Titolo

L'Agenzia delle Entrate fa da Babbo Natale per i pirati informatici

3 commenti (espandi tutti)

Queste follie sono tipiche delle amministrazioni pubbliche, che odiano l'idea di dover usare catene di certificazione dove i loro certificati occupano un livello gerarchico inferiore a quello di certification authorities private come p.es. Verisign; e d'altra parte sono troppo incompetenti per conquistarsi posizioni piu' elevate. Ricordiamoci che i certificati X.509 sono parte dell'architettura ISO X.500, che come la corrispondente X.400 per la posta elettronica fu concepita dal CCITT (oggi ITU) in un'era in cui gli operatori di telecomunicazioni erano monopoli nazionali, per lo piu' pubblici (l'eccezione principale era la statunitense AT&T, che era un monopolio privato). All'epoca si pensava che ogni paese avrebbe avuto la propria autorita' pubblica nazionale (con sotto-autorita' regionali etc.), e al vertice ci sarebbe stata una authority internzionale affidata all'ONU (di cui l'ITU e' appunto un'agenzia). Uno scenario da incubo burocratico, tipo il film "Brazil " di Terry Gilliam, da cui per fortuna fummo collettivamente salvati dall'arrivo di Internet: che non solo di fatto eutanasizzo' X.400 rimpiazzandola con i familiari protocolli basati su TCP/IP come SMTP, ma anche aiuto' a promuovere la liberalizzazione del mercato delle telecomunicazioni. Purtroppo, per ragioni che non ho mai capito, alcuni standard della mala genia X.500 riuscirono a trapiantare il loro tossico DNA in protocolli Internet: e il piu' nefasto e' appunto quello dei certificati X.509, usati principalmente per contenere le chiavi pubbliche del protocollo SSL. Solo che i tempi sono cambiati, e la cima della gerarchia e' oggi occupata solidamente da un manipolo di oligopolisti per lo piu' privati, di cui il piu' importante e' Verisign. Non che sia molto meglio (e che aspettarsi? architetture gerarchiche e oligopoli vanno mano nella mano), ma almeno sono piu' efficienti di monopoli pubblici.

E torniamo quindi all'incompetenza del settore pubblico, sulla quale contribuisco un istruttivo "nanetto". Nel 2000, in Hong Kong il governo decise di metter su la propria Certification Authority affidandola al Post Office locale, HKPO (il ragionamento deve essere stato: "'sta roba serve per Internet, che serve alla posta elettronica: quindi e' di competenza dell'ufficio postale, no?"). E tra squilli di fanfare (si era allora in piena bolla dot-com) fu varato il progetto "e-Cert".

Il Post Office acquisto' a caro prezzo hardware, software e servizi di consulenza da HP (chissa' perche' non potevano usare OpenSSL come i comuni mortali), e dopo svariati mesi comincio' a offrire i suoi servizi: che consistevano da un lato nel fornire server certificates per i siti pubblici (tra cui quello del fisco) e dall'altro nel produrre certificati-cliente da installare nel PC e da usare per autenticarsi al server invece della password.

Com'era facilmente prevedibile (specie da government-skeptics come il sottoscritto), entrambe le iniziative si rivelarono un fallimento completo. Per i certificati server, il P.O. non riusci' a fare includere il proprio root certificate nei principali browsers (MSIE, Mozilla Firefox, Netscape Navigator, Opera...) e quindi i siti che ne usavano i certificati si trovarono a dover chiedere ai propri utenti di scaricare e installare tale root certificate da un sito loro o dell'HKPO. Ma, proprio come nel caso citato da Marcello, quel sito era insicuro!! Peggio ancora, i certificati-cliente, oltre costare circa tre euro e mezzo all'anno, erano complicati da ottenere e installare, anche perche' l'HKPO cercava di venderli inseriti in smartcards per cui serviva un lettore esterno, con tutte le immaginabili grane di installazione, incompatibilita' dei drivers con altro software etc. In alternativa, si poteva scaricare un modulo, da riempire a penna e presentare all'ufficio postale assieme alla carta d'identita', ricevendo un floppy disk dopo diversi giorni. Ben poca gente si scomodo'.

Alla fine, dopo aver speso milioni di dollari del contribuente, il governo getto' la spugna, taglio' i sussidi al progetto e-Cert e decise di permettere, per autenticarsi sui propri siti, anche l'uso di PIN spediti ai richiedenti per posta. E consegnare le relative buste si e' rivelato un modo di partecipare alla rivoluzione informatica piu' adatto alle abilita' dell'HKPO.

