. Ne so qualcosa perché, come dicevo, ho lavorato a lungo con aziende telefoniche che invece sono soggette proprio a quella previsione di legge. ----Messaggio originale---- Da: [EMAIL PROTECTED] Data: 18/03/2008 14.20 A: "ml-Sikurezza"<[email protected]> Ogg: Re: [ml] lezioni di sicurezza dal Garante della Privacy Ahime! altro post lungo :-)) mi tocchera' invitare a pranzo che si lamentera' (solo i primi 5 lamentatori pero') Cerco di rispondere a Stefano Zanero (che speravo di incontrare al convegno IEEE a Milano- sara' per la prox), a Corrado Conti ed agli altri. Prima di tutto mi scuso per l'errore fatto anche da me: si vede che a forza di frequentare il Garante ... :-) - ovviamente 3 tentativi su 99.999 possibili combinazioni possono solo dare un valore come 3 10^-5 ed alcuni decimali: (1/99999 + 1/99998 + 1/99997) (detto questo ricordo che l'obiettivo di questa discussione non e' lo sporco sulla punta del dito, ma la luna che questo dito sta indicando) Per gli approfondimenti del caso, che Corrado mi richiede, visto che sono parecchi, invio direttamente a lui (ed a chi me lo chiedera' in modo esplicito) un file zip con tutta la documentazione tra me, il Garante e la Banca, in modo che nelle notti di luna piena possiate ululare con comodo. Vediamo ore di rispondere inizialmente per la parte non tecnica: Stefano dice: > Perche' (e sara' la centesima volta che lo predico) le misure minime > SI APPLICANO NEI CONFRONTI DEGLI INCARICATI. e' vero che le "misure minime" si applicano nei confronti degli incaricati ma e' anche vero che prima dell'art. 33 delle misure minime, ci sono anche: Art. 31: Obblighi di sicurezza 1. I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, [...] i rischi di distruzione o perdita, anche accidentale, dei dati stessi,di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. Art. 32. Particolari titolari 1. Il fornitore di un servizio di comunicazione elettronica accessibile al pubblico adotta ai sensidell'articolo 31 idonee misure tecniche e organizzative adeguate al rischio esistente, per salvaguardare la sicurezza dei suoi servizi, l'integrità dei dati relativi al traffico, dei dati relativi all'ubicazione e delle comunicazioni elettroniche rispetto ad ogni forma di utilizzazione o cognizione non consentita. E comunque vorrei chiedervi: che senso ha creare una Autority, scrivere leggi e regolamenti per un argomento cosi' importante come la privacy e poi cercare di nascondersi dietro il fatto che "la legge mi dice questo e io l'ho fatto, di altro non mi debbo interessare" ? Se la legge sulla privacy (permettetemi di chiamarla brevemente cosi') non e' sufficiente per indirizzare chi tratta dati personali e sensibili (come fa la banca, quando mantiene traccia di chi e cosa pago) a gestire in piena sicurezza un accesso cosi' critico come quello on-line, mi aspetto che chi opera nel Garante si faccia carico di segnalare il fatto, di cercare nuovi percorsi legali/operativi, di sensibilizzare coloro che devono operare ... insomma di fare qualche cosa oltre ad osservare in modo rigido (vorrei dire in modo stolido, ma non vorrei offendere nessuno) i regolamenti. Certo, seguire le regole e le leggi, per chi opera all'interno di una organizzazione come l'Autorita' Garante e' fondamentale, ma non deve essere tutto! Il "Garante della protezione dei dati personali" per prima cosa dovrebbe avere a cuore la protezione dei dati personali o no ? E' chiaro che un sistema di accesso tramite Internet non e' quello usato dagli incaricati del trattamento, ma e' di questo accesso che un cittadino (me) si sta preoccupando. Perdonami Stefano ma quando dici: > Il correntista che accede al SUO conto non e' un incaricato, quindi > quelle misure minime non si applicano, e giustamente il garante se ne > lava le manine :) non ci trovo molto da sorridere. Vorrei, anzi, che persone con la tua credibilita' sul campo, dicano la loro su questo tipo di atteggiamento che --spero tu sia d'accordo con me-- e' assolutamente deleterio e da condannare. Cosi' come e' deleterio e da condannare il fatto che il dirigente responsabile di questa pratica, alle mie perplessita' tecniche, mi dica "io non sono un tecnico e mi devo attenere alla legge". Se non e' un tecnico, come puo' prendere corrette decisioni che riguardano la tecnologia ? In tutto cio', mi sembra comunque che l'Art. 31 chieda di ridurre al minimo i rischi di accesso non autorizzato. E la legge non lo chiede solo nei confronti degli incaricati, quando nell'Art.32 dice che "il fornitore di un servizio di comunicazione elettronica accessibile al pubblico adotta ai sensi dell'articolo 31 idonee misure tecniche e organizzative