Provincia di Roma: Zero Digital Divide... e zero sicurezza
Parliamo ancora di wireless e sicurezza.E' dal 2003 che Movimento Costozero propone la messa a disposizione, da parte delle amministrazioni pubbliche, delle scuole, delle università, delle associazioni culturali, di punti di libero accesso wireless ad Internet:
a) pubblici;
b) a banda larga;
c) gratuiti;
d) senza limiti di tempo;
e) per la navigazione su siti istituzionali, amministrativi, informativi e culturali.
Adesso la Provincia di Roma sembra che stia aprendo la strada a questo tipo di sviluppo tecnologico (non parlerei di lotta al digital divide dato che un hot spot copre un'area molto limitata).
Bisogna fare, però, alcune considerazioni relative alla sicurezza.
La nostra proposta, da intendersi su scala nazionale, prevede, da una parte, un accesso alla rete senza limiti di tempo (e questo non piace molto agli operatori di telecomunicazioni), dall'altra, un collegamento limitato a siti istituzionali, amministrativi, informativi e culturali.
La Provincia di Roma al momento offre, invece, 1 ora giornaliera di libera navigazione su Internet:
Per accedere alla rete basta recarsi in una delle aree Provincia Wi-Fi muniti di un PC portatile, uno smart phone, o un qualsiasi altro dispositivo dotato di un'interfaccia Wi-Fi. La rete Provincia Wi-Fi, in via sperimentale, da la possibilità di avere un'ora di connessione gratuita al giorno.
Connettendosi alla rete wireless rilevata automaticamente dal proprio dispositivo, e dopo aver lanciato il browser internet per navigare, apparirà la pagina di autenticazione.
Se si è già registrati al sistema basterà inserire le proprie credenziali per iniziare a navigare.
Per chi, invece, è un nuovo utente sarà necessario registrarsi gratuitamente in pochi minuti, dunque compilare il modulo elettronico in tutti i suoi campi, fornendo un numero di cellulare valido, il proprio codice fiscale e gli estremi di un documento d'identità.
Una volta ultimata la registrazione il sistema richiederà di effettuare, una chiamata, anch'essa gratuita, con il cellulare segnalato all'atto della registrazione; un server verificherà la validità del contatto e fornirà le credenziali all'utente.
Sembrerebbe tutto molto easy, sicuro e magari anche in linea con il Decreto Pisanu.
Ma, in realtà, il sistema presenta dei problemi di sicurezza molto grossi, che renderebbero lo stesso Decreto perfettamente inutile: chiunque può, con semplici strumenti come, ad esempio, questo, carpire le credenziali altrui e accedere alla rete per commettere crimini informatici "firmati" da ignari cittadini.
Bisogna metterci una pezza.
posted by k2 @ 12:18 PM
![[logo] Movimento Costozero](http://www.costozero.org/wai/img/simbolo.png "[logo] Movimento Costozero")
![[banner] Scarichiamoli!](http://www.scarichiamoli.org/images/120x90.png "[banner] Scarichiamoli!")
2 Comments:
La verità è che in Italia siamo con le pezze al culo! :)
Chi conosce bene la sicurezza informatica sa che l'anello debole è spesso l'essere umano.
Chi ha provato il servizio, si sarà accorto che le pagine di registrazione e quelle di autenticazione sono accessibili unicamente mediante https ed che il certificato utilizzato è firmato da una CA riconosciuta praticamente da tutti i browser disponibili.
Se c'è un utente che non è in grado di riconoscere una pagina "sicura" da una "non sicura" probabilmente non sarà nemmeno in grado di evitare il phishing e dare il proprio codice per le disposizione online al primo che gli manda una mail fatta bene... e, converrete, Airsnarf è phishing.
Certo sarebbe bello aver potuto utilizzare 802.1x, magari dando un certificato X509 invece delle credenziali utente... tuttavia quando si deve organizzare un così vasto servizio al pubblico qualche riflessione a tavolino bisogna farla: chi userà il servizio? che dispositivi accederanno alla rete?
Vi siete mai chiesti come mai la maggior parte dei servizi di connettività wifi aperti al pubblico utilizza solo il captive portal come meccanismo di accesso alla rete?
La verità è che la pezza andrebbe messa sulla bocca dei terroristi informatici.
Posta un commento
<< Home