Che buffoni! Italia a parte non mi sarei mai aspettato un simile livello di sciatteria da un paese evoluto.Ed il massimo biasimo va anche ad HP che ha fornito la consulenza!

La cosa più triste per me è il livello di ignoranza diffusa su questi argomenti: per me le connessioni sicure sono veramente tali solo per chi le capisce, il che è relativamente raro persino tra i miei colleghi informatici.Per non parlare del ministero delle finanze!

Per me le nozioni base esposte sopra andrebbero insegnate a chiunque abbia accesso ad un computer, o almeno a chiunque faccia commercio elettronico o simili. 

Quanto alla questione dell' oligopolio delle autorità di certificazione, non mi entusiasma ma sinceramente non vedo alternative praticabili. Quelle cooperative stile "web of trust" o affini le vedo bene per gruppi ristretti ma non per l' uso generale in rete.Forse è perchè non le conosco granchè (mi ricordo vagamente i discorsi sulle "chain of trust" ai tempi del PGP che credo siano parenti stretti) ma l' idea di migliaia di soggetti cui si possan fregare le autorizzazioni per firmare i certificati non mi entusiasma.

Che buffoni! Italia a parte non mi sarei mai aspettato un simile
livello di sciatteria da un paese evoluto.Ed il massimo biasimo va
anche ad HP che ha fornito la consulenza!

L'essere evoluto si manifesta non tanto nella funzionalita' della macchina statale (in larga misura una mission impossible sotto tutte le latitudini) ma nel lasciarle da gestire una fetta di PIL sotto il 20%, anziche' il 50% e rotti come in Italia...

Per quel che riguarda HP, come biasimarla? L'obiettivo di una ditta privata e' produrre utili per i propri azionisti, non rimediare alle inaguatezze della burocrazia statale.

Quanto alla questione dell' oligopolio delle autorità di
certificazione, non mi entusiasma ma sinceramente non vedo alternative
praticabili.

Per il lato server, per sconfiggere il pharming su siti protetti da SSL bisogna autenticare il certificato presentato dal server all'inzio della sessione, e questo potrebbe essere ottenuto senza catene di certificazione, usando il metodo di SSH: autenticazione iniziale basata su dati comunicati fuori banda (per esempio, "fingerprint" della chiave pubblica da confrontare con quello stampato su un foglietto inviato per posta agli utenti) e "caching" di questa informazione per tutte le sessioni successive. Firefox gia' permette di fare cio', anche se l'interfaccia rende l'operazione un po' macchinosa per utenti inesperti.

Per il lato client, cioe' per l'autenticazione dell'utente, l'uso di certificati X.509 e in genere di metodi a chiave pubblica non presenta sicurezza dal phishing sostanzialmente superiore a quella ottenibile con passwords, a meno di mettere la chiave privata in un token hardware tipo smartcard. Ma anche in quest'ultimo caso, l'accesso alla smartcard dovrebbe essere protetto da un PIN immesso con una tastierina separata da quella accessibile dal software del PC, per evitare che trojans possano intercettare il PIN e riusarlo per effettuare sessioni autenticate all'insaputa dell'utente. In pratica, diventa piu' semplice rinunciare del tutto ai certificati-cliente e usare invece generatori hardware di one-time passwords, che non richiedono alcun collegamento al PC: e infatti questo e' il metodo su cui si sono ormai orientate molte banche.

Evitare strutture gerarchiche senza perdere in affidabilita' e' un problema molto complesso, con diramazioni ben al di la' dell'informatica: e' una questione centrale tuttora irrisolta anche nelle scienze sociali e in quelle economiche, con risposte che vanno dall'assolutismo piramidale di derivazione Hobbesiana all'Anarchia (tanto quella classica quanto le sue versioni anarco-capitaliste: i sistemi in cui l'organizzazione emerge spontaneamente hanno attratto l'interesse tanto di Kropotkin quanto di teorici liberali da Smith ad Hayek). La recente diffusione dei sistemi peer-to-peer ha promosso una rinascita della ricerca sui suoi aspetti matematici: vedi p.es. il problema dei generali bizantini, che tratta della stabilita' di uno scenario cooperativo con N nodi dei quali M possono essere "traditori".