Introduzione
Questo articolo riporta l’esperienza maturata nell’ambito della compromissione del sistema di autenticazione
europeo eIDAS, che ha visto il coinvolgimento diretto del team di Offensive Security e IAM (Identity and
Access Management) del Cyber Threat Defence Center di Almaviva.
eIDAS
L’Unione Europea ha emanato un regolamento, noto come eIDAS (Electronic IDentification, Authentication and trust Services) che stabilisce un quadro normativo per l’identificazione elettronica e i servizi fiduciari per le transazioni elettroniche nel mercato interno. Entrato in vigore nel 2014, l’eIDAS mira a migliorare la sicurezza e la trasparenza delle transazioni digitali, promuovendo la fiducia nei servizi online e favorendo un mercato digitale unico europeo.
L’identificazione elettronica eIDAS permette a cittadini e imprese di utilizzare sistemi nazionali per accedere ai servizi pubblici e privati in tutta l’UE. Questo è reso possibile attraverso l’interoperabilità dei sistemi di identificazione elettronica tra i diversi paesi membri.
Gli attori primari coinvolti nel sistema eIDAS sono:
-
• Autorità Nazionali di Supervisione
-
• Fornitori di Servizi Fiduciari
-
• Enti di Certificazione
-
• Cittadini e Imprese
Almaviva è una delle principali aziende italiane specializzate nel settore dell’ICT (Information and Communication Technology). Con una vasta esperienza nella digitalizzazione dei processi e nella gestione delle infrastrutture tecnologiche, Almaviva supporta la Pubblica Amministrazione Italiana nel miglioramento dei servizi digitali. L’obiettivo principale di Almaviva è quello di rendere i servizi pubblici più accessibili, efficienti e sicuri attraverso l’adozione di soluzioni innovative.
La collaborazione tra Almaviva e la Pubblica Amministrazione Italiana si basa su progetti che mirano a trasformare radicalmente la gestione dei servizi pubblici. Almaviva fornisce soluzioni personalizzate per la digitalizzazione dei processi, garantendo al contempo il rispetto delle normative nazionali e internazionali in materia di sicurezza e privacy.
I sistemi di Identity and Access Management (IAM) sono fondamentali per proteggere le identità digitali e garantire l’accesso sicuro ai servizi online.
Jiano
In Almaviva, il team dedicato alle attività di Ricerca e Sviluppo in ambito IAM è denominato Jiano, e tale nome è utilizzato anche per indicare il prodotto finale realizzato, che rappresenta uno dei sistemi di IAM più utilizzati e avanzati, progettato per rispondere alle esigenze delle organizzazioni moderne. Questo sistema offre funzionalità avanzate di autenticazione e gestione delle identità, consentendo alle istituzioni di controllare chi può accedere a quali risorse e con quali privilegi. Negli anni, la Pubblica Amministrazione Italiana ha adottato Jiano per migliorare la sicurezza e l’efficienza nell’accesso ai servizi digitali.
Durante attività di Ricerca e Sviluppo che Almaviva svolge nell’ambito dell’Identity & Access Management, è stata rilevata una potenziale vulnerabilità sui sistemi di autenticazione eIDAS Login.
Offensive Security
Per consentire la verifica della potenziale vulnerabilità, è stata inoltrata la segnalazione al Offensive Security Team di Almaviva, il quale svolge anch’esso attività di Ricerca & Sviluppo e pertanto adotta una consolidata Politica di Disclosure Responsabile, i cui dettagli sono pubblicamente disponibili al seguente indirizzo: https://www.cyberiskvision.com/zero-day/responsible-disclosure-policy/
A seguito di approfondite analisi di Offensive Security, la vulnerabilità è stata confermata, e, adottando lo standard di valutazione del rischio CVSS, è stato assegnato un livello critico.
Grazie alla sinergia e alla collaborazione tra molteplici attori, coinvolti lungo l’intero iter di gestione della problematica, i dettagli tecnici della vulnerabilità sono stati condivisi su un canale estremamente confidenziale, sono quindi state definiti e applicati gli opportuni rimedi, quindi, ne è stata valutata l’efficacia, risultata positiva, completando con successo l’intero processo di innalzamento della sicurezza dei sistemi nazionali ed europei, a tutela di cittadini ed imprese.
Dettaglio
La segnalazione iniziale della potenziale vulnerabilità riguardava sistemi in esercizio, pertanto, le successive verifiche eseguite dall’Offensive Security Team sono state eseguite in modalità black box, adottando una politica di disclosure responsabile, ed utilizzando dati di fantasia, al fine di non violare la riservatezza, l’integrità e la disponibilità dei dati personali, escludendo ogni controllo che potesse arrecare direttamente danni o disservizi.
Le analisi sono state eseguite adottando standard e best-practice consolidate a livello internazionale, quali:
-
• ISECOM OSSTMM (Open-Source Security Testing Methodology Manual)
-
• OWASP WSTG (Web Security Testing Guide)
-
• NIST (National Institute of Standards and Technology)
-
• PTES (Penetration Testing Execution Standard)
-
• ISSAF (Information System Security Assessment Framework)
La vulnerabilità confermata è stata definita di tipo Authentication bypass, e consente di accedere a servizi istituzionali tramite fittizie autenticazioni internazionali eIDAS.
Nel contesto comunitario, ogni servizio integrato eIDAS consente all’utente di indicare la propria nazione di provenienza, a cui sarà demandata la verifica dell’identità, quindi l’autorizzazione ad accedere al servizio.
Per la realizzazione del servizio integrato a livello internazionale, la cooperazione si è svolta anche mediante la costituzione di nodi eIDAS internazionali di test, per eseguire verifiche preliminari alla messa in esercizio.
La complessità del sistema ha previsto una graduale evoluzione dei sistemi, che sono evoluti da una classificazione di test ad una classificazione di produzione, applicando la distinzione di tali classificazioni per le funzionalità di Sending e di Receiving.
Il problema in produzione quindi si è manifestato, in quanto, sono state erroneamente considerate valide da un nodo comunitario eIDAS le autenticazioni effettuate da un altro nodo comunitario eIDAS, classificato di produzione esclusivamente per la componente Receving ma non quella Sending.
Grazie alla sinergia tra l’Offensive Security Team ed il team IAM, è stato possibile generare l’invio di autenticazioni valide seppur fittizie. Questo è stato possibile utilizzando nodi comunitari di test che erano stati erroneamente classificati come di produzione da altri nodi comunitari, permettendo così di aggirare il sistema di autenticazione ed accedere in modo non autorizzato ai servizi integrati.
L’impatto riguardava dunque i servizi delle nazioni che avevano erroneamente integrato i loro sistemi di produzione con i sistemi di test delle altre nazioni, violando una mappa logica di cui se ne riporta una rappresentazione di esempio di seguito:
| EU Member State | Receiving TEST | Sending TEST | Receiving PROD | Sending PROD |
|---|---|---|---|---|
| Austria | SI | SI | SI | NO |
| Belgio | SI | SI | SI | SI |
| Bulgaria | NO | NO | NO | NO |
| Croazia | SI | SI | SI | SI |
| Cipro | SI | SI | SI | NO |
| … | … | … | … | … |