Il Blog sta subendo alcuni interventi di manutenzione e aggiornamento, pertanto nei prossimi giorni si potrebbero riscontrare rallentamenti o malfunzionamenti.Ci scusiamo per il disagio.

La sicurezza informatica non abita a Chieti

Non si scherza sulla sicurezza informatica, ma ci sono Pubbliche Amministrazioni che continuano a farlo. Se la Provincia di Cuneo ha ammesso l’errore e si è redenta, la ASL abruzzese Lanciano- Vasto- Chieti chiede agli utenti di pagare le prestazioni online attraverso una procedura priva di certificazione di sicurezza. Notizia diffusa dal quotidiano digitale PrimaDaNoi.it e verificata personalmente. Quando si accede alla pagina della ASL per pagare il ticket, cancellare prenotazioni, informarsi sui tempi di attesa, il lucchetto del browser – in alto a sinistra nella barra dell’indirizzo – avverte che c’è qualcosa che non va. Si clicca sul lucchetto e si scopre che:

 

 

  • l’identità di questo sito web non è stata verificata;
  • il certificato del server non corrisponde all’URL
  • Il certificato del server è scaduto
  • Il certificato del server non è affidabile.

Ovvero, il sito sta usando una connessione protetta (SSL) non certificata da una Certification Authority ufficiale. Date uno sguardo qui per i dettagli sugli indicatori di sicurezza dei siti web.

 

 

 

E’ una grave lacuna, perché stiamo parlando di dati sensibili, cioè informazioni personali, carte di credito, eccetera, per di più siamo in un ambito delicato come quello sanitario.

 

 

Eppure l’annuncio ufficiale sul sito della ASL induce all’errore. C’è scritto che “Tutte le operazioni saranno effettuate in condizioni di estrema sicurezza, grazie a un sistema di protezione crittografato utilizzato per garantire trasferimenti riservati di dati nel web”.

Ci dispiace smentire la ASL, ma senza la certificazione ufficiale da parte di una CA indipendente, terza rispetto al gestore di un sito, la sicurezza proprio non c’è. Lo ha detto e ribadito anche il Garante per la protezione dei dati personali, nel provvedimento del 18 settembre 2008 (Anagrafe tributaria: sicurezza e accessi) che riguardava l’Agenzia delle Entrate:

Per le web application è stato utilizzato un certificato Ssl di tipo self signed (non firmato da una Ca, Certification authority, ufficiale) non attendibile che, in mancanza di una Ca affidabile, non offre le garanzie di certezza dell’identità dell’erogatore del servizio tipiche della certificazione digitale tramite Pki (public key infrastructure): risultano pertanto facilitate azioni di phishing in danno di utenti del sistema e la possibile acquisizione indebita di credenziali di autenticazione, idonea a consentire utilizzi impropri dell’applicazione”.

  “L’Agenzia deve prevedere che tutte le applicazioni accessibili da rete pubblica in forma di web application siano implementate con protocolli https/ssl provvedendo ad asseverare l’identità digitale dei server erogatori dei servizi tramite l’utilizzo di certificati digitali emessi da una Certification Authority ufficiale, evitando il ricorso a certificati di tipo self-signed”.

Per approfondire, segnalo il documento dell’associazione Cittadini di Internet su certificazione digitale e Pubblica Amministrazione nel Web.


Twitter: @pinobruno

  • Per quanto riguarda le certification authority credo, salvo smentita data dai fatti (che sinceramente spero non arrivi mai), una delle poche ancora affidabili resti GeoTrust. Il rischio di caduta è chiaramente dietro l’angolo, ma per esperienza personale li reputo molto più seri di altri che si spacciano come tali. Complimenti, comunque, per l’articolo e per il blog in generale.

    • Le CA sono come gli altri prodotti. Alcuni ottimi, altri buoni o mediocri….grazie per l’apprezzamento.

  • sinetqnlap

    Effettivamente il certificato in questione sembra proprio essere stato prodotto da uno che passava per caso; decisamente in certi ambienti manca anche il semplice buon senso.
    Al di là di questo, anche il Garante della Privacy, non è che ci faccia una gran figura.
    A parte la diretta ed errata contrapposizione tra certificati self-signed e quelli di una CA ufficiale, bisognerebbe capire che cosa è una “Certification Authority ufficiale”.
    Intende forse una Autorità di Certificazione Accreditata (da DigitPA)? Probabilmente no, perchè quelle CA sono accreditate per il rilascio di certificati di firma; allora forse intendeva dire che una CA è ufficiale se è presente di default nel software browser che usiamo ? mmmh, anche qui gli esempi negativi non mancano (vedi i casi COMODO e DigiNotar).
    Forse invece di far fare al Garante della Privacy un mestiere che non è il suo, visto che non ha grandi competenze tecniche sull’argomento sicurezza ICT e visto che sembra mancare anche il semplice buon senso di seguire le best practice, si potrebbe dare l’incarico alla appena nata Agenzia per Italia Digitale, di stendere delle Linee Guida sull’argomento: se poi saranno semplici e facilmente interpretabili, ne saremo tutti contenti.

Pino Bruno

Scrivo per passione e per dovere, sono direttore di Tom's Hardware Italy, ho fatto il giornalista all'Ansa e alla Rai e scrivo di digital life per Mondadori Informatica e Sperling&Kupfer

Alcune delle mie Pubblicazioni
Stay in Touch

Sono presente anche sui seguenti social networks :

Calendario
luglio: 2012
L M M G V S D
« Giu   Ago »
 1
2345678
9101112131415
16171819202122
23242526272829
3031