Re: [ml] lezioni di sicurezza dal Garante della Privacy

Grazie Sandro,

in verità non mi sembra, dal carteggio che mi hai fornito,  di 
rilevare uno spirito marcatamente elusivo che mi sembrava invece ci 
fosse stato. Le mie impressioni, che ti esprimo a ruota libera,  sono 
le seguenti:

1) hanno ragione a sostenere che le misure minime si applichino solo 
agli incaricati, almeno finchà non ci sia un'innovazione legislativa 
(l'ho detto su ml anch'io, modestamente :-) );
2) un po' di timidezza a intervenire con prescrizioni migliorative, 
anche se c'Ã stata un'indicazione a estendere la lunghezza delle 
password. In altri momenti il Garante non à stato titubante, anzi ha 
imposto misure a mio avviso anche eccessive nel settore telefonico, che 
conosco meglio, ma comunque tecnicamente ben fondate. In questo caso 
evidentemente non si sono sentiti di intervenire su un caso singolo in 
modo "preventivo"  rispetto al verificarsi di abusi. La loro tendenza à 
quella di fare provvedimenti di portata generale, se non necessario 
agire diversamente sulla spinta di urgenze e casi mediatici...
3) Il Garante sta evidentemente attento a non sovrapporsi ad altri 
organismi di vigilanza. Nel settore bancario à la Banca d'Italia ad 
avere il vero potere di vigilanza anche sugli aspetti di sicurezza. 
D'altra parte ha 9.000 addetti contro i 90 circa del Garante. Potresti 
provare a interpellarli.

4) La banca à stata davvero poco intelligente nel rapporto con un 
cliente come te. Avrebbero dovuto quantomeno dimostrare comprensione e 
agevolarti, riconoscendo che ci sono ampi margini di miglioramento nei 
propri sistemi.

5) Riconoscere i problemi da te sollevati potrebbe avere un effetto a 
catena anche sui sistemi ATM/Bancomat, dove i pin da 5 cifre sono norma 
internazionale.

6) Le violazioni sui dati personali e bancari ben difficilmente 
derivano da intrusioni basate sulla debolezza delle credenziali. A 
parte il phishing, temo molto di pà i trattamenti scorretti da parte 
degli insider che le ipotesi di accesso abusivo via web.

7) Ho fatto un po' di colore sulle probabilitÃ, ma in effetti il conto 
mio à esatto, se calcoli le probabilità di indovinare la password al 
primo, al 2^ (prob. condizionale rispetto al failure del primo 
tentativo) o 3^ tentativo (condizionale rispetto al failure del 
secondo), e le sommi per ottenere la probabilità cumulativa, dopo una 
serie di semplificazioni ottieni proprio 3/N. Anche nel testo del 
Garante che mi hai mandato c'Ã il valore corretto per otto cifre, 
calcolato penso allo stesso modo... Ma non mi pare rilevi nella 
decisione/non decisione.

8) La comunità della security italiana dovrebbe a mio avviso 
impegnarsi a fianco di un'istituzione come il Garante, senza cui la 
sicurezza e la privacy sarebbero all'anno zero in Italia. Il problema à 
che là dentro sono pochi, in assoluto, e pochissimi i tecnici. Ho 
conosciuto negli anni scorsi alcuni dirigenti del settore giuridico e 
informatico del Garante che incontravo a convegni, e mi sono sembrati 
tutti molto preparati e motivati, ma travolti dalla gran mole di 
pratiche. Occorrerebbero forme di confronto, magari tramite 
organizzazioni rappresentative, con il Garante su questi temi.

In bocca al lupo comunque per la tua vicenda, e buona serata

Corrado Conti (CO2)

P.S.: leggo adesso il tuo posting, la formula di calcolo che riporti 
non à perà corretta, non puoi sommare in quel modo le probabilitÃ, il 
calcolo giusto per la probabilità di successo entro 3 tentativi su N 
combinazioni Ã:

P(3, N) = 1/N + (1 - 1/N)*1/(N - 1) + (1 - (1 - 1/N)*1/(N - 1))*1/(N - 
2) = 3/N  :-)

che per N = 90.000.000 produce quel 3,3*10^-8 riportato nella lettera 
che ti ha scritto il Garante. Se fai i conti con i coefficienti 
binomiali come dice Zanero ottieni esattamente lo stesso risultato 
(devi tener conto del fatto che per azzeccare al secondo tentativo devi 
prima avere sbagliato il primo, e cosà via...)

Per quanto riguarda l'art. 32 del codice privacy, non penso possa 
applicarsi a soggetti diversi dai fornitori di servizi di comunicaione 
elettronica accessibili al pubblico, come una banca. Ne so qualcosa 
perchÃ, come dicevo, ho lavorato a lungo con aziende telefoniche che 
invece sono soggette proprio a quella previsione di legge.



