Storia di normale amministrazione nella sicurezza informatica

Tra le altre cose, oltre a essere membro di IEEE sono anche iscritto alla “Magnetic Society” di IEEE. Mica che lo faccio volontariamente: metà della gente in quella “Society” mi sta simpatica come un attacco di raffreddore quando non hai un fazzoletto a portata di mano e non sai dove snaricciare.
È che in pratica devo esserci iscritto (quasi) per forza.

Come risultato ogni tanto mi mandano inviti per votare cariche sociali della “Magnetic Society” di cui non me ne frega niente.
Di solito cestino direttamente le email, questa volta però ho aperto per curiosità il link che mi hanno mandato per votare il comitato direttivo.

Con mia sorpresa scopro che non è sul sito di IEEE ma su di un sito di una società esterna.
Solo che per votare mi chiedono di mettere il mio nome utente e parola d’orine del mio profilo su ieee.org.

Che succede?
Questi mi chiedono di inserire le mie credenziali su di un sito di un’azienza privata.
Ma per loggarmi e poi votare questi devono verificare se le mie credenziali sono esatte. Come fanno?

Decido di scrivere ad IEEE.

Segue scambio di email con IEEE:

Spettabile “Magnetic Society”

ho cliccato sull’URL per votare ma invece di portarmi a ieee.org mi ha mandato sul sito XXXXXX.com. Dopodiché il sistema mi chiede il mio nome utente e la mia parola d’ordine.
Come fa un sistema fuori da IEEE a verificare la correttezza delle mie credenziali?

Dopo poco mi rispondono

Egr. Mattia Butta,

il sito per le votazioni è sicuro e considerato affidabile dalla “Magnetic Society”. Tutti i membri si loggano colle loro credenziali IEEE che sono autenticate dai server di IEEE. Una volta l’autenticazione dai server di IEEE è completata l’utente è autenticato su XXXXXXX.com ed è autorizzato a votare.
Il sito non comprometterà la riservatezza di alcun utente e previene la duplicazione dei voti.

Quindi mi dicono che il sito per le votazioni manda le mie credenziali ai server di IEEE.
Interessante, e come avviene questa trasmissione tra i due server? Con che tecniche si parlano? Che crittografia usano? Oh, c’è la mia parola d’ordine in quella comunicazione: quanto è sicura?
Lo chiedo a loro:

Carissimi,

potreste dirmi che protocollo e che crittografia sono usati per la trasmissione dei dati tra i server di XXXXXX.com e i server di IEEE?

Mi sembra una domanda leggitima, no?
Ecco che i nodi venfono al pettine:

Egr. Mattia Butta,

Posso dirti che il sito è sicuro ma non sono un esperto informatico per rispondere alle tue domande. Se preferisci puoi votare mandandomi la tua scelta via email e poi voto io per te.

Eh? Votare via email? Alla faccia della sicurezza!
Ma soprattutto: che vuole dire “il sito è sicuro”?
Sono capaci tutti di dire “il sito è sicuro”. Devi dimostrarmi che è sicuro, ché di cazzari che giurano sulla testa della madre che i loro sistemi sono sicuri ce ne sono a bizzeffe. Poi quando capitano i casini ti rendi conto che erano solo balle.

Allora scrivo loro

Anche i proprietari di Ashley Madison dicevano che il loro sito era sicuro.

capisco che lei non sia un esperto informativo, ma sicuramente c’è qualcuno ad IEEE che ha gestito questa faccenda e che può rispondere.
Per cortesia, chieda a questa persona che crittografia usano per le comunicazioni tra i server di IEEE e i server di xxxxxxxx.com.

La risposta?
Nessuna.
Hanno deciso di non rispondermi più.
Probabilmente mi considerano un troll che vuole solo fare il rompicazzo o il precisino.
Mica che la sicurezza informatica è importante ed è normale preoccuparsi se vedi che le tue credenziali vengono condivisi con società esterne senza farti sapere in che modo.
No, uno che si preoccupa di queste cose è un paranoico.
Se ti dicono che “è sicuro” allora è sicuro.

C’è molto da educare in questo campo.

5 Comments

  1. Diego said:

    Non esiste proprio che un sito esterno chieda le credenziali di accesso di un altro sito.
    Normalmente accade il contrario: il sito esterno ti redirige sulla pagina di login del sito presso cui hai le credenziali (pagina ovviamente https) la quale ti autentica e poi ti redirige al sito esterno il quale ha modo di verificare l’avvenuta autenticazione (attenzione: non le credenziali!) tramite la chiamata ad un servizio apposito.

    Tutte le forme di Single Sign-On concepite in modo diverso sono insicure per definizione (implicano di fatto il passaggio di credenziali ad un ente esterno).

    17 Settembre 2015
    Reply
  2. fgpx78 said:

    Se ti interessa, fatti un po’ di ricerche per internet riguardo alla autenticazione Claims-based.

    Quando utilizzi le tue credenziali twitter, facebook, google, openid etc per loggarti, di fatto stai creando un profilo sul sito ma l’autenticazione sarà comunque demandata al gestore dei tuoi dati. IEEE in questo caso.

    Poi ovvi, dovrebbero dirti che lo fanno così, altrimenti sei libero di pensare che passano username e password in chiaro in querystring, o che se li salvano in locale…

    17 Settembre 2015
    Reply
  3. Ariakas said:

    Due piccoli errori: Nell’ultima mail hai scritto IRRR al posto di IEEE e chiesa al posto di chieda 😉

    17 Settembre 2015
    Reply
  4. mattia said:

    Poi ovvi, dovrebbero dirti che lo fanno così, altrimenti sei libero di pensare che passano username e password in chiaro in querystring, o che se li salvano in locale…

    appunto.
    Magari hanno fatto anche le cose per bene. Però devono dirmelo. Non è che mi dicono “tranqui, è sicuro” e a me deve bastare così.
    Hai il dovere di spiegarmi cosa ci fai colle mie credenziali.

    17 Settembre 2015
    Reply
  5. mattia said:

    Due piccoli errori: Nell’ultima mail hai scritto IRRR al posto di IEEE e chiesa al posto di chieda

    Refusi corretti. Grazie.

    17 Settembre 2015
    Reply

Rispondi a mattia Annulla risposta

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Nota sui biscottini: questo sito usa solo i biscottini di base di Wordpress per il funzionamento del sito. Non usa biscottini per memorizzare vostri dati personali, anche perché non me ne frega niente. Pensate che non vengono nemmeno fatte le statistiche sugli accessi di questo sito. Non ci sono nemmeno i pulsanti per mettere apprezzamenti sul feisbuc, il tuitter o altre reti sociali. Ciao.