"Web-certificati, vulnerabile il sistema di accesso"

L'INTERVENTO

Pubblichiamo la email che ci è stata inviata da Emanuele Tonel, consulente informatico, sulle criticità riscontrate nel sistema utilizzato dalla piattaforma a disposizione dei medici di famiglia

di Emanuele Tonel, consulente informatico
"Scrivo in qualità di consulente informatico presso uno studio di medicina generale per far presente un ulteriore problema che riguarda la trasmissione telematica dei certificati di malattia.

Che il provvedimento fosse una gigantesca trappola burocratica che rischia di paralizzare completamente il lavoro del medico si poteva immaginare ed è quello che sta avvendeno ed avverà soprattutto nei momenti più critici, che fosse però così poco robusto nel poter sopportare un attacco informatico è cosa, secondo il mio modesto parere, assai grave.

Dopo aver consultato il manuale operativo per l'accesso al sistema da parte del medico, dopo aver contattato telefonicamente il supporto di assistenza online e dopo essermi personalmente rivolto alla Asl di Belluno per avere ulteriori conferme in merito, ho riscontrato delle gravissime problematiche riguardanti la robustezza di un'area del portale progetto tessera sanitaria.
In particolare, la sezione da me analizzata è quella fruibile da parte del personale medico, attualmente accessibile tramite interfaccia web al seguente indirizzo (https://sistemats.sanita.finanze.it/simossHome/login.jsp).

Oltre a constatare una cattiva gestione per l'accesso tramite credenziali (username e password), rilevo un difetto particolarmente grave che riguarda il blocco dell'account, a seguito dell'immissione errata della password.

(1) La scelta del codice fiscale quale identificativo utente ai fini dell'accesso al sistema costituisce, a mio avviso, un fattore di debolezza del sistema di autenticazione, i cui requisiti di sicurezza sono di fatto garantiti solamente dalla robustezza della password. L'algoritmo per la generazione del codice fiscale è infatti di pubblico dominio, dettagliatamente descritto e facilmente calcolabile tramite applicazioni web e software. A titolo d'esempio:
http://www.serbi.info/codice_fiscale_estero.htm
http://www.codicefiscale.com/
http://it.wikipedia.org/wiki/Codice_fiscale#Generazione_del_codice_fiscale

(2) La carenza più grave però è attribuibile al sistema di blocco dell'account a seguito dell'immissione errata della password relativa; il sistema attualmente pone in blocco lo stesso dopo tre immissioni errate, costringendo l'utente a recarsi alla ASL di competenza per reperire delle nuove credenziali.
In un ipotetico scenario d'attacco al sistema da parte di persona malintenzionata sarebbe sufficiente, previo reperimento dei codici fiscali dei medici, inserire per tre volte una password errata per porre in blocco l'account e costringere il medico a rivolgersi alla ASL di competenza per la riabilitazione all'accesso al servizio.
Un attacco di questo genere costituisce di fatto un DoS (Denial of Service) che peraltro è efficace pur non portando necessariamente ai limiti le prestazioni del sistema, impedendo la regolare attività dell'utente, costretto a richiedere delle nuove credenziali presso la ASL di appartenenza per l'accesso al sistema.

Con il consenso e la presenza di un mio cliente, dottor Tonel Giovanni, ho simulato un possibile attacco al suo account, che qualsiasi persona dotata di conoscenze minime in ambito informatico potrebbe muovere a qualsiasi operatore sanitario abilitato all'invio di certificati di malattia.
Utilizzando esclusivamente dati reperiti in rete o negli elenchi pubblici dei medici presenti presso le ASL o gli Ordini dei Medici e Odontoiatri è possibile risalire a numerosi dati riguardanti la persona che permettono, tra le tante cose, di calcolare il codice fiscale e quindi, a seguito dell'immissione di una password errata, porre in blocco l'account del medico.

A titolo d'esempio i dati del mio cliente, estratti utilizzando solamente dati di pubblico dominio reperiti in rete:

http://www.comuni-italiani.it/025/038/amm.html
Med. Giovanni Tonel
Data di Nascita: 15/06/1955 - luogo: Zurigo Ch
Data Elezione: 28/05/2006 (nomina: 09/06/2006)
Partito: Lista Civica
Categoria Professione: Medici Chirurghi Generici
Titolo di Studio: Laurea

http://application.fnomceo.it/Fnomceo/public/ricercaProfessionisti.public
DOTT. TONEL GIOVANNI
Cognome e nome DOTT. TONEL GIOVANNI
Luogo e data di nascita SVIZZERA (Zurigo) - EE- 15/06/1955
Iscrizioni
* 28/05/1986 - Albo Provinciale dei Medici Chirurghi di BELLUNO (Ordine della Provincia di BELLUNO) n.0000001340
Lauree
* 27/03/1986 - MEDICINA E CHIRURGIA (PADOVA)
Abilitazioni
* 1986 /1 - Medicina e Chirurgia (PADOVA)
Specializzazioni n.d.

Dai quali è possibile dedurre:

http://www.serbi.info/codice_fiscale_estero.htm
TONEL GIOVANNI 15/06/1955 SVIZZERA (EE)
TNLGNN55H15Z133Y

http://www.codicefiscale.com/
TONEL GIOVANNI 15/06/1955 SVIZZERA
TNLGNN55H15Z133Y
Master n.d.
Dottorati n.d.

A questo punto, conoscendo il codice fiscale è sufficiente inserire una password errata (basta usare una qualsiasi stringa casuale) per tre volte consecutive e quindi bloccare l'account.

A nome del mio cliente e per tutelare l'attività lavorativa di migliaia di medici chiedo che questa grave criticità del sitema venga corretta nel più breve tempo possibile".

02 Febbraio 2011