Autenticazione ed Anonimato su Internet

Ieri sera sono stato ad un dibattito pubblico a Firenze e mi sono imbattutto in un tema che probabilmente richiede un approfondimento: l’anonimato è una risorsa per Internet od un pericolo?

La risposta non è semplice. Vi prego di leggere quanto trovate qui di seguito e di farvi una vostra idea.

Che roba è la “Autenticazione”?!

L’autenticazione è il processo attraverso il quale l’utente di un servizio si lascia identificare. Quando digitate username e password per accedere alla vostra casella di posta vi state autenticando rispetto al server di posta. Quando presentate i vostri documenti per acquistare un’automobile, vi state autenticando rispetto al concessionario (e, indirettamente, rispetto allo Stato italiano).

Esistono mille modi diversi di autenticare un utente, dalla coppia username/password a sistemi che coinvolgono gadget di vario tipo. Si tratta però sempre di autenticazione.

Le reti P2P

Le reti P2P (Peer To Peer) sono reti paritetiche in cui non esiste un organismo centrale di controllo e di gestione. Possono essere costruite ritagliando uno spazio P2P all’interno di internet con appositi programmi, come fa eMule, oppure possono essere completamente separate da Internet, come Netsukuku e FONera (entrambe basate su wi-fi).

Nelle reti P2P non esiste un organismo centrale di controllo che assegna le identità (i “numeri di telefono” od i “nickname”) agli utenti. Ogni utente è libero di scegliersi una nuova identità ad ogni connessione. L’anonimato è quindi una caratteristica intrinseca di questo tipo di reti (una caratteristica che viene spesso enfatizzata con apposite tecniche crittografiche).

Di conseguenza, ogni tentativo di identificare gli utenti di una rete P2P è sostanzialmente privo di senso.

Può sembrare che questa affermazione venga smentita dal successo delle indagini della polizia postale contro i “pirati digitali” e contro i pedofili ma non è così. La polizia riesce ad identificare questi utenti a causa di alcune vulnerabilità che sono presenti nel “contenitore Internet” che ospita queste reti. In altri termini, è Internet ad essere vulnerabile, non la rete P2P che è stata creata al suo interno. Più esattamente, è il sistema di routing gerarchico di Internet ad essere vulnerabile a questo tipo di analisi. Quando la rete P2P è implementata in modo corretto e, ancora di più, quando si tratta di una rete P2P esterna ad Internet (una P2P wireless come Netsukuku) è impossibile scoprire l’identità dei suoi utenti (a meno che non si disponga di un controllo pressochè totale dell’ambiente e di mezzi tecnici degni del servizio segreto di una potenza del G8).

Le reti P2P, però, sono degli oggetti logici completamente separati da Internet. Questo è vero anche quando sono ospitate da Internet stessa, come avviene per eMule. Per esempio, un utente di eMule può scaricare materiale (file musicali MP3, film DivX, testi PDF e persino pagine web HTML) da un altro nodo eMule ma per accedere ad una pagina HTML di un normale sito web, come Google, avrebbe bisogno di un apposito ponte (“bridge” o “gateway”) o, più semplicemente, deve abbandonare eMule ed usare il proprio browser web (Internet Explorer, Firefox, etc.).

Si noti che un utente di una rete P2P cifrata ed anonima, anche di tipo “forte” come Netsukuku o ANTs P2P, può benissimo decidere di attraversare la rete P2P, uscire su Internet sfruttando un apposito bridge, raggiungere il sito web della sua banca, autenticarsi (“identificarsi” con username e password) e svolgere le normali operazioni come se la rete P2P non esistesse. L’autenticazione dell’utente, infatti viene effettuata dal server della banca, nel momento in cui l’utente chiede di accedere ai suoi servizi. Questo avviene indipendentemente dal modo in cui l’utente ha raggiunto questo server (via P2P anonima o via Internet “liscia”). Per quello che riguarda l’home banking, infatti, l’utente NON viene autenticato nel momento in cui si collega ad Internet od alla rete P2P ma solo al momento in cui si collega al server della banca. Questo vale per qualunque tipo di server, non solo per l’home banking. É una caratteristica intrinseca di Internet. Ogni server si occupa in proprio della autenticazione degli utenti, secondo le sue necessità.

Internet

In realtà, però, un utente si deve quasi sempre autenticare per poter accedere ad Internet. Ad esempio, l’utente casalingo viene identificato nel momento in cui il suo modem tenta di collegarsi al punto di accesso messo a disposizione da Telecom, Vodafone o da un altro fornitore (via cavo o via radio). Questo è inevitabile per ragioni contrattuali (a qualcuno bisogna pur fatturare il servizio). Ovviamente, dato che l’identità dell’utente è nota al momento in cui si collega al punto di accesso, è nota anche quando compie qualunque altra azione. Potrebbe quindi sembrare che questa autenticazione possa essere poi riutilizzata da qualunque sito o servizio che si raggiunge durante la navigazione.