----Messaggio originale----
Da: sandro.fontana@xxxxxxxxx
Data: 18/03/2008 14.20
A: "ml-Sikurezza"<ml@xxxxxxxxxxxxx>
Ogg: Re: [ml] lezioni di sicurezza dal Garante della Privacy

Ahime!  altro post lungo :-))
mi tocchera' invitare a  pranzo che si lamentera'
                        (solo i primi 5 lamentatori pero')


Cerco di rispondere a Stefano Zanero (che speravo di incontrare al
convegno IEEE a Milano- sara' per la prox), a Corrado Conti ed agli
altri.

Prima di tutto mi scuso per l'errore fatto anche da me:
si vede che a forza di frequentare il Garante ...  :-)
- ovviamente 3 tentativi su 99.999 possibili combinazioni possono
  solo dare un valore come 3 10^-5 ed alcuni decimali:
  (1/99999 + 1/99998 + 1/99997)
(detto questo ricordo che l'obiettivo di questa discussione non e'
lo sporco sulla punta del dito, ma la luna che questo dito sta
indicando)


Per gli approfondimenti del caso, che Corrado mi richiede, visto che
sono parecchi, invio direttamente a lui (ed a chi me lo chiedera' in
modo esplicito) un file zip con tutta la documentazione tra me, il
Garante e la Banca, in modo che nelle notti di luna piena possiate
ululare con comodo.


Vediamo ore di rispondere inizialmente per la parte non tecnica:
Stefano dice:
> Perche' (e sara' la centesima volta che lo predico) le misure minime
> SI APPLICANO NEI CONFRONTI DEGLI INCARICATI.

e' vero che le "misure minime" si applicano nei confronti degli 
incaricati
ma e' anche vero che prima dell'art. 33 delle misure minime, ci sono 
anche:
Art. 31: Obblighi di sicurezza
1. I dati personali oggetto di trattamento sono custoditi e 
controllati,
anche in relazione alle conoscenze acquisite in base al progresso 
tecnico,
alla natura dei dati e alle specifiche caratteristiche del 
trattamento,
in modo da ridurre al minimo, [...] i rischi di distruzione o perdita, 
anche
accidentale, dei dati stessi,di accesso non autorizzato o di 
trattamento
non consentito o non conforme alle finalità della raccolta.

Art. 32. Particolari titolari
1. Il fornitore di un servizio di comunicazione elettronica 
accessibile al
pubblico adotta ai sensidell'articolo 31 idonee misure tecniche e 
organizzative
adeguate al rischio esistente, per salvaguardare la sicurezza dei suoi 
servizi,
l'integrità dei dati relativi al traffico, dei dati relativi 
all'ubicazione e
delle comunicazioni elettroniche rispetto ad ogni forma di 
utilizzazione o
cognizione non consentita.


E comunque vorrei chiedervi: che senso ha creare una Autority, 
scrivere
leggi e regolamenti per un argomento cosi' importante come la privacy
e poi cercare di nascondersi dietro il fatto che "la legge mi dice
questo e io l'ho fatto, di altro non mi debbo interessare"  ?


Se la legge sulla privacy (permettetemi di chiamarla brevemente cosi')
non e' sufficiente per indirizzare chi tratta dati personali e 
sensibili
(come fa la banca, quando mantiene traccia di chi e cosa pago) a 
gestire
in piena sicurezza un accesso cosi' critico come quello on-line, mi
aspetto che chi opera nel Garante si faccia carico di segnalare
il fatto, di cercare nuovi percorsi legali/operativi, di 
sensibilizzare
coloro che devono operare ... insomma di fare qualche cosa oltre ad
osservare in modo rigido (vorrei dire in modo stolido, ma non vorrei
offendere nessuno) i regolamenti.

Certo, seguire le regole e le leggi, per chi opera all'interno di una
organizzazione come l'Autorita' Garante e' fondamentale, ma non deve
essere tutto!

Il "Garante della protezione dei dati personali"  per prima cosa
dovrebbe avere a cuore la protezione dei dati personali o no ?
E' chiaro che un sistema di accesso tramite Internet non e' quello
usato dagli incaricati del trattamento, ma e' di questo accesso che
un cittadino (me) si sta preoccupando.

Perdonami Stefano ma quando dici:
> Il correntista che accede al SUO conto non e' un incaricato, quindi
> quelle misure minime non si applicano, e giustamente il garante se 
ne
> lava le manine :)
non ci trovo molto da sorridere.

Vorrei, anzi, che persone con la tua credibilita' sul campo,
dicano la loro su questo tipo di atteggiamento che --spero tu sia
d'accordo con me--  e' assolutamente deleterio e da condannare.

Cosi' come e' deleterio e da condannare il fatto che il dirigente
responsabile di questa pratica, alle mie perplessita' tecniche, mi
dica "io non sono un tecnico e mi devo attenere alla legge".
Se non e' un tecnico, come puo' prendere corrette decisioni che
riguardano la tecnologia ?


In tutto cio', mi sembra comunque che l'Art. 31 chieda di ridurre al
minimo i  rischi di accesso non autorizzato.
E la legge non lo chiede solo nei confronti degli incaricati, quando
nell'Art.32 dice che "il fornitore di un servizio di comunicazione
elettronica accessibile al pubblico adotta ai sensi dell'articolo 31
idonee misure tecniche e organizzative adeguate al rischio esistente"


Allora vediamo la parte tecnica:
- password da 5 caratteri numerici e blocco al terzo tentativo

Ora, che una password di accesso ad un sistema on-line o meno debba
essere di lunghezza minima 8 caratteri e che questi caratteri debbano
essere (almeno)alfanumerici , e' una delle "conoscenze acquisite in
base al progresso tecnico"  (vedi Art. 31) da almeno 20 anni
(senza esagerare)

Ne dobbiamo ancora discutere ?

