texte de mon intervention à CARDS 2010 Rome
Osservatorio Internazionale CARDS 2010
Intervento di Mauro ISRAEL
Buongiorno,
Sono molto lieto e onorato di partecipare a questa conferenza dell’Osservatorio Internazionale CARDS 2010. La prima ragione, e perche e
un ritorno alla sorse per me. Infatti sono nato proprio qui a Roma !
Dopo più di trent’anni d’esperienza in informatica e precisamente nella sicurezza informatica, lavoro come Chief Security Officer alla
MOBILEGOV, un editore Francese di autenticazione forte. Il nostro partner esclusivo in Italia e uno dei sponsor platino della conferenza: la società Xelios, rappresentata qui dall Dott.Piero
Rossi.
La seconda ragione di motivo, e perche l’Internet a raggiunto un punto cruciale: gli utenti fanno un focus sulla loro “privacy”
e non sono confidenti sulla sicurezza dei siti web, incluendo i siti di e-banking e di e-commercio. Questo sentimento di insicurezza e aumentato quasi ogni
settimana con notizie di hacking di conti Twitter o Facebook, di scoperte di migliaia di numeri di carte bancarie su Internet, o peggio di furti di identità, con le frode proprie.
La differenza, con qualche anno fà, e che si tratta di adolescenti senza neanche grandi conoscenze in informatica. Per esempio “Hacker
Croll”, che dalla stanzina della casa di sua mamma vicino a Clermont-Ferrand, nel centro della Francia, e entrato nell conto Twitter del Presidente degli Stati Uniti Barack Obama, e peggio,…
anche nel conto di Britney Spears !
Come mai un giovane a riuscito questo hacking con un semplice computer e una connessione DSL a 30 euro per mese, a più di dieci mila
chilometri ?
Dovete sapere, che tutta la sicurezza su
Internet si stabilisce sù due dispositivi: l’encryption con il SSL e il “login-password”. Il SSL puo fondamentalmente essere sicuro, invece il “login-password”, che o battezzato
“login-passoire” in francese, che si puo tradurre da “login-colabrodo”, e molto facile da indovinare.
Dovete sapere che gli utenti utilizzano
passwords troppo semplici per non dimenticarli, e sempre quasi similari su differenti siti web. Il fenomeno e aggravato dal browser che conserva i passwords sul computer senza
encryption… Il risultato degli attachi di keyloggers, botnets o di Trojans e disastroso: per ususpare l’identità numerica di qualcuno e facilissimo. Bisogna soltanto conoscere il suo
password.
Ecco un esempio con un programma Italiano che si chiama Cain & Abel…
Un altro problema indotto dal “login-colabrodo” e il user case del “password perso”. Infatti il sito web in quel caso lo rimanda sul
email del utente, e dunque se il hacker a accesso all’email stesso del “bersaglio”, puo conoscere o reinizializzare i passwords…
La sicurezza dei webmail e dunque importantissima; Il minimo e di avere i flussi in https come standard, per evitare il “Man in the
Middle”, con il medesimo Cain & Abel. Soltanto GMAIL offre questa possibilità in standard fra i webmail popolari …
Due deputati francesi ne hanno fatto l’amara esperienza recentemente, con un adolescente che a avuto accesso ai loro webmail di
laposte.net e di wanadoo.fr ; Molte entità del governo francese, incluendo l’armata, utilizzano webmail pubblici come email ufficiali invece del email (supposto) sicuro della
lora amministrazione… E in Italia com’é ?
Tutte queste notizie danno agli utilizzatori une brutta opinione sulla sicurezza reale di Internet, e la fiducia crolla or crollera
come il business… Domandate a Twitter, eBay o Facebook…
Pertanto ci sono soluzioni per aumentare la sicurezza dei passwords. Queste soluzioni aggiungono a quello che l’utente conosce (il
password), un altro fattore, o fisico (biometrico), o di possesso (un token). I primi risultati per il fatto di aggiungere un fattore fisico non sono buoni, perche la gente si sente circondata da
un process di tipo “big brother”.
Anche se accetteranno un giorno la biometria al livello di un governo, come si sta svolgendo in Svizzera o ai confini degli Stati
Uniti, gli utenti di Internet non accetterano che un sito web o un’azienda dove lavorano abbiano le loro impronte digitali. Di più, se quelle impronte sono fuorviate, non si puo fare un
“reset”…
Rimane il “token”: Potrebbe essera la carta di credito (smartcard) che il cliente ha già, un calcolatore OTP (one time password), o un
certificato X509.v3 messo in une chiave USB, o un telefonino.
Per la carta di credito abbiamo il problema del “Man in the Middle” sulla smartcard, comme hanno dimostrato gli universitari di
Cambridge, qualche giorna fà. Con un semplice PC e 30 euro di hardware si puo allegare il PC ad il “terminal” del negozio e ottenere un PIN code “yes” senza conoscere il PIN code della
carta…
Infatti tutte le altre soluzioni hanno un problema fatidico: costano troppo da distribuire e da mantenere. Secondo lo studio del
governo federale Svizzero per Swiss-ID, bisogna valutare il costo del token (USB) per tre anni a circa 120 euro, più il fatto di dovere presentarsi colla carta d’identità in un posto
ufficiale per validare il nuovo token.
Questo costo non tiene conto del lavoro per cambiare il sistema di autenticazione sui siti web, ne il prezzo per gestire tutto il
sistema della base degli utenti… Poi c’é l’aspetto “privacy” che e certamente vissuto in modo diverso in Svizzera comparata a l’Italia, o la Francia…
Dunque come si fà ? I token sono une buona idea, ma troppi cari per milioni di utenti… poi chi pagera per tutti gli altri,
le banche ?
E li, che arriva l’invenzione di MOBILEGOV.
Dovete sapere che ogni computer,
telefonino, o chiave USB, infatti ogni apparecchio electronico, a caratteristiche singole, comme la MAC address per accedere alla rete, o il numero del processore, eccetera.
Se si fa la scansione di queste caratteristiche in una capsula unica, chiamata “Digital DNA”, si ottiene combinandola ad un utente una
autenticazione forte con due fattori: un PIN CODE che conosce, e un token fisico che ha già, come il suo computer. Dopo di che, ogni volta che torna sul sito web che “capisce” il suo Digital DNA,
sara autenticato, senza che un hacker possa intervenire o fare una imitazione dei suoi “credentials”.
Per le banche, si puo domandare il PIN CODE, invece per i siti di commercio, il computer o un altro “user token”, come il telefonino o
la chiave USB, basteranno.
A quel punto avete molte domande come “ e se si cambia computer ? o se si va in ufficio e vuole collegarsi, come a casa ? se
si perde la chiavetta USB ? »
Tutte queste domande le abbiamo risolte in quasi cinque anni di R&D. Ormai la soluzione e pronta da funzionare. Sono a vostra
disposizione dopo quest’intervento, con lo staff di Xelios Italia e di François Lepage, nostro Direttore Generale di MOBILEGOV, per ogni domanda.
Ma c’e une domanda che bisogna trattare subito: che livello di sicurezza c’e nel “Digital DNA” di MOBILEGOV ?
Dovete sapere che il livello della
sicurezza degli OTP, il nostro e gli altri, dipende essenzialmente dal randomizer che fabbrica il one time password. Più il fattore random e buono, più il OTP e sicuro perche non si puo
indovinare. Per esempio se lancio una monetina e vi domando “testa o croce” ? Avete une probabilità su due di indovinare. Ma dopo un milliardo di lanci, forse si puo calcolare il risultato
tenendo conto di tutti i lanci già fatti…
Dovete sapere che e quello che puo
accadere con un programma di randomizer utilizzato dagli OTP. Ci sono “collisioni” nell’algoritmo che permettono a un hacker di calcolare il prossimo lancio… Noi alla MOBILEGOV utilizziamo un
randomizer quantistico al posto di un software. Questo randomizer ci garantisce un random “puro”, e dunque un livello di sicurezza molto migliore degli altri OTP…
Grazie per vostra attenzione e sono pronto per tutte le domande, specialmente quelle che ho già preparate !