In realtà non è così. Ogni servizio ha esigenze diverse per quanto riguarda l’autenticazione. Comprare un biglietto del treno è diverso da fare un bonifico o trattare titoli di borsa e richiede quindi una autenticazione diversa. Inoltre, l’autenticazione che si effettua al momento della connessione al punto di accesso è inaffidabile.

Il fornitore di accesso, infatti, può sapere solo da quale computer arriva la chiamata, non da quale utente. Chi sia relamente seduto dietro al PC è qualcosa che non può sapere. In particolare, molti utenti si collegano ad Internet usando la connessione di altri, ad esempio la connessione dall’azienda per cui lavorano o una connessione wi-fi lasciata aperta da qualche utente sprovveduto.

Infatti, se non è il gestore del server usato come punto di accesso a preoccuparsi di identificare in modo univoco gli utenti che si collegano ad Internet attraverso di esso, stabilire la reale identità dell’utente “a valle” diventa un compito quasi impossibile. Si tratta quindi di una responsabilità che ricade sui gestori dei punti di accesso.

Questo può spiegare perchè ogni tanto qualcuno chieda di stabilire un obbligo di autenticazione personale per qualunque tipo di accesso ad Internet, magari basato sull’uso di una “carta d’identità digitale” o su qualche sistema di Single Sign-On (SSO).

Un sistema del genere, però, porterebbe alla schedatura generalizzata, ingiustificata e pericolosa di tutti i cittadini e viene ovviamente osteggiato da tutti i difensori dei diritti civili.

I server

come abbiamo detto, l’autenticazione degli utenti viene sempre effettuata, quando è necessario, dallo specifico server che ne ha bisogno. Quando vi collegate al server di home banking di FINECO, è il server di FINECO a chiedervi username e password, non Internet, non Telecom e non qualcun altro.

Il modo in cui viene effettuata l’autenticazione dipende dal server. In alcuni casi bastano username e password. In altri è necessario un apposito gadget di qualche genere.

Di conseguenza, è sul server che si possono stabilire delle regole di accesso. È a questo livello che ha senso discutere di chi debba avere accesso a cosa. Questo è il luogo logico e giusto per implementare delle regole.

È logico perchè l’implementazione di queste regole di acceso avviene solo là dove è realmente necessario, secondo le necessità del caso. Questo semplifica enormemente la creazione e la gestione dell’intero sistema.

È giusto perchè in questo modo l’autenticazione dell’utente ha luogo solo quando è realmente necessaria. Non porta ad una schedatura generalizzata dell’intera popolazione.

Anonimato in lettura

Normalmente, tutte le operazioni che comportano la fruizione passiva di un servizio, come la lettura di un articolo, la visione di una foto o di un filmato, possono essere effettuate senza autenticarsi.

Questo è logico e giusto.

È logico perchè, in ogni caso l’utente non può compiere azioni che coinvolgano altre persone, non può fare danni e quindi non c’è bisogno che si assuma alcuna responsabilità per ciò che sta facendo. Rischia solo del suo (e molto poco, anche).

È giusto perchè la possibilità di “consumare” informazioni e servizi in modo anonimo è l’anima stessa della democrazia (e del commercio).

Nessuno vi chiede i documenti prima di vendervi “Il Manifesto” o “Libero”. Nessuno vi chiede i documenti prima di farvi entrare in un bar od in un cinema (fatti salvo gli obblighi per i minori).

Non c’è quindi ragione che vi si chiedano i documenti prima di lasciarvi leggere un blog.

Autenticazione per la scrittura

Quasi sempre, invece, è necessario autenticarsi prima di poter svolgere qualunque operazione “attiva” che possa coinvolgere altre persone. Ad esempio, è quasi sempre necessario autenticarsi prima di pubblicare un documento su un sito web (perchè potrebbe contenere diffamazioni, calunnie ed ingiurie a danno di altre persone).

Questo è logico e giusto.

È logico perchè, in questo caso, l’utente ha la possibilità tecnica di danneggiare altre persone e quindi è necessario che si assuma le proprie responsabilità. Soprattutto, è necessario evitare che egli lasci ricadere le proprie responsabilità su altre persone come, ad esempio, il fornitore di accesso o l’editore del sito.

È giusto perchè la possibilità di far risalire una determinata azione ad una persona ben precisa è l’anima stessa della giustizia e della convivenza civile. Questa possibilità di tracciamento è alla base del nostro concetto legale di “responsabilità personale” senza il quale una società civile non può funzionare.