adeguate al rischio esistente" Allora vediamo la parte tecnica: - password da 5 caratteri numerici e blocco al terzo tentativo Ora, che una password di accesso ad un sistema on-line o meno debba essere di lunghezza minima 8 caratteri e che questi caratteri debbano essere (almeno)alfanumerici , e' una delle "conoscenze acquisite in base al progresso tecnico" (vedi Art. 31) da almeno 20 anni (senza esagerare) Ne dobbiamo ancora discutere ? Che un sistema si blocchi al tentativo "n" --con n tipicamente da 3 a 5-- e' comunque la prassi seguita normalmente. Certo, se l'ambito di accesso fosse esclusivamente "tre tentativi + blocco", l'accesso al mio conto lo reputerei sicuro anche io. Ma non credo sia questo il metodo usato da chi tenta di accedere ai sistemi. Forse mi sto sbagliando, ma perche' nella progettazione di un sistema, da anni si usano card/token OTP, credenziali X.509, passphrase (e non password) da decine di caratteri alfanumerici/speciali e negli ultimi anni si stanno diffondendo le smart card crittografiche (Carta nazionale dei servizi, carta identita' elettronica -un velo pietoso sulla banda ottica-) per accesso SICURO tramite Internet ... mica lo facciamo per sport, no? Inoltre mi permetto di dubitare che ci siano ancora sistemi che permettano di avere, in modo nativo, un meccanismo di accesso via password di soli 5 caratteri numerici; questo sta a significare che la banca deve aver progettato un sistema ad-hoc (o violentato uno esistente) ... ... e questo significa semplicemente che il sistema e' ancora piu' a rischio: - l'archivio/DB delle password sara' protetto in modo adeguato? - le password saranno crittografate (stile crypt)? - useranno seed ? - da quanti bit ? - policy sul riuso delle password ? - policy sulla loro (frequente a questo punto) sostituzione ? (Le verifiche interne sulla robustezza delle password scelte dagli utenti e' ovviamente inutile: una password da 5 digit si trova in frazioni di secondo; se ci aggiungiamo i 12 bit di seed arriviamo a meno di 5 minuti) In tutto cio', perche' sto facendo tanta cagnara? Inizialmente avevo (ingenuamente) pensato che il Garante avrebbe ovviamente detto alla banca di cambiare modus operandi e che quindi avrei potuto "riappropriarmi" del mio conto on-line: i cattivi battuti e la giustizia (e la logica) trionfante. Poi, quando dopo 10 mesi di intenso lavoro, il Garante se ne esce con parere in cui dice testualmente: A tale proposito (quello dell'Art.31, nrd) deve rilevarsi che dagli elementi in atti non emergono violazioni di tali misure. Tuttavia, [...] la probabilita' di accesso abusivo ad un conto on-line di cui si conosca il codice identificativo (!!), [...] e' stimabile in un valore numerico pari a circa 0,00075 [...] Tenendo conto di quanto dichiarato dai rappresentanti della banca (1) [...] questo Ufficio ravvisa l'opportunita' di incrementare il livello di sicurezza e rivolge un invito a estendere la lunghezza della parola chiave a otto cifre [...] inizio a pensare che, senza offendere nessuno, avallando questo genere di operativita' il Garante possa rappresentare una vulnerabilita' inconsapevole, per le infrastrutture di accesso ai dati dei cittadini: attuali e future. In quest'ottica, sempre se risultasse corretto il mio pensiero ed atteggiamento, vorrei solecitare i rappresentanti delle organizzazioni che oggi vengono identificate con il settore "ICT Security": CLUSIT, ISACA, AIPSI -- delle quali faccio anche parte-- alla preparazione di un documento che richieda al Garante e gli altri eventuali Uffici Pubblici, di farsi supportare da queste stesse organizzazioni specialistiche, ogni qual volta vengano alla luce necessita' di valutazioni tecniche specifiche del settore. Questo per evitare il "fai da te": ad ognuno il suo mestiere. Grazie per la pazienza, S. (1) la banca dichiara che: l'utilizzo del codice numerico in origine e' dovuto a motivi di natura tecnica "oggi sostanzialmente superati, che non impedirebbero l'utilizzazione di credenziali alfanumeriche con PIN di lunghezza non inferiore a otto caratteri" Sono frasi riportate tra virgolette nel parere del Garante a partire da un verbale che il Garante non mi ha inviato, ma che il Garante stesso mi assicura che posso richiedere in base ad una legge ... :-))) Kafkaaaaaaaa!!!!! -- Sandro Fontana CISSP, ISO27001 L.A., CISM, CISA mobile: +39 335 8125031 skype://sinetqnlap ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List ______________________________________________ Adotta un bambino a distanza. Avrà vestiti, cibo, scuola?e avrà te! http://social.tiscali.it/promo/C02/sos/
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
