Questo sito utilizza cookie per raccogliere informazioni sull'utilizzo. Cliccando su questo banner o navigando il sito, acconsenti all'uso dei cookie. Leggi la nostra cookie policy.OK

“Web-certificati, vulnerabile il sistema di accesso”

Pubblichiamo la email che ci è stata inviata da Emanuele Tonel, consulente informatico, sulle criticità riscontrate nel sistema utilizzato dalla piattaforma a disposizione dei medici di famiglia

02 Feb 2011

"Scrivo in qualità di consulente informatico presso uno
studio di medicina generale per far presente un ulteriore problema
che riguarda la trasmissione telematica dei certificati di
malattia.

Che il provvedimento fosse una gigantesca trappola burocratica che
rischia di paralizzare completamente il lavoro del medico si poteva
immaginare ed è quello che sta avvendeno ed avverà soprattutto
nei momenti più critici, che fosse però così poco robusto nel
poter sopportare un attacco informatico è cosa, secondo il mio
modesto parere, assai grave.

Dopo aver consultato il manuale operativo per l'accesso al
sistema da parte del medico, dopo aver contattato telefonicamente
il supporto di assistenza online e dopo essermi personalmente
rivolto alla Asl di Belluno per avere ulteriori conferme in merito,
ho riscontrato delle gravissime problematiche riguardanti la
robustezza di un'area del portale progetto tessera
sanitaria.
In particolare, la sezione da me analizzata è quella fruibile da
parte del personale medico, attualmente accessibile tramite
interfaccia web al seguente indirizzo
(https://sistemats.sanita.finanze.it/simossHome/login.jsp).

Oltre a constatare una cattiva gestione per l'accesso tramite
credenziali (username e password), rilevo un difetto
particolarmente grave che riguarda il blocco dell'account, a
seguito dell'immissione errata della password.

(1) La scelta del codice fiscale quale identificativo utente ai
fini dell'accesso al sistema costituisce, a mio avviso, un
fattore di debolezza del sistema di autenticazione, i cui requisiti
di sicurezza sono di fatto garantiti solamente dalla robustezza
della password. L'algoritmo per la generazione del codice
fiscale è infatti di pubblico dominio, dettagliatamente descritto
e facilmente calcolabile tramite applicazioni web e software. A
titolo d'esempio:
http://www.serbi.info/codice_fiscale_estero.htm
http://www.codicefiscale.com/
http://it.wikipedia.org/wiki/Codice_fiscale#Generazione_del_codice_fiscale

(2) La carenza più grave però è attribuibile al sistema di
blocco dell'account a seguito dell'immissione errata della
password relativa; il sistema attualmente pone in blocco lo stesso
dopo tre immissioni errate, costringendo l'utente a recarsi
alla ASL di competenza per reperire delle nuove credenziali.
In un ipotetico scenario d'attacco al sistema da parte di
persona malintenzionata sarebbe sufficiente, previo reperimento dei
codici fiscali dei medici, inserire per tre volte una password
errata per porre in blocco l'account e costringere il medico a
rivolgersi alla ASL di competenza per la riabilitazione
all'accesso al servizio.
Un attacco di questo genere costituisce di fatto un DoS (Denial of
Service) che peraltro è efficace pur non portando necessariamente
ai limiti le prestazioni del sistema, impedendo la regolare
attività dell'utente, costretto a richiedere delle nuove
credenziali presso la ASL di appartenenza per l'accesso al
sistema.

Con il consenso e la presenza di un mio cliente, dottor Tonel
Giovanni, ho simulato un possibile attacco al suo account, che
qualsiasi persona dotata di conoscenze minime in ambito informatico
potrebbe muovere a qualsiasi operatore sanitario abilitato
all'invio di certificati di malattia.
Utilizzando esclusivamente dati reperiti in rete o negli elenchi
pubblici dei medici presenti presso le ASL o gli Ordini dei Medici
e Odontoiatri è possibile risalire a numerosi dati riguardanti la
persona che permettono, tra le tante cose, di calcolare il codice
fiscale e quindi, a seguito dell'immissione di una password
errata, porre in blocco l'account del medico.

A titolo d'esempio i dati del mio cliente, estratti utilizzando
solamente dati di pubblico dominio reperiti in rete:

http://www.comuni-italiani.it/025/038/amm.html
Med. Giovanni Tonel
Data di Nascita: 15/06/1955 – luogo: Zurigo Ch
Data Elezione: 28/05/2006 (nomina: 09/06/2006)
Partito: Lista Civica
Categoria Professione: Medici Chirurghi Generici
Titolo di Studio: Laurea

http://application.fnomceo.it/Fnomceo/public/ricercaProfessionisti.public
DOTT. TONEL GIOVANNI
Cognome e nome DOTT. TONEL GIOVANNI
Luogo e data di nascita SVIZZERA (Zurigo) – EE- 15/06/1955
Iscrizioni
* 28/05/1986 – Albo Provinciale dei Medici Chirurghi di BELLUNO
(Ordine della Provincia di BELLUNO) n.0000001340
Lauree
* 27/03/1986 – MEDICINA E CHIRURGIA (PADOVA)
Abilitazioni
* 1986 /1 – Medicina e Chirurgia (PADOVA)
Specializzazioni n.d.

Dai quali è possibile dedurre:

http://www.serbi.info/codice_fiscale_estero.htm
TONEL GIOVANNI 15/06/1955 SVIZZERA (EE)
TNLGNN55H15Z133Y

http://www.codicefiscale.com/
TONEL GIOVANNI 15/06/1955 SVIZZERA
TNLGNN55H15Z133Y
Master n.d.
Dottorati n.d.

A questo punto, conoscendo il codice fiscale è sufficiente
inserire una password errata (basta usare una qualsiasi stringa
casuale) per tre volte consecutive e quindi bloccare
l'account.

A nome del mio cliente e per tutelare l'attività lavorativa di
migliaia di medici chiedo che questa grave criticità del sitema
venga corretta nel più breve tempo possibile".