Ricerca & Sviluppo – Security

L’unità di Ricerca & Sviluppo, in ambito Security, sta lavorando a “Spidasec – SPID Advanced Security”, che beneficia di un finanziamento “POR CALABRIA FESR-FSE 2014-2020”.

Spidasec è un sistema che punta a migliorare la sicurezza di SPID. SPID consente ad utenti ed imprese di accedere da vari dispositivi con un’unica identità digitale ai servizi online della pubblica amministrazione e delle imprese aderenti. Spidasec, inoltre, punta a migliorare il “trust” tra le parti coinvolte.

In questa avventura Consulthink non è da sola, ha come partner l’Università della Calabria, le aziende Catenate e Coremuniti, L’Istituto di Calcolo e Reti ad Alte Prestazioni del Consiglio Nazionale delle Ricerche (ICAR-CNR) ed inoltre può contare sull’appoggio di Poste Italiane.

Obiettivo di Spidasec, quindi, è il miglioramento del lato sicurezza di SPID, il “sistema pubblico dell’identità digitale”. SPID punta alla semplificazione dei rapporti tra il cittadino ed i servizi offerti dalla pubblica amministrazione. Grazie a SPID, ogni utente possiede la propria identità digitale e con questa può accedere ai servizi online di pubblica amministrazione e di tutte le imprese che hanno aderito a SPID. Il vantaggio dell’identità digitale è che non ci sarà bisogno di ricordare ed utilizzare tante password e nomi utente per accedere ai vari servizi, basterà ricordare solo quelli della propria identità digitale.

Per ottenere l’identità digitale, l’utente deve farne richiesta ad uno degli 8 gestori attualmente accreditati, tra cui figura anche Poste Italiane S.p.A. Questi verifica l’identità dell’utente e gli rilascia le credenziali.

I vantaggi del sistema SPID sono sia lato utente che lato service provider. L’utente, infatti, potrà accedere a numerosi servizi online con delle credenziali uniche di identificazione; il service provider, invece, non si dovrà preoccupare di censire gli utenti, otterrà solo i dati dell’utente strettamente necessari per portare a termine quella specifica transazione, non avrà oneri relativi alla conservazione dei dati personali e non dovrà preoccuparsi di eventuali attacchi informatici per il furto delle credenziali. Inoltre, i Service Provider avranno a disposizione profili con un’identità certa, eliminando i cosiddetti “falsi profili”, ed univoca, eliminando i duplicati.

Quali sono gli obiettivi di Spidasec? SPID presenta una serie di limiti, soprattutto lato sicurezza e Spidasec si pone l’obiettivo di superarli. In SPID il furto di identità è semplice a causa del meccanismo utilizzato per identificare l’utente. Infatti, esibendo un documento falso, ci si può appropriare di tutte le informazioni di quel cittadino in relazione ai suoi servizi. Spidasec, quindi, introduce degli algoritmi di “Social Trust” per far fronte a tale vulnerabilità. Tali sistemi si possono avvalere di fonti aperte, come ad esempio i canali social. I dati raccolti possono contenere informazioni riguardanti l’utente da identificare, come immagini e posizione. Correlando tali informazioni, si può ottenere un livello di trust sull’identità dell’utente. Impiegando concetti di Trust e di Reputation si possono definire anche opportune politiche di sicurezza basate su livelli di rischio crescenti.

Altre due problematiche di sicurezza riguardano l’utilizzo di SAML (Security Assertion Markup Language) e dei certificati nel protocollo SSL. Per quanto riguarda l’utilizzo di SAML, il protocollo fa delle asserzioni e una volta che queste risultino verificate, non ripete il controllo per un tempo più o meno lungo. Il problema è che se un browser è infetto potrebbero partire da questo delle richieste improprie che risulterebbero ugualmente soddisfatte. Per quanto riguarda l’utilizzo dei certificati nel protocollo SSL, invece, questi potrebbero essere non aggiornati o mal configurati, non garantendo la sicurezza della trasmissione dei dati.

Spidasec, però, ha come obiettivo anche promuovere la diffusione del servizio: sono ancora poche le pubbliche amministrazioni che utilizzano SPID, così come sono poche le aziende private che propongono online i propri servizi. Attualmente i servizi online delle pubbliche amministrazioni a cui si può accedere sono: pagamenti di Tasi e bollo auto, prestazioni sanitarie, fascicolo dell’Inps, riscatto della laurea, richiesta degli assegni familiari, richiesta di bollettini, saldo via web di tributi regionali e pagamento della mensa scolastica. Questa integrazione e comunicazione in un unico ambiente, però, non è semplice e può portare ad una scarsa usabilità della piattaforma. Spidasec, quindi, è la soluzione ai limiti di SPID!

Per ulteriori informazioni sul progetto, potete visitare il sito web di Spidasec.

Nell’immagine, il logo di Spidasec.

Scenario di riferimento

Nel primo trimestre del 2018 SPID conta oltre 2 milioni di identità digitali rilasciate ed oltre 4.000 pubbliche amministrazioni attive. Nonostante l’obbligo per le pubbliche amministrazioni di aderire a SPID entro la fine del 2017, è bassa la percentuale di coloro che l’hanno scelto come unica forma di identificazione. Infatti, a proporre SPID come unico metodo di identificazione, sono perlopiù le PA che non avevano aderito precedentemente in sistemi di identificazione, le altre, invece, preferiscono continuare a proporre i metodi “tradizionali” già usati. Investire in SPID, però, è fondamentale: nei prossimi anni tale sistema di identificazione diventerà sempre più utilizzato anche grazie al lavoro che Consulthink porta avanti con Spidasec.

Componenti tecniche della piattaforma

– infrastruttura per l’accesso ai servizi tramite SPID presso l’università della Calabria;

– una componente per l’integrazione e la gestione di diverse sorgenti di dati (log di accesso ai servizi, open data, dati di monitoraggio dei sistemi ed altri);

– modulo di analitica che si interfaccia con la componente di gestione dei dati e permette di applicare algoritmi di profiling degli utenti e di scoring delle azioni e degli accessi;

– dashboard per valutare il livello di sicurezza delle piattaforme e dei servizi erogati dai service provider e la segnalazione, in caso della scoperta di minacce e vulnerabilità non note, della necessità di implementare piani di rientro e contromisure appropriate;

– modulo near real time per individuare e monitorare anomalie nell’utilizzo del sistema SPID;

– utilizzo di algoritmi di machine learning: tali algoritmi consentiranno di implementare efficaci strategie di protezione dell’utente per rilevare nuove forme di attacco così da fornire un sistema affidabile, sicuro e che risponda ai diversi bisogni del cittadino nei confronti della pubblica amministrazione.

Trust & Reputation

I diversi servizi con i quali l’utente interagisce quotidianamente vengono considerati come entità che accordano allo stesso un certo grado di “fiducia”. In base a questo valore sarà possibile calcolare la reputazione dell’utente operante nel sistema ed adottare efficaci strategie di controllo e monitoraggio. Il valore di reputazione calcolato dagli algoritmi di apprendimento integrati all’interno della piattaforma potrebbe essere sfruttato sotto diversi punti di vista:

– per definire opportune politiche di sicurezza con diversi livelli di rischio;

– per aggiornare il valore di trust dei servizi integrati nella piattaforma fornendolo come input agli stessi;

– per il calcolo di indicatori relativi al corretto utilizzo della piattaforma.

Riconoscimento degli individui

Per riconoscere un individuo, in letteratura ci sono vari metodi:

– corrispondenza di nome, cognome, data e luogo di nascita, codice fiscale;

– analisi delle impronte digitali;

– scansione retinica;

– uso di username e password;

– riconoscimento facciale;

– analisi dei dati e del comportamento degli individui.

E’ proprio quest’ultimo il metodo che Spidasec intende utilizzare perché così facendo si potrà riconoscere un individuo in base alle azioni che compie quotidianamente. Naturalmente questa soluzione non è esente da problematiche come l’acquisizione e la memorizzazione dei dati, la varietà e sparsità dei dati da analizzare e la variazione del comportamento dell’utente nel tempo.

WP1

Il progetto è diviso in 6 work package (WP), 4 di ricerca industriale e 2 di sviluppo sperimentale.

Il WP1 analizza le criticità e gli aspetti relativi alla sicurezza dei servizi basati sull’identità digitale (individuazione dei casi di uso ed analisi delle problematiche di sicurezza). Scopo del WP1 è la raccolta di standard, normative nazionali ed internazionali, policy, linee guida aziendali applicabili ai servizi di identità digitale; la riorganizzazione delle stesse in base a raggruppamenti tematici (es. governance, procedure, controlli tecnici); la creazione di un “meta-standard” che uniformi i requisiti di sicurezza/compliance delle varie normative, linee guide aziendali; l’analisi degli attuali servizi di identità digitale (AS-IS), sia già esistenti che in sperimentazione. Inoltre, analizzando le problematiche di ogni singolo scenario attuale, si potranno ideare quali potrebbero essere le caratteristiche e problematiche di scenari futuri in cui si potrebbero applicare innovative soluzioni nell’ambito dell’Identity Cooperation o Social Identity.

WP2

Si analizzano i requisiti logico-funzionali e si progettano moduli di raccolta, analisi ed elaborazione dei dati da integrare nell’infrastruttura SPID.

Si raccolgono ed analizzano delle metriche, da un punto di vista dell’automastismo computazionale, che possano essere utilizzate per identificare le tecnologie usate per lo sviluppo dell’applicazione web oggetto d’analisi. In seguito l’attività di raccolta darà grande beneficio all’analisi delle vulnerabilità conosciute in riferimento alla tecnologia analizzata. Il WP2 consentirà anche di progettare l’architettura tecnologica più adatta al framework di lavoro. Inoltre si procederà ad analizzare i comportamenti di base nell’utilizzo della web application per commutarli successivamente in elementi di threshold per l’individuazione di eventuali utilizzi anomali dell’applicazione web. Tutto ciò permetterà di innalzare il livello di sicurezza di SPID.

WP3

Si definiscono tecniche di Machine Learning e Data Analytics per analizzare i rischi delle entità coinvolte nell’infrastruttura SPID e gli usi impropri dell’infrastruttura.

Si procede integrando, aggregando e combinando le informazioni riguardanti le entità della piattaforma SPID. Nel dataset che si produrrà, dovranno esserci: comportamenti non riconoscibili in precedenza all’utente, open data istituzionali o dati raccolti dal web (come social data, blog di settore e Google Analytics). Si continua definendo tecniche di Data Analytics per individuare i principali profili di rischio dei fruitori e di tutte le entità coinvolti nella piattaforma SPID. Sarà possibile dividere gli utenti in vari profili a seconda delle loro caratteristiche e dei loro comportamenti. L’obiettivo è quello di individuare facilmente comportamenti anomali nell’uso della piattaforma così da poter intervenire prontamente.

L’attività di ricerca per individuare gli algoritmi utili alla profilazione utente è un lavoro molto delicato in quanto gli algoritmi devono riuscire a lavorare anche nelle condizioni in cui le informazioni relative agli utenti hanno dati mancanti, situazione frequente.

WP4

Studio di Modelli di integrazione di SPID nei servizi di ateneo e definizione del caso d’uso.

I sistemi informativi dell’Università di Calabria in riferimento agli attuali meccanismi di autenticazione e autorizzazione diventano l’ambiente di sperimentazione per le tecniche e gli algoritmi risultanti dalle attività dei workpackage.

Si studieranno modelli di gestione di credenziali integrati da affiancare alle attuali procedure di

autenticazione degli utenti dei sistemi UNICAL con le rispettive identità digitali pubbliche basate su SPID.

Inoltre ci si accerterà che quanto realizzato durante queste attività sia coerente con quanto previsto dall’Agenda Digitale (AGID).

Per quanