Re: [Soci SLIP] SPiD, ecco come fare a rubare l'identità di chi vuoi

Andrea nitrotnt82 a gmail.com
Ven 4 Nov 2016 13:46:14 CET
Messaggio precedente: Re: [Soci SLIP] SPiD, ecco come fare a rubare l'identità di chi vuoi
Prossimo messaggio: Re: [Soci SLIP] SPiD, ecco come fare a rubare l'identità di chi vuoi
Messaggi ordinati per: [ Data ] [ Thread ] [ Oggetto ] [ Autore ]
Vorrei fare alcune osservazioni in merito:  la falla in questo caso è stato
l'addetto al riconoscimento, ci sono almeno un paio di errori evidenti nei
documenti e non si è accorto di nulla anzi ha fatto avanzare la richiesta.
Un problema che quotidianamente vedo, ovunque. Solo l'altro giorno parlavo
con un conoscente che ha fatto un operazione in banca senza aver tutti i
documenti richiesti( e non un operazione da poco!).

Concordo che il  problema è serio che spero il giornalista abbia segnalato
PRIMA di pubblicare l'articolo.

Il problema esiste ma messo cosi mi sembra un pretesto per una polemica
politica piu che segnalare un problema reale.

Grazie
Andrea



Il giorno 4 novembre 2016 11:52, Alessandro Pasotti <apasotti a gmail.com> ha
scritto:

> Un ottimo esempio di autenticazione FORTE :)
>
> Ora ovviamente il giornalista potrebbe essere denunciato in quanto
> falsificare un documento è un reato.
>
> Comunque è allucinante che sia così semplice...
>
>
>
> 2016-11-04 9:53 GMT+01:00 Enrico Agliotti <enrico.agliotti a gmail.com>:
>
>> Spid, l’identità digitale italiana ha un buco
>> Bastano colla, forbici, computer e diventi chi vuoi
>>
>> Doveva essere “facile, veloce e sicuro“. Ma per violare la “grande
>> rivoluzione digitale” del governo Renzi bastano colla, forbici e un
>> computer. A otto mesi dal lancio del Sistema pubblico per l’identità
>> digitale (Spid) si scopre che lo si può usare per carpire i dati
>> sensibili di qualunque cittadino, perfino lo stesso Renzi, e carpire
>> informazioni sensibili: dalla sanità alla dichiarazione dei redditi,
>> dalle tasse all’iscrizione dei figli al nido. Senza essere hacker.
>>
>> Dal 15 marzo scorso è operativo “Spid”, il Sistema pubblico d’identità
>> digitale che con un pin unico permette di accedere a tutti i servizi
>> online della pubblica amministrazione (Inps, Agenzia Entrate, Comuni,
>> scuole, asl) e interagire direttamente con loro, rendendo il rapporto
>> con la burocrazia “veloce, semplice e sicuro“. Finché arriva qualcuno
>> a guastare la festa, armato dell’astuccio di un bambino e di un
>> computer.
>>
>> 
>> IL FLOP – Vero pilastro del piano Renzi-Madia per la semplificazione
>> 2015-2017, il sistema Spid è partito otto mesi fa, con un anno di
>> ritardo sul ruolino di marcia. Il governo prevedeva di collegare entro
>> il 2017 circa 10 milioni di utenti ma dopo sei mesi le identità
>> digitali rilasciate sono poco più di 140.000 e di questo passo per
>> centrare l’obiettivo non basteranno 25 anni. Dietro al flop, va detto,
>> ci sono ragioni tecniche ed economiche. Le amministrazioni periferiche
>> dello Stato faticano ad effettuare la migrazione dai loro vecchi
>> sistemi di accreditamento (tipo Cns), tanto che solo due regioni
>> (Emilia Romagna e Friuli) sono agganciate a Spid (tutte dovranno
>> adeguarsi entro dicembre 2017). Non aiutano poi la procedura
>> farraginosa e i costi per il cittadino: l’identità digitale è stata
>> pubblicizzata come “gratuita per i primi due anni” ma ottenerla può
>> costargli anche 20 euro.
>>
>> In ogni caso il dato è imbarazzante per il governo che deve esser
>> corso ai ripari esercitando pressioni sull’Agid, l’Agenzia per il
>> digitale (che fa capo alla Presidenza del Consiglio) e sugli Identity
>> Provider accreditati (Infocert, Tim, Poste) per recuperare il ritardo
>> e scongiurare la figuraccia. Finendo però per farne una peggiore,
>> perché in Italia – lo abbiamo dimostrato e documentato con un video –
>> non è un colosso privato tipo Yahoo o un attacco informatico straniero
>> a insidiare la privacy e la sicurezza dei cittadini. Ma il loro
>> governo. Ecco come.
>>
>> LA FALLA – Pur di accelerare la distribuzione delle identità l’Agenzia
>> il rilascio anche attraverso il riconoscimento Web: usando la WebCam
>> un operatore di un call-center privato (sì, non un pubblico
>> ufficiale!) visiona i documenti che gli vengono mostrati ma dei quali
>> non può accertare l’autenticità, rischiando così di essere facilmente
>> tratto in inganno da chi volesse sostituirsi a un altro cittadino per
>> far incetta dei suoi dati sensibili come la dichiarazione dei redditi
>> e l’Isee, referti e visite mediche, la situazione previdenziale e le
>> denunce di infortuni all’Inail, l’iscrizione all’asilo nido e i
>> congedi di maternità, il pagamento di tasse e bolli, proprietà
>> immobiliari e dichiarazioni di successione. Un’impresa, ad esempio,
>> può sfogliare le fatture elettroniche di un concorrente. Senza che
>> qualcuno se ne accorga.
>>
>> L’ESPERIMENTO – Il punto di forza diventa così l’anello debole della
>> catena. Chi scrive lo ha sfruttato riuscendo senza difficoltà a farsi
>> accreditare agli occhi dello Stato con l’identità di un collega. Lo
>> stesso esperimento, va detto, si poteva tentare a uno sportello
>> fisico, correndo solo qualche rischio in più perché il punto è questo:
>> se fino a ieri con un documento falso non si andava lontano oggi – con
>> l’identità digitale fasulla interconnessa a tutti i servizi della PA –
>> si può carpire una miriade di informazioni su una persona, una
>> famiglia, un lavoratore e un’impresa. E presto operare direttamente
>> sui loro conti correnti, il giorno in cui Spid – come ipotizzano
>> dall’Agid – sarà abilitato in ambito bancario. Il futuro riserva poi
>> lo switch off obbligatorio e allora nessuno sarà esente da rischi,
>> neppure il cittadino Matteo Renzi. Al quale ora tocca chiedere:
>>
>> a) Quanto è costata l’infrastruttura che rottama 50milioni di CNS
>> (Carta nazionale dei servizi) già distribuite ai cittadini?
>>
>> b) Chi restituirà a privati e imprese i soldi che hanno pagato di
>> tasca loro per essere accreditati a operare in un sistema che si è
>> scoperto (e dimostrato) permeabile a un bambino?
>>
>> c) Chi può garantire che i 140mila accreditamenti rilasciati finora
>> siano stati e siano in condizioni di assoluta sicurezza?
>>
>> d) Chi, come e quando si prende l’impegno di adeguare il sistema
>> mettendolo in sicurezza?
>>
>>
>> http://www.ilfattoquotidiano.it/2016/11/04/identita-digitale
>> -ce-un-buco-nella-sicurezza-cosi-ti-divento-matteo-renzi/3093093/
>>
>> --
>> Inviato dal computer che sto usando in questo momento
>>
>>
>> Enrico Agliotti
>> cell. +39-328-0517312
>> tel. con segreteria: +39-011-23415553
>>
>>
>> _______________________________________________
>> Soci mailing list
>> Soci a mail.pinerolo.linux.it
>> https://liszt.softwareliberopinerolo.org/vecchiamlsoci/
>>
>
>
>
> --
> Alessandro Pasotti
> w3:   www.itopen.it
>
> _______________________________________________
> Soci mailing list
> Soci a mail.pinerolo.linux.it
> https://liszt.softwareliberopinerolo.org/vecchiamlsoci/
>
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: http://mailman.pinerolo.linux.it/pipermail/soci/attachments/20161104/b780b5b4/attachment.html
Messaggio precedente: Re: [Soci SLIP] SPiD, ecco come fare a rubare l'identità di chi vuoi
Prossimo messaggio: Re: [Soci SLIP] SPiD, ecco come fare a rubare l'identità di chi vuoi
Messaggi ordinati per: [ Data ] [ Thread ] [ Oggetto ] [ Autore ]
Maggiori informazioni sulla lista Soci