Pubblicazione anonima

In alcuni casi, sarebbe auspicabile che fosse possibile pubblicare documenti senza rivelare la propria identità. Ad esempio, un impiegato di Parmalat che fosse stato al corrente dell’imminente crack avrebbe potuto usare questa tecnica per avvisare i piccoli investitori.

Queste situazioni sono però una eccezione e sono suscettibili di gravi abusi.

Che succederebbe, ad esempio, se qualcuno pubblicasse anonimamente un documento in cui vi accusa in modo convincente di essere un pericoloso pedofilo? Come riuscireste ad evitare che i vostri vicini di casa vi ammazzino a bastonate?

Per questa ragione, in tutto il mondo, la pubblicazione anonima è regolata in modo molto severo. In generale, è permesso pubblicare un documento in modo anonimo solo nella misura in cui l’editore è comunque al corrente dell’identità dell’autore e si fa garante in prima persona di ciò che viene pubblicato. In altri termini, l’anonimo si fa scudo del suo editore. Su Internet questo significa che comunque il gestore del sito deve comunque essere in grado di rintracciare l’autore di un documento, come fa abitualmente Wikipedia. Si tratta quindi di “pseudo-anonimato” o “pseudonimato”.

Questo vale anche per la fruizione di alcuni servizi e per lo svolgimento di alcune attività. In generale, sia nella vita reale che su Internet, è possibile agire in modo “anonimo” solo nella misura in cui qualcun altro accetta di fare da scudo.

Questo è il meccanismo su cui si basa il rapporto informatore/giornalista/editore negli Stati Uniti (NON in Italia).

Questo è logico e giusto.

Non vi sto a spiegare il perchè. Sono sicuro che ci arrivate da soli.

Internet e Minori

Il meccanismo che abbiamo descritto spiega anche perchè si comincia a chiedere di limitare l’accesso “in scrittura” dei minori ad Internet.

Leggere un articolo o guardare delle foto destinate ad un pubblico adulto può essere diseducativo, o persino scioccante, per un minore ma comunque non può produrre altri danni che quelli psicologici e culturali, che sono relativamente facili da rimediare e che, comunque, dovrebbero essere prevenuti dalla presenza dei genitori.

Pubblicare documenti, foto, filmati, file audio o svolgere azioni come acquistare/vendere oggetti o cose simili, può avere delle conseguenze molto, molto più gravi sia per chi compie queste azioni (il minore), sia per chi ne esercita la patria potestà (i genitori), sia per chi ne subisce le conseguenze.

Si comincia quindi a chiedere di limitare l’accesso in scrittura di tutti od una parte dei siti web ai soli adulti. In alcuni casi, si comincia a chiedere di limitare anche l’accesso in lettura ad alcuni tipi di siti ai soli adulti.

Per poter implementare una logica di questo tipo, tuttavia, sarebbe necessario un sistema che permetta di determinare con certezza l’identità e l’età dell’utente. In altri termini, ci vorrebbe una specie di “carta d’identità” usabile sul web e su Internet.

Un sistema del genere sarebbe sostanzialmente un sistema di Single Sign-On globale e presenterebbe due gravissimi problemi.

Il primo è che è estremamente difficile creare un sistema del genere che sia realmente sicuro ed affidabile.

Il secondo è che, comunque, questo vorrebbe dire schedare tutti i cittadini in modo indiscriminato.

La soluzione, banale, che stanno usando molti siti USA è quella di mettere a disposizione questi servizi solo a pagamento. Si chiede sempre e comunque un versamento, piccolo o grande che sia, da effettuare con una carta di credito. In questo modo si garantiscono due cose fondamentali.

La prima è che l’utente (magari un minore) deve comunque procurarsi una carta di credito. Quindi, o va in banca e fa certificare la sua maggiore età e la sua l’identità alla banca stessa, oppure chiede la carta ad un adulto che in questo modo ne diventa garante.

La seconda è che in questo modo ogni azione compiuta dall’utente (che forse è un minore) lascia una traccia sul conto corrente e diventa visibile al vero proprietario della carta (magari un padre poco attento al proprio portafogli).

Purtroppo, questa soluzione ha il risvolto negativo di rendere vulnerabile l’utente a tutta una serie di truffe, di attacchi e di altri pericoli che coinvolgono la sua carta di credito ed il suo conto corrente.

Conclusioni

Il rapporto tra anonimato, sicurezza ed Internet è un rapporto complesso e sfaccettato che deve essere esaminato con attenzione ogni volta che si devono prendere decisioni.

L’unica cosa certa è che le soluzioni manichee non sono applicabili. Non si può sostenere che “l’anonimato è un valore per Internet” e non si può chiedere l’implementazione di un sistema di autenticazione globale per Internet.

Sono necessarie delle soluzioni ragionate e mirate da applicare ad alcuni singoli casi.

