Re: [Soci SLIP] SPiD, ecco come fare a rubare l'identità di chi vuoi

[Alessandro Pasotti]

Un ottimo esempio di autenticazione FORTE :)

Ora ovviamente il giornalista potrebbe essere denunciato in quanto
falsificare un documento è un reato.

Comunque è allucinante che sia così semplice...



2016-11-04 9:53 GMT+01:00 Enrico Agliotti <enrico.agliotti a gmail.com>:

> Spid, l’identità digitale italiana ha un buco
> Bastano colla, forbici, computer e diventi chi vuoi
>
> Doveva essere “facile, veloce e sicuro“. Ma per violare la “grande
> rivoluzione digitale” del governo Renzi bastano colla, forbici e un
> computer. A otto mesi dal lancio del Sistema pubblico per l’identità
> digitale (Spid) si scopre che lo si può usare per carpire i dati
> sensibili di qualunque cittadino, perfino lo stesso Renzi, e carpire
> informazioni sensibili: dalla sanità alla dichiarazione dei redditi,
> dalle tasse all’iscrizione dei figli al nido. Senza essere hacker.
>
> Dal 15 marzo scorso è operativo “Spid”, il Sistema pubblico d’identità
> digitale che con un pin unico permette di accedere a tutti i servizi
> online della pubblica amministrazione (Inps, Agenzia Entrate, Comuni,
> scuole, asl) e interagire direttamente con loro, rendendo il rapporto
> con la burocrazia “veloce, semplice e sicuro“. Finché arriva qualcuno
> a guastare la festa, armato dell’astuccio di un bambino e di un
> computer.
>
> 
> IL FLOP – Vero pilastro del piano Renzi-Madia per la semplificazione
> 2015-2017, il sistema Spid è partito otto mesi fa, con un anno di
> ritardo sul ruolino di marcia. Il governo prevedeva di collegare entro
> il 2017 circa 10 milioni di utenti ma dopo sei mesi le identità
> digitali rilasciate sono poco più di 140.000 e di questo passo per
> centrare l’obiettivo non basteranno 25 anni. Dietro al flop, va detto,
> ci sono ragioni tecniche ed economiche. Le amministrazioni periferiche
> dello Stato faticano ad effettuare la migrazione dai loro vecchi
> sistemi di accreditamento (tipo Cns), tanto che solo due regioni
> (Emilia Romagna e Friuli) sono agganciate a Spid (tutte dovranno
> adeguarsi entro dicembre 2017). Non aiutano poi la procedura
> farraginosa e i costi per il cittadino: l’identità digitale è stata
> pubblicizzata come “gratuita per i primi due anni” ma ottenerla può
> costargli anche 20 euro.
>
> In ogni caso il dato è imbarazzante per il governo che deve esser
> corso ai ripari esercitando pressioni sull’Agid, l’Agenzia per il
> digitale (che fa capo alla Presidenza del Consiglio) e sugli Identity
> Provider accreditati (Infocert, Tim, Poste) per recuperare il ritardo
> e scongiurare la figuraccia. Finendo però per farne una peggiore,
> perché in Italia – lo abbiamo dimostrato e documentato con un video –
> non è un colosso privato tipo Yahoo o un attacco informatico straniero
> a insidiare la privacy e la sicurezza dei cittadini. Ma il loro
> governo. Ecco come.
>
> LA FALLA – Pur di accelerare la distribuzione delle identità l’Agenzia
> il rilascio anche attraverso il riconoscimento Web: usando la WebCam
> un operatore di un call-center privato (sì, non un pubblico
> ufficiale!) visiona i documenti che gli vengono mostrati ma dei quali
> non può accertare l’autenticità, rischiando così di essere facilmente
> tratto in inganno da chi volesse sostituirsi a un altro cittadino per
> far incetta dei suoi dati sensibili come la dichiarazione dei redditi
> e l’Isee, referti e visite mediche, la situazione previdenziale e le
> denunce di infortuni all’Inail, l’iscrizione all’asilo nido e i
> congedi di maternità, il pagamento di tasse e bolli, proprietà
> immobiliari e dichiarazioni di successione. Un’impresa, ad esempio,
> può sfogliare le fatture elettroniche di un concorrente. Senza che
> qualcuno se ne accorga.
>
> L’ESPERIMENTO – Il punto di forza diventa così l’anello debole della
> catena. Chi scrive lo ha sfruttato riuscendo senza difficoltà a farsi
> accreditare agli occhi dello Stato con l’identità di un collega. Lo
> stesso esperimento, va detto, si poteva tentare a uno sportello
> fisico, correndo solo qualche rischio in più perché il punto è questo:
> se fino a ieri con un documento falso non si andava lontano oggi – con
> l’identità digitale fasulla interconnessa a tutti i servizi della PA –
> si può carpire una miriade di informazioni su una persona, una
> famiglia, un lavoratore e un’impresa. E presto operare direttamente
> sui loro conti correnti, il giorno in cui Spid – come ipotizzano
> dall’Agid – sarà abilitato in ambito bancario. Il futuro riserva poi
> lo switch off obbligatorio e allora nessuno sarà esente da rischi,
> neppure il cittadino Matteo Renzi. Al quale ora tocca chiedere:
>
> a) Quanto è costata l’infrastruttura che rottama 50milioni di CNS
> (Carta nazionale dei servizi) già distribuite ai cittadini?
>
> b) Chi restituirà a privati e imprese i soldi che hanno pagato di
> tasca loro per essere accreditati a operare in un sistema che si è
> scoperto (e dimostrato) permeabile a un bambino?
>
> c) Chi può garantire che i 140mila accreditamenti rilasciati finora
> siano stati e siano in condizioni di assoluta sicurezza?
>
> d) Chi, come e quando si prende l’impegno di adeguare il sistema
> mettendolo in sicurezza?
>
>
> http://www.ilfattoquotidiano.it/2016/11/04/identita-
> digitale-ce-un-buco-nella-sicurezza-cosi-ti-divento-matteo-renzi/3093093/
>
> --
> Inviato dal computer che sto usando in questo momento
>
>
> Enrico Agliotti
> cell. +39-328-0517312
> tel. con segreteria: +39-011-23415553
>
>
> _______________________________________________
> Soci mailing list
> Soci a mail.pinerolo.linux.it
> https://liszt.softwareliberopinerolo.org/vecchiamlsoci/
>



-- 
Alessandro Pasotti
w3:   www.itopen.it
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: http://mailman.pinerolo.linux.it/pipermail/soci/attachments/20161104/c0547704/attachment-0001.html