Titolo

L'Agenzia delle Entrate fa da Babbo Natale per i pirati informatici

1 commento (espandi tutti)

Che buffoni! Italia a parte non mi sarei mai aspettato un simile
livello di sciatteria da un paese evoluto.Ed il massimo biasimo va
anche ad HP che ha fornito la consulenza!

L'essere evoluto si manifesta non tanto nella funzionalita' della macchina statale (in larga misura una mission impossible sotto tutte le latitudini) ma nel lasciarle da gestire una fetta di PIL sotto il 20%, anziche' il 50% e rotti come in Italia...

Per quel che riguarda HP, come biasimarla? L'obiettivo di una ditta privata e' produrre utili per i propri azionisti, non rimediare alle inaguatezze della burocrazia statale.

Quanto alla questione dell' oligopolio delle autorità di
certificazione, non mi entusiasma ma sinceramente non vedo alternative
praticabili.

Per il lato server, per sconfiggere il pharming su siti protetti da SSL bisogna autenticare il certificato presentato dal server all'inzio della sessione, e questo potrebbe essere ottenuto senza catene di certificazione, usando il metodo di SSH: autenticazione iniziale basata su dati comunicati fuori banda (per esempio, "fingerprint" della chiave pubblica da confrontare con quello stampato su un foglietto inviato per posta agli utenti) e "caching" di questa informazione per tutte le sessioni successive. Firefox gia' permette di fare cio', anche se l'interfaccia rende l'operazione un po' macchinosa per utenti inesperti.

Per il lato client, cioe' per l'autenticazione dell'utente, l'uso di certificati X.509 e in genere di metodi a chiave pubblica non presenta sicurezza dal phishing sostanzialmente superiore a quella ottenibile con passwords, a meno di mettere la chiave privata in un token hardware tipo smartcard. Ma anche in quest'ultimo caso, l'accesso alla smartcard dovrebbe essere protetto da un PIN immesso con una tastierina separata da quella accessibile dal software del PC, per evitare che trojans possano intercettare il PIN e riusarlo per effettuare sessioni autenticate all'insaputa dell'utente. In pratica, diventa piu' semplice rinunciare del tutto ai certificati-cliente e usare invece generatori hardware di one-time passwords, che non richiedono alcun collegamento al PC: e infatti questo e' il metodo su cui si sono ormai orientate molte banche.

Evitare strutture gerarchiche senza perdere in affidabilita' e' un problema molto complesso, con diramazioni ben al di la' dell'informatica: e' una questione centrale tuttora irrisolta anche nelle scienze sociali e in quelle economiche, con risposte che vanno dall'assolutismo piramidale di derivazione Hobbesiana all'Anarchia (tanto quella classica quanto le sue versioni anarco-capitaliste: i sistemi in cui l'organizzazione emerge spontaneamente hanno attratto l'interesse tanto di Kropotkin quanto di teorici liberali da Smith ad Hayek). La recente diffusione dei sistemi peer-to-peer ha promosso una rinascita della ricerca sui suoi aspetti matematici: vedi p.es. il problema dei generali bizantini, che tratta della stabilita' di uno scenario cooperativo con N nodi dei quali M possono essere "traditori".