Che un sistema si blocchi al tentativo "n" --con n tipicamente da 3 a 
5--
e' comunque la prassi seguita normalmente.

Certo, se l'ambito di accesso fosse esclusivamente "tre tentativi + 
blocco",
l'accesso al mio conto lo reputerei sicuro anche io.

Ma non credo sia questo il metodo usato da chi tenta di accedere ai 
sistemi.

Forse mi sto sbagliando, ma perche' nella progettazione di un sistema,
da anni si usano card/token OTP, credenziali X.509, passphrase
(e non  password) da decine di caratteri alfanumerici/speciali e negli 
ultimi
anni si stanno diffondendo le smart card crittografiche (Carta 
nazionale dei
servizi, carta identita' elettronica -un velo pietoso sulla banda 
ottica-)
per accesso SICURO tramite Internet  ...   mica lo facciamo per sport, 
no?


Inoltre mi permetto di dubitare che ci siano ancora sistemi che
permettano di avere, in modo nativo, un meccanismo di accesso via 
password
di soli 5 caratteri numerici;  questo sta a significare che la banca 
deve
aver progettato un sistema ad-hoc (o violentato uno esistente) ...

... e questo significa semplicemente che il sistema e' ancora piu' a 
rischio:
- l'archivio/DB delle password sara' protetto in  modo adeguato?
- le password saranno crittografate (stile crypt)?
- useranno seed ?
- da quanti bit ?
- policy sul riuso delle password ?
- policy sulla loro (frequente a questo punto) sostituzione ?
(Le verifiche interne sulla robustezza delle password scelte dagli 
utenti
e' ovviamente inutile: una password da 5 digit si trova in frazioni di
secondo;  se ci aggiungiamo i 12 bit di seed arriviamo a meno di 5 
minuti)



In tutto cio', perche' sto facendo tanta cagnara?

Inizialmente avevo (ingenuamente) pensato che il Garante avrebbe 
ovviamente
detto alla banca di cambiare modus operandi e che quindi avrei potuto
"riappropriarmi" del mio conto on-line:
i cattivi battuti e la giustizia (e la logica) trionfante.

Poi, quando dopo 10 mesi di intenso lavoro, il Garante se ne esce con
parere in cui dice testualmente:
  A tale proposito (quello dell'Art.31, nrd) deve rilevarsi che dagli 
elementi
  in atti non emergono violazioni di tali misure. Tuttavia, [...] la
probabilita'
  di accesso abusivo ad un conto on-line di cui si conosca il codice
  identificativo (!!), [...] e' stimabile in un valore numerico pari a 
circa
  0,00075 [...]
  Tenendo conto di quanto dichiarato dai rappresentanti della banca (1)
[...]
  questo Ufficio ravvisa l'opportunita'  di incrementare il livello di 
sicurezza
  e rivolge un invito a estendere la lunghezza della parola chiave a 
otto cifre
  [...]

inizio a pensare che, senza offendere nessuno, avallando questo genere 
di
operativita' il Garante possa rappresentare una vulnerabilita' 
inconsapevole,
per le infrastrutture di accesso ai dati dei cittadini:  attuali e 
future.

In quest'ottica, sempre se risultasse corretto il mio pensiero ed
atteggiamento,
vorrei solecitare i rappresentanti delle organizzazioni che oggi 
vengono
identificate con il settore "ICT Security": CLUSIT, ISACA, AIPSI --
delle quali
faccio anche parte-- alla preparazione di un documento che richieda al 
Garante
e gli altri eventuali Uffici Pubblici, di farsi supportare da queste 
stesse
organizzazioni specialistiche, ogni qual volta vengano alla luce 
necessita' di
valutazioni tecniche specifiche del settore.
Questo per evitare il "fai da te": ad ognuno il suo mestiere.


Grazie per la pazienza,
S.



(1) la banca dichiara che:  l'utilizzo del codice numerico in origine 
e'
dovuto a motivi di natura tecnica "oggi sostanzialmente superati, che
non impedirebbero l'utilizzazione di credenziali alfanumeriche con PIN
di lunghezza non inferiore a otto caratteri"

Sono frasi riportate tra virgolette nel parere del Garante  a partire 
da
un verbale che il Garante non mi ha inviato, ma che il Garante stesso 
mi
assicura che posso richiedere in base ad una legge ... :-))) 
Kafkaaaaaaaa!!!!!


--
Sandro Fontana
CISSP, ISO27001 L.A., CISM, CISA
mobile: +39 335 8125031 skype://sinetqnlap
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List




______________________________________________
Adotta un bambino a distanza. Avrà vestiti, cibo, scuola?e avrà te!
http://social.tiscali.it/promo/C02/sos/