Il blog di Vincenzo Masotti



I testi


I link

Accomazzi.net

Sito RTSI


Valid XHTML 1.0!

Sar-At 6.1
Powered by Sar-At


Torna alla Home

Il testo di Vincenzo:

Secondo una visione comune, l’information security, la sicurezza informatica, si riduce all’adozione di misure tecniche; di conseguenza tutti i problemi di sicurezza saranno risolti quando si avranno a disposizione migliori politiche per il controllo accessi, protocolli crittografici formalmente corretti, firewall certificati, strumenti affidabili per l’intrusion detection, il contrasto del codice maligno, la valutazione dei sistemi e l’assurance.
Ross Anderson, professore di crittografia all'università di Cambridge, propone un punto di vista diverso. Andate a leggervelo all'indirizzo: http://www.isacaroma.it/html/newsletter/?q=node/134 oppure nel suo sito personale all'università di Cambridge.
Qui voglio solo parlare di quando ne scoprii l'esistenza (di Ross Anderson), nel 2005 (si lo so, sono un po' tardo...) e la cosa successe quando denunciò il fatto che i sistemi che proteggono le carte di credito erano molto più vulnerabili di quanto si pensasse.
Vediamo un po': quanti tentativi dovete fare per indovinare un PIN di quattro cifre, quello che all'epoca proteggeva (e in certi casi ancora protegge) una carta di credito? Uno studente fresco di analisi matematica userebbe il calcolo combinatorio e arriverebbe a contare diecimila disposizioni con ripetizione. Una qualsiasi persona che si basasse sul buon senso, direbbe diecimila, pensando a tutte le combinazioni possibili da 0000 a 9999. Uno statistico direbbe cinquemila, perché il calcolo delle probabilità insegna che in media basta il cinquanta per cento dei tentativi per indovinare la lista delle possibili combinazioni. In realtà, affermò Ross  Anderson, nel caso delle carte di credito di tentativi ne bastavano, mediamente, una quindicina... Non so esattamente il perché.... Ma mi fido di Anderson e del suo studente Mike Bond, che ci dicono che la vulnerabilità così evidente dipende dal modo nel quale viene generato il PIN delle carte di credito, per cui un addetto ai lavori, sottolineo: un addetto ai lavori, che abbia accesso ai sistemi informatici bancari, può usarli per decifrare il codice in pochissimo tempo... pochi secondi addirittura.
La scoperta di Anderson prese origine da una lite legale nata in Sud Africa tra la famiglia Singh e la banca Diners Citybank. In un solo fine settimana i Singh si erano visti addebitare ben 190 prelievi per l'equivalente di 75.000 euro. Prelievi avvenuti a Londra, mentre i Singh erano in Sudafrica...
A parte la stranezza del numero dei prelievi, Anderson e il suo studente, chiamati dai Singh come consulenti perchè la banca voleva addebitare alla famiglia sudafricana il debito, rilevarono delle vulnerabilità "tremende", così le chiamarono, nel sistema di prelievo.
A questo punto la banca cercò scandalosamente di zittire Anderson per vie legali. Avete presente le questioni legate al software difettoso? I produttori cercano di evitare la circolazione delle informazioni riguardo le debolezze del software... Beh qui il meccanismo fu lo stesso. In genere si vuole pateticamente - dico pateticamente perché ormai i documenti si sono moltiplicati attraverso la rete - far finta che il sistema sia sicuro. Un po' il mettere la testa nella sabbia come fanno gli struzzi... Ma il colmo stette nel fatto che che i tribunali inglesi accettarono la richiesta della banca. Così, in teoria, Ross Anderson non avrebbe potuto insegnare ai suoi studenti alcuni aspetti fondamentali dei suoi studi. Poi, qualcuno avrà notato che in questi ultimi anni le banche hanno aumentato (ma mica di tanto) i livelli di sicurezza. E per fortuna Ross Anderson continua ad insegnare.
E noi? Faremo finta che i prelievi fantasma non esistano. Del resto adesso c'è una copertura assicurativa sulle carte di credito che naturalmente paghiamo noi. Amen.

I commenti dei visitatori:


That ingshit's perfect for what I need. Thanks!


tXtpvB1G2lRB - 09-11-2016

That ingshit's perfect for what I need. Thanks!


tXtpvB1G2lRB - 09-11-2016

That ingshit's perfect for what I need. Thanks!


tXtpvB1G2lRB - 09-11-2016

Hai qualcosa da dire anche tu? Scrivi un commento