Il primo di questi casi credo che sia quello dei minori. Non è facile affrontare e risolvere questo problema. Tuttavia, è importante che si arrivi a capire che si tratta di risolvere un problema specifico, non di “assolvere” o “condannare” una tecnologia complessa e multiforme come Internet nel suo complesso.

Alessandro Bottoni

alessandro.bottoni@infinito.it

www.alessandrobottoni.it

Gli effetti collaterali di Sarkozy

Ormai, questa notizia dovrebbe avervi raggiunto:

“Martedì 12 maggio l’Assemblea Nazionale Francese ha deliberato una norma che prevede dure sanzioni per chi usa programmi “peer to peer”, ossia che permettono di scaricare gratuitamente musica e film dalla rete web, fino a prevedere la sospensione dall’accesso a internet in caso di recidiva.”

“La legge prevede la costituzione di una nuova autorithy con il compito di ammonire i pirati, che verranno privati dell’utenza internet in caso di recidiva. Il soggetto sarà obbligato a continuare a pagare l’abbonamento.”

[Da “Attacco ai diritti in rete” su L'Altro di oggi]

Ne parla, tra gli altri, anche Gaia Bottà di Punto Informatico:

“Roma – L’Assemblée Nationale si è espressa, poco più della metà dei parlamentari francesi vuole che la pirateria sia combattuta a suon di avvertimenti e di disconnessioni. Ghigliottine siano.”

[Da: “La dottrina Sarkozy è quasi legge” su PI di oggi]

Ho già spiegato in varie occasioni che queste misure sono completamente inefficaci (sia perchè sono facilissime da aggirare, sia perchè esistono anche altri canali di approvvigionamento, oltre ad Internet). Lo rispiegherò domani in un nuovo articolo su PI che elenca e descrive gli strumenti di evasione che sono già disponibili o che lo saranno tra breve.

In questo articolo, mi concentrerò solo sugli “effetti collaterali” di questa assurda lotta alla “pirateria”.

[Prima di dire delle cazzate, rendetevi conto del fatto che parlo con piena cognizione di causa: seguo questa faccenda da mesi ed ho contatti quotidiani con alcuni parlamentari europei che la seguono sul posto. Ho già scritto decine di articoli su questi temi ed opero come consulente su questi temi per le aziende da anni. So com'è fatto questo mondo, sia visto da davanti che da dietro i firewall.]

Addio alla riservatezza

Il disegno di legge presentato da Sarkozy in Francia ed il famigerato Telecoms Package presentato dalle multinazionali al parlamento europeo hanno, tra gli altri, questo punto in comune: entrambi prevedono la possibilità (anzi: inizialmente si prevedeva l’obbligo) degli ISP di sorvegliare ed analizzare il traffico di rete degli utenti in cerca di tracce di “reato”. Il progetto originale di entrambi i progetti prevedeva addirittura che gli ISP dovessero agire sotto il controllo diretto delle Major.

In altri termini, degli enti privati (e certamente NON super partes) avrebbero avuto il potere di intercettare le comunicazioni degli utenti (e di infliggere delle sanzioni) SENZA dover passare per un giudice.

Questa misura è palesemente anticostituzionale (e folle) ma ha veramente rischiato di essere approvata. Persino nella sua forma attuale, approvata dal Parlamento Europeo e dall’Assemble Nazionale Francese, prevede comunque che le Major e gli ISP possano analizzare il traffico degli utenti per cercare trace di traffico P2P, con il solo vincolo di non agire in combutta.

Quelli che festeggiano queste misure illiberali e fasciste al grido di “Meglio! Così ci sarà più banda libera per gli usi seri della rete!” e cose simili dovrebbero riflettere su un fatto: sarà anche il LORO traffico ad essere sorvegliato in questo modo, da parte di enti privati che agiscono senza nessun controllo da parte delle autorità dello stato.

Addio alla neutralità della rete

Il progetto del Telecoms Package già approvato nei giorni scorsi prevede che gli ISP (Telecom, Vodafone, etc.) possano far passare il traffico a loro gradito e rallentare o bloccare del tutto quello a loro sgradito, sulla base di criteri di selezione che loro stessi stabiliscono e su cui nessuno (nemmeno lo Stato, nemmeno Dio in persona) ha potere di sindacare. La legge fatta approvare a suon di bastonate all’Assemblea Nazionale Francese da Sarkozy implementa questa follia sul territorio francese. L’unico obbligo previsto per i provider è quello di informare gli utenti.

Questo vuol dire che tutti i provider bloccheranno completamente e da subito tutto il traffico P2P, non importa se legale o illegale, al solo scopo di sfruttare meglio le loro risorse di banda e di promuovere la vendita dei loro contenuti commerciali al posto di quelli “liberi” (od “illegali”) che sono disponbili sulle reti P2P.

Non solo: è ovvio che gli ISP rallenteranno o bloccheranno del tutto anche tutti i tipi di traffico che permettono agli utenti di accedere a prodotti e servizi, sia commerciali che gratuiti, diversi da quelli inclusi nelle loro offerte commerciali. Se Telecom Italia include la TV nel suo pacchetto Alice, ovviamente ha tutto l’interesse a bloccare l’accesso alle altre televisioni del web, sia commerciali che gratuite. Se Vodafone include il suo sistema VoIP nella sua offerta, ha tutto l’interesse a bloccare il traffico di Skype e degli altri sistemi VoIP.

Ora, grazie al Telecoms Package lo possono fare, senza limiti, senza criteri prestabiliti e senza dare spiegazioni a nessuno. Devono solo scriverlo nel contratto (anche scritto in piccolo ed in ostrogoto tecnico arcaico, non ha importanza).

Coloro che esultano al grido di “In galera i pirati!” si preparino a pagare per ogni singolo bit che muoveranno su Internet nei prossimi anni. Ed a pagare salato, molto salato.

Addio al giusto processo

Sia il Telecoms Package che il disegno di legge di Sarkozy prevedevano che gli ISP, su ordine delle Major, dovessero avvertire per tre volte gli utenti sospettati e poi staccare loro la connessione, continuando a far pagare il servizio che non era più disponibile.

Tutto questo SENZA la supervisione di un giudice e SENZA bisogno di alcun mandato. In altri termini, a degli enti di diritto privato (delle aziende e dei privati cittadini, come voi e me) veniva concesso il diritto di agire con la stessa autorità di un giudice di uno stato sovrano!

L’utente non avrebbe avuto nessun modo di difendersi dall’accusa di essere un pirata. Non avrebbe potuto ricorrere in appello da nessuna parte.

Non ci credete, vero? Eppure è andata proprio così. INFORMATEVI.

Per fortuna, il Parlamento Europeo ha già ribadito per ben tre volte che per infliggere delle sanzioni agli utenti (come la disconnessione) è necessario il mandato del giudice. Il pericolo non è però del tutto scongiurato. Al parlamento Europeo se ne riparlerà a Settembre 2009. All’Assemblea Nazionale Francese se ne riparlerà tra pochi giorni.

Nel frattempo, le Major e gli ISP, in virtù di quanto detto al punto precedente, possono comunque facilmente aggirare il problema bloccando il traffico sgradito agli utenti.

Coloro che esultano al grido di “in galera i pirati” dovrebbero riflettere su questo fatto: non saranno loro a decidere chi è pirata e chi no. Saranno le Major, sulla base di criteri e di prove del tutto discutibili, senza nessun controllo e senza che l’utente possa reagire in alcun modo.

Questi imbecilli si potrebbero facilmente trovare nella posizione di essere accusati di pirateria (proprio loro! Che sono cosi onesti!), di vedersi tagliare la connessione e di essere costretti a pagare l’abbonamento senza poter fare appello a nessuno, senza poter far capire a nessuno che loro non c’entrano, che è colpa di qualcun altro. Oltre al danno, avranno anche la beffa di aver sostenuto queste follie illiberali quando era il momento di constrastarle.

Addio ai prezzi bassi

Tutto questo, ovviamente, significa nuove possibilità di marketing per le aziende. Si potranno elaborare offerte commerciali differenziate e scalari come nel seguente esempio.

1. Tariffa base (paghi poco e non vai da nessuna parte): solo web e posta a 19 euro al mese.

2. Tariffa special (paghi relativamente poco e puoi fare qualcosa in più): web, posta, accesso alle web radio ed alle web TV gratuite a 29 euro al mese.

3. Tariffa premium (paghi molto ed ottieni quello che sembra essere molto): web, posta, web radio, web TV più le web TV commerciali (pacchetto “base”) a 39 euro al mese.

Ovviamente, quello che si può avere adesso (TUTTO) al prezzo di oggi (al massimo 39 euro al mese, per una 20Mb/sec) non lo si potrà più avere in nessun caso.

Questo significa un drastico aumento dei prezzi senza nessun vantaggio rispetto alla situazione attuale. Anzi: con molti limiti in più.

Coloro che esultano al grido di “più banda per noi!” dovrebbero riflettere sul fatto che queste nuove politiche di marketing li costringeranno quasi certamente a pagare qualcosa di più per dei servizi che ora usano gratuitamente, in cima alla lista la telefonia VoIP (Skype).

Una Spada di Damocle per i genitori

Si sa: i figli, specialmente se piccoli e ribelli, hanno la tendenza all’evasione dalle regole od alla trasgressione. Con le nuove leggi che si tenta di far approvare a livello nazionale ed europeo, per ogni errore che VOSTRO figlio cometterà, VOI resterete senza connessione ADSL (e continuerete a pagare il canone). Non solo: rischiate di pagare centinaia di euro di danni alle Major per ogni singolo brano scaricato abusivamente. Su un CD ci stanno centinaia di brani MP3. Questo vuol dire che un singolo CD da 700 Mb vi può costare di soli danni qualcosa come decine (o persino centinaia) di migliaia di euro. Praticamente, come un grossa auto o come una casa.

Coloro che esultano al grido “In galera i pirati!” devono solo sperare che i loro figli non decidano mai di sottrarsi al loro controllo e fare una scappatella nei posti sbagliati di Internet.

Se vi sembro un terrorista mediatico, INFORMATEVI:

http://punto-informatico.it/2019481/PI/News/p2p-logistep-al-lavoro-migliaia-nel-mirino.aspx

http://punto-informatico.it/1925032/PI/News/p2p-identificati-quasi-4mila-utenti-italiani.aspx

Addio alla libertà di espressione

Chi decide cosa un singolo utente più vedere e/o pubblicare e/o fare e/o dire su Internet?

Secondo il Telecoms Package e secondo il disegno di legge Sarkozy, sono le Major e gli ISP a decidere queste cose, in modo autonomo ed insindacabile, agendo sui rubinetti del traffico.

Se una persona non arriva a capire da sola quale minaccia sia per la libertà, per la democrazia e per la giustizia una simile norma di legge, non c’è speranza che glielo si possa spiegare.

Conclusioni

Non fatevi riconoscere per gli ingenui che siete esultando per queste leggi autoritarie. Queste leggi NON sono contro i pirati. I pirati se ne fregano altamente. Ve lo dice un pirata “certificato”.

Queste leggi sono contro di VOI. Sono contro la riservatezza delle VOSTRE comunicazioni. Sono contro la VOSTRA libertà di espressione. Sono contro la VOSTRA libertà di scelta sul mercato. Sono contro i VOSTRI diritti e la VOSTRA sicurezza. Queste leggi mirano a spillare ancora altri soldi dalle VOSTRE tasche ed a metterli nelle tasche degli ISP, delle Major e degli intermediari, non in quelle degli autori. Ve lo dice un autore (che vive scrivendo software ed articoli per i giornali).

Non fatevi abbindolare da queste azioni propagandistiche e demagogiche.

Alessandro Bottoni

info@alessandrobottoni.it

www.alessandrobottoni.it

La Pubblica Amministrazione e l’Innovazione Tecnologica

Come potete facilmente immaginare, io voglio innovazione. Tanta innovazione. Specialmente nella Pubblica Amministrazione (PA). Voglio questa innovazione per ridurre i costi ma, soprattutto, per ridurre i disagi ai cittadini.

Renato Brunetta, che pure è criticabile per altri aspetti, sta facendo un lavoro coraggioso ed ammirevole in questo senso.

Si, avete letto bene: il comunista Alessandro Bottoni ha appena detto che il “destro” Renato Brunetta sta lavorando bene. Lo confermo. Se questo mio riconoscimento per il lavoro degli altri vi crea dei problemi, potete telefonare ad uno psicologo e prendere un appuntamento. Vi aiuterà a capire che nessuna società può sopravvivere a lungo senza un minimo di onestà intellettuale e di riconoscimento reciproco.

Torniamo a noi. Brunetta sta facendo un buon lavoro. Probabilmente sta facendo del suo meglio. Tuttavia, anche Brunetta e Sacconi continuano a cadere in una trappola ideologico/tecnologica che affligge la PA da molti anni e che ha avuto tra le sue vittime anche molti illustri esponenti della sinistra.

Questa trappola è quella della “sovraingegnerizzazione”.

La Carta d’Identità che fa anche il caffè

Come probabilmente sapete, da qualche anno a questa parte dovrebbe essere in distribuzione un nuovo tipo di carta di identità elettronica, la cosiddetta CIE. La CIE avrebbe dovuto essere una “credit card”, simile a quella che vi fornisce la banca, ed avrebbe dovuto avere il solo scopo di certificare la vostra identità in modo non falsificabile. A questo scopo, doveva avere la vostra foto stampata sulla carta ed al suo interno, in un apposito chip, avrebbero dovuto essere memorizzate le vostre impronte digitali.

Oltre a questo, la CIE avrebbe potuto contenere alcune altre informazioni utili in caso di emergenza (gruppo sanguigno, allergie, etc.).

Nel corso del tempo, ed a causa di richieste provenienti da altre amministrazioni, la CIE è poi passata dal suo ruolo specifico originario (certificare l’identità personale) ad un ruolo più vasto e generico (agire da “fascicolo personale” per molte amministrazioni).

Ed è qui che è successo il guaio.

Il fallimento della CIE e l’avvento della CNS

Voi avete ricevuto la vostra CIE? Io no. Sono andato all’anagrafe di Ferrara qualche giorno fa per fare i documenti della candidatura e quando mi sono azzardato a citare la CIE gli impiegati si sono quasi messi a ridere. Niente CIE a Ferrara. Niente CIE in gran parte del paese.

Ci sono un sacco di problemi con l’integrazione dei sistemi informatici delle diverse amministrazioni pubbliche coinvolte e, come se non bastasse, ci sono molte perplessità su cosa dovrebbe essere effettivamente memorizzato dentro la CIE e su chi, come, dove e quando dovrebbe essere in grado di accedere a questi dati. Il risultato finale è che al posto della CIE si utilizza la Tessera Sanitaria (TS) che, almeno, in teoria, doveva servire solo per accedere ai servizi della AUSL (che, peraltro, non possono essere negati a nessuno, sia esso in possesso della TS o meno). Insomma una carta quasi completamente inutile, come la TS, ha finito per soppiantare la CIE. In realtà, questa transizione è stata persino formalizzata da una legge che prevede che, al posto della CIE, si utilizzi la Carta Nazionale dei Servizi, di cui la TS è una variante specifica.

Si poteva fare più casino di così?

Il Fascicolo Personale di Sacconi

Si poteva. C’ha pensato il Ministro del Welfare Sacconi che, con la sua idea del Fascicolo Personale Elettronico, ha praticamente creato un clone della CIE e della CNS, ripercorrendo esattamente gli stessi errori.

Lezioni apprese

Gli errori commessin da chi ha progettato le nostre carte sono tre.

Il primo, gravissimo, riguarda il nostro Codice Fiscale (CF). Come sapete il nostro CF è calcolato sulla base di dati pre-esistenti. Questo permette a chiunque di calcolarlo e di usarlo, almeno in alcune situaizoni, per accedere ai dati di qualcun altro o per impadronirsi della sua identità.

I codici identificativi personali dovrebbero sempre essere numeri di grandi dimensioni generati a caso, come quei numeri di 14 cifre che usano le compagnie telefoniche per identificare le schede delle ricariche. In questo modo “rubare” l’identità di qualcun altro risulta quasi impossibile.

Il secondo errore consiste nel non aver previsto un modo semplice di usare queste “carte” per certificare la propria identità su un computer. Normalmente, infatti, i PC non dispongono del lettore di Smart Card. A questo bisognava pensare. Diversamente, né la CIE né la CNS né nessun’altra carta può essere usata come strumento di autenticazione per accedere ai servizi della PA in Rete (o per nessun altro scopo su Internet). Siamo nel 2009 e questo, francamente, non è più accettabile.

L’ultimo errore, ed il più grave, è consistito nel voler creare delle carte che svolgono più funzioni, spesso sovrapponendosi ad altre carte, e che quindi contengono tipi di dati diversi che spesso non dovrebbero stare sullo stesso supporto. Il Fascicolo Personale di Sacconi ne è un esempio eclatante.

La strada giusta: SSN all’americana e Bancomat

La strada giusta sarebbe stata quella, già seguita dall’amministrazione federale americana (e da molti paesi europei) di avere una carta diversa per ogni applicazione, di usare un numero causale come identificatore e di prevedere un modo per usare queste carte su Internet. Nei dettagli, la cosa doveva funzionare nel modo seguente.

Prima di tutto, bisognava creare una prima carta per certificare l’identità personale, una seconda carta per certificare il possesso della patente di guida, una terza carta per certificare il diritto di accedere al Servizio Sanitario e così via. In questo modo la separazione dei dati e dei relativi diritti di accesso sarebbe stata facile da garantire. Gestire più carte, infatti, è molto più semplice che gestirne una sola, sia dal punto di vista del cittadino che della PA.

In secondo luogo, l’identità del cittadini andava certificata usando un numero casuale che identificasse solo il suo “fascicolo” (il “record”) nel database centrale della PA interessata. In questo modo sarebbe stato quasi impossibile impossessarsi dell’identità di un altro.

Infine bisognava garantire che questo strumento fosse usabile su un PC e su Internet. Le Carte di Credito sono usabili da decenni su Internet e sono sicure. Si poteva adottare il loro modello. Oppure, si poteva richiedere che qualunque PC immesso sul mercato in Italia fosse dotato di un lettore di Smart Card (come il mio). Oppure ancora, si poteva associare alla carta un sistema di autenticazione usabile in Rete. Nelle nostre applicazioni professionali noi usiamo, tra gli altri, dei generatori di Password One-Time come questi:

http://rsa.com/node.aspx?id=1158

http://www.aladdin.com/etoken/otp.aspx

Al giorno d’oggi, in realtà, si può usare a questo scopo un telefono cellulare accreditato. Il giochino funziona così:

1. Si registra un numero di telefono da usare a questo scopo e ci si cura di avere con sé quel telefono quando si deve operare in rete.

2. Ci si collega al sito in questione e si forniscono username e password.

3. A questo punto il sistema spedisce un SMS con una password aggiuntiva e temporanea al telefono registrato.

4. L’utente legge la password e la digita sulla tastiera del PC.

In questo modo, per prendere l’identità di qualcun altro bisogna rubare sia la sua carta che il suo telefono e scoprire la sua coppia username/password.

Come potete vedere, il meccanismo di fondo è generalmente simile a quello delle Carte Bancomat: la carta contiene l’identificatore ed il PIN dimostra che voi siete il proprietario della carta (od una persona di sua fiducia). La carta non rilascia mai nessuna informazione se non viene autorizzata a farlo digitando l’apposito PIN. La riservatezza dei dati è quindi ai massimi livelli (come deve essere quando si trattano dei soldi). Bastava copiare questo meccanismo.

Un pericolo da evitare: i badge

Invece, sia sui nostri passaporti “elettronici” che in altre applicazioni si è voluta introdurre una novità del tutto superflua e molto pericolosa: la lettura a distanza, come avviene con i “badge” aziendali.

Questa possibilità apre la strada alla lettura abusiva dei passaporti elettronici che si trovano nelle tasche delle persone o nelle valigie in transito. Ne ho già parlato sul mio blog e su alcune riviste cartacee, riprendendo le informazioni di un ricercatore inglese. Vedi:

http://alessandrobottoni.wordpress.com/2009/01/23/la-sicurezza-dei-passaporti-digitali-e-biometrici/

http://rfidiot.org/

La trappola logica della biometria

In modo simile, sulla CIE si è voluto memorizzare il tracciato delle impronte digitali dell’utente. Questa misura era completamente inutile (si potevano usare molti altri sistemi per garantire che il portatore della carta fosse l’effettivo titolare) ma, in compenso, ha creato una tale serie di casini da rendere quasi impossibile la diffusione della CIE su scala nazionale.

La foto stampata sulla carta sarebbe già stata sufficiente a questo scopo.

L’aggiunta di un PIN avrebbe potuto aumentare facilmente l’attendibilità della carta (come già avviene per i Bancomat e, in alcune applicazioni, con le carte di credito).

Mettere sulla carta le impronte digitali implica solo che si debba rispondere a queste domande:

1. Che facciamo se l’utente, per sua sfortuna, ha perso le dita o le mani in un incidente? Disgraziatamente, in Italia ci sono alcune migliaia di persone che hanno perso entrambe le mani in un incidente di lavoro. Che facciamo con loro? Li escludiamo dai diritti civili?

2. Che facciamo se la “posta in gioco” diventa tale da rendere plausibile una aggressione al titolare della carta ed il taglio delle dita o delle mani? Pensate ad un direttore di banca che usa le sue impornte digitali per aprire la cassaforte…

3. Che facciamo se qualcuno riesce a falsificare le impronte? C’è riuscito recentemente persino uno dei miei collaboratori più giovani, seguendo le istruzioni trovate qui: http://www.youtube.com/watch?v=3M8D4wWYgsc .

4. Che facciamo se qualcuno ruba i tracciati e li mette su un siti web, esponendo l’intera popolazione italiana al rischio di un furto d’identità non rimediabile? Tagliamo le dita a tutti e diamo loro delle dita meccaniche?

La biometria NON fornisce sicurezza in più. Non in queste applicazioni. Fornisce piuttosto un problema in più da gestire.

Conclusioni: Agile Developement e PA

In conclusione, quello che ci serve è una PA che adotti il sano principio numero uno del cosiddetto “sviluppo agile” (“Agile Development”):

“Tu implementerai solo l’indispensabile e prima di aggiungere anche solo una riga di codice alla tua applicazione di accerterai che sia veramente necessario.”

O, per dirla in altro modo: facciamola semplice. Per incasinarci la vita c’è sempre tempo.

In questo, sia Brunetta che Sacconi, stanno sbagliando alla grande. Non si tratta ovviamente solo di un errore “ingegneristico”. Certe scelte dipendono chiaramente dalle pressioni che le varie PA stanno facendo su di loro. Purtroppo, in una democrazia a sovranità limitata come la nostra è anche lecito pensare che dietro certi “errori” ci sia in realtà la volontà di creare nuovi strumenti di controllo a danno dei cittadini e della loro libertà. Per questo bisogna essere cauti. Molto più cauti di quanto lo sappiano essere Brunetta e Sacconi.

Alessandro Bottoni

alessandro.bottoni@infinito.it

www.alessandrobottoni.it