Il voto elettronico verso la strada giusta?

Posted on August 27, 2007 by claudio

Per chi non l’avesse capito, il voto elettronico non mi convince. Mi convince invece lo scrutinio elettronico, se fatto con criterio e con la disponibilità di schede cartacee per la verifica in caso di problemi. Questo articolo mette in evidenza che il problema del voto/scrutinio elettronico non è solo scrivere algoritmi, cosa comunque tutt’altro che semplice, ma realizzare un sistema che abbia determinate garanzie di robustezza e auditabilità. Il passo successivo è risalire alla base del problema di multilateral security, che deve comprendere chi realizza, verifica e gestisce il sistema. Il concetto di “sicurezza multilaterale” è secondo me fondamentale nella sicurezza, eppure i riferimenti a questo concetto sono pochissimi (ad esempio questo), nonostante non sia strettamente legato all’informatica, e non ha neppure un suo spazio su Wikipedia. Il problema di base della sicurezza multilaterale è semplice: quando più entità utilizzano un sistema, queste entità possono avere esigenze di sicurezza diverse, anche contrastanti. Il sistema deve essere quindi progettato in modo da soddisfare tutte queste esigenze o, dove non è possibile, trovare un compromesso concordato fra le esigenze contrastanti. Dovrebbe essere abbastanza evidente che se la progettazione è affidata a una delle parti, è molto probabile che questa tenterà di far prevalere le proprie esigenze, e sarà portata a curare maggiormente gli aspetti di sicurezza che le interessano rispetto a quelli che interessano alle altre parti.

Nella maggior parte dei casi ci si trova proprio nella situazione in cui il sistema è progettato da una delle parti interessate. Un’azienda ad esempio, nel progettare un proprio servizio, tipicamente considererà prima le proprie esigenze, secondariamente quelle dei propri clienti e del proprio personale, e “se ne avanza” quelle di altre parti.

Torniamo adesso al voto elettronico. Spesso alle argomentazioni sulle difficoltà di realizzare un sistema di voto elettronico viene obiettato che se si riescono a progettare sistemi sicuri per, ad esempio, per determinati contesti militari, allora si riuscirà a progettare un sistema sicuro per il voto elettronico, che è un problema decisamente più semplice una volta trovati gli algoritmi adatti. Quello che sfugge a questo ragionamento è che chi dovrebbe sviluppare e (far) gestire un sistema di voto elettronico è parte in causa, e in una logica di sicurezza multilaterale tutela i propri interessi. Nella gestione del progetto di un sistema per il controllo di un missile, non ci sono tante parti in causa: chi gestisce il progetto è chi stabilisce le esigenze di sicurezza. Nel caso del voto elettronico, gli interessi dei diversi partiti, dei cittadini e del governo uscente sono diversi (in generale, solo “i cittadini” sono interessati al corretto funzionamento del sistema, le altre parti sono interessate a vincere le elezioni). Per questo il voto manuale è “gestito” da molte parti, e fra queste i cittadini e i rappresentanti delle diverse liste giocano un ruolo fondamentale nel garantire la correttezza delle operazioni. Un sistema di voto elettronico sarebbe progettato e “gestito” dalla maggioranza in carica, che è una parte in causa. L’interesse del governo o della maggioranza parlamentare non è avere delle elezioni corrette, ma vincere nuovamente le elezioni. Anche volendo dare credito di una grande onestà ad uno specifico governo, sarebbe veramente una pessima pratica basare la progettazione di un sistema su questa fiducia, non fosse altro perché maggioranze e le persone cambiano ma i meccanismi di voto restano. Mentre il meccanismo attuale è un chiaro esempio di gestione della sicurezza multilaterale, con ognuna delle parti in causa coinvolta nella verifica della correttezza delle operazioni, un sistema di voto elettronico sarebbe ad esempio pesantemente influenzato dalla scelta dell’azienda appaltatrice per la fornitura. Anche senza fare della facile ironia sulla gestione degli appalti in Italia, si possono vedere le recenti traversie di Diebold negli U.S.A. a questo riguardo, tanto che l’azienda ha deciso di cambiare nome (del resto, cercando con Google si trovano certo più notizie di fallimenti, spesso per mancanza di controllo sui fornitori degli apparati, che di successi). E sulla rilevanza della maggiornanza corrente si possono vedere le infinite polemiche relative al voto in Florida. Non bisogna dimenticare che il voto non è una semplice procedura di cui bisogna garantire la correttezza: è anche necessario che i cittadini abbiano fiducia nella correttezza del risultato, e qualsiasi cosa mini questa fiducia è estremamente dannosa, a prescindere dalla reale presenza di errori.

Bene, il modello di Chaum sembra avere tante delle caratteristiche che ritengo importanti in un sistema di voto elettronico. La più importante è che l’audit del sistema non è un genetico e del tutto ipotetico “audit del codice”, ma è una ben definita procedura di audit del sistema, in cui sono individuate con chiarezza le proprietà che si vogliono garantire con l’audit (non un generico “corretto funzionamento del sistema”), e il meccanismo si basa sulla corretta implementazione di quelle proprietà, e non di tutto il sistema. L’altro aspetto importante è che l’audit post voto coinvolge tutti i cittadini e tutte le parti in causa, e non un gruppetto di tecnologi ” selezionati”. Si tratta quindi di un sistema che, in un’ottica di sicurezza multilaterale, è decisamente preferibile.

Infine (ma lo devo ancora studiare bene), il meccanismo della doppia scheda sembra offrire la possibilità di sfuggire anche al controllo delle fotocamere dei cellulari, problema che non si risolve certo con la matematica. Per questo servirebbe però anche (e nel frattempo) un po’ di sicurezza fisica. Credo che la prima cosa da fare sarebbe rivedere le cabine elettorali. Lo scopo della cabina non è infatti coprire tutta la persona, ma impedire che si veda cosa sta votando. La cabina non deve essere necessariamente come quella italiana. Anche se ci sono cabine decisamente poco protette, come questa, altre coprono meno la persona, oltre ad avere altri vantaggi (ad esempio questa). Una cabina che copra i lati e la schiena dell’elettore, ma che lasci scoperto l’elettore da metà busto in su, seppure con un piano inclinato che copra la scheda e con una distanza di rispetto davanti perché nessuno si possa avvicinare (magari mettendoci un tavolo per lasciare eventuali borse…) sarebbe probabilmente un deterrente efficace contro l’uso di fotocamere dei cellulari. E’ possibile che la soluzione al problema delle foto sia da richiedere a un falegname, più che a un luminare dell’informatica? Comunque sia, se si vogliono migliorare i meccanismi di voto, algoritmi e computer sono forse una parte della soluzione, ma certamente sempre più spesso anche una parte del problema.

Posted in Sicurezza, Varie | Comments Off on Il voto elettronico verso la strada giusta?

Difendersi dal phishing: l'esempio di CartaSì

Posted on August 13, 2007 by claudio

Mi è appena arrivato il resoconto delle spese della mia carta di credito di CartaSì (sigh!), insieme al quale come al solito è allegato un giornalino di due pagine, che di solito non leggo perché dedicato principalmente ad offerte commerciali.

Questa volta però in prima pagina c’è un articolo dal titolo: “Sicurezza on-line: come difendersi dal phishing”, che elenca sei punti per non avere problemi di phishing per quanto riguarda i servizi di CartaSì. Il concetto principale è: noi non chiediamo mai i vostri dati via mail o via SMS. Se vi arriva una mail o un SMS, non fate niente: collegatevi invece direttamente al nostro portale. Oltre a questo concetto fondamentale, i soliti consigli su antivirus e (novità degli ultimi tempi) una “toolbar antiphishing”.

Perfetto! In effetti, questo è tutto quello che dovrebbe sapere l’utente/cliente. Tutto il resto dovrebbero essere problemi delle azeinde.

Le raccomandazioni fatte all’utente naturalmente funzionano se effettivamente poi l’azienda si attiene a quanto indicato, ovvero non usa la posta elettronica per chiedere dati o indicare link all’utente, ma solo per dirgli di connettersi al sito web dove troverà copia della comunicazione con i riferimenti necessari. Tuttavia, probabilmente non basta. Non basta infatti che un’azienda si comporti correttamente: se altre invece mandano comunicazioni con link magari a domini diversi da quelli istituzionali, è difficile che l’utente si ricordi quali hanno deciso di comportarsi correttamente e quali no; in pratica, un’azienda virtuosa può vedere vanificati i propri sforzi, almeno in parte, se le altre aziende non hanno lo stesso comportamento virtuoso.

In Italia peraltro, la maggior parte delle aziende più critiche dal punto di vista del phishing (banche, ad esempio) sembra si comporti correttamente, almeno dal punto di vista dell’uso della posta elettronica. Al contrario, un uso improprio della posta elettronica lo vedo frequente da parte di aziende e associazioni statunitensi, comprese alcune associazioni che dovrebbero avere una certa cultura della sicurezza… se vi occupate di sicurezza, provare a far caso a quante delle mail vi arrivano dalle diverse associazioni fanno riferimento a siti con indirizzi del tutto scollegati dal portale principale dell’associazione. In qualche caso, non è neppure possibile raggiungere lo stesso indirizzo se, non fidandosi della mail, si decide di raggiungerlo dal portale ufficiale dell’associazione.

Come dicevo, l’utente non ha alcun onere se non di ignorare le istruzioni del messaggio di posta. L’azienda però, oltre all’uso corretto della posta elettronica, per ridurre i problemi di phishing ne ha altri, . Cominciano infatti a diffondersi gli attacchi di man-in-the-middle, (in effetti, questa è la logica del pharming) contro i quali la maggior parte dei siti, anche nostrani, è impreparata.

Vediamo quindi un’azienda virtuosa, di nuovo Cartasì. Se io voglio autenticarmi sul portale di Cartasì, mi viene presentata una pagina di login interamente su https (ovvero, usando SSL/TLS). Il mio browser, Firefox, è contentissimo: mi avverte con un popup (se è settato per farlo), cambia il colore della barra dell’URL e nella barra in basso, quindi fuori dalla pagina, mi mostra un lucchetto chiuso. Nei limiti in cui le Certification Authority accettate dal mio browser sono affidabili, e dell’uso corretto di SSL da parte del sito, attacchi di man-in-the-middle non sono praticabili: ad esempio, eventuali manomissioni del DNS mi porterebbero su una pagina che, non avendo un certificato per il dominio cartasi.it, non si potrebbe presentare con gli stessi messaggi tranquillizzanti da parte di Firefox; come minimo, avrei un pop-up che mi avverte dell’uso di un certificato anomalo. Lo stesso fanno siti come Amazon o Paypal, quest’ultimo parte direttamente con una home page in https.

L’uso comune, purtroppo anche in Italia, è invece avere una home page in http con un frame per l’autenticazione. Magari c’è uno spreco di lucchettini dorati disegnati nella pagina, ma il browser rimane inerte: niente popup di avvertimento, niente cambio di colore della barra, niente lucchetto chiuso a pié di finestra. Eppure, normalmente quel frame di autenticazione invia i dati in https… ma il browser non rassicura. Questo perché il frame è parte di una pagina http (quindi in chiaro), e quindi il browser non può indicare una pagina sicura, perché la maggior parte della pagina non lo è; di conseguenza, non si distinge a vista da una che, in seguito ad un attacco di man-in-the-middle, i dati li invia su http, in chiaro. Naturalmente, se controllate le proprietà di quel singolo frame, dovreste (sperabilmente) vedere che quel frame è effettivamente https, ma sappiamo che non è realistico chiedere all’utente medio di fare un controllo di questo tipo. Il problema quindi è che se fosse in corso un attacco di man-in-the-middle, quel frame potrebbe utilizzare http normale (non https) senza che l’utente se ne accorga. Viceversa, con il sistema usato da CartaSì, si vedrebbe la differenza nel comportamento del browser… in effetti, tutta la logica dei lucchetti, dell’https e dell’SSL stesso sono nati proprio per poter rendere evidente in questo modo la differenza fra una pagina sicura e una che non lo è.

Insomma, non basta usare https da qualche parte per avere un servizio sicuro. Un uso corretto, come quello del sito di CartaSì, ha molte più probabilità di resistere in futuro a tentativi di phishing e pharming di quante non ne abbia un sito medio.

A scanso di equivoci, non ho niente a che fare con la realizzazione del sito di CartaSì, né ho mai lavorato per CartaSì 😉

Posted in Sicurezza | Comments Off on Difendersi dal phishing: l'esempio di CartaSì

La guida pratica del garante per le PMI

Posted on August 7, 2007 by claudio

Ho avuto finalmente tempo di leggere la “Giuda pratica e misure di semplificazione per le piccole e medie imprese” pubblicata a giugno dal Garante per la protezione dei dati personali. Si tratta in partica di una FAQ di una ventina di pagine sugli adempimenti per l’adeguamento di PMI alla normativa. Come tale, non contiene novità o chiarimenti particolari. La parte più utile è probabilmente la checklist degli adempimenti alla fine del documento.

Niente che possa interessare chi si è già occupato del tema quindi, ma chiaramente il destinatario del documento è invece il titolare della PMI che deve decidere cosa fare per adeguarsi. Come tale, l’ovvia considerazione è che il documento sarebbe dovuto uscire almeno due anni fa: avrebbe aiutato i titolari di PMI a capire cosa fare, evitando l’equivalenza “misure di sicurezza = DPS”, avrebbe forse evitato il proliferare di consulenti improvvisati, e avrebbe probabilmente evitato la sensazione di “grande massa di adempimenti inutili” che ha poi portato all’iniziativa di qualche tempo fa per  escludere le PMI dagli adempimenti sulla sicurezza.

Posted in Sicurezza, Varie | Comments Off on La guida pratica del garante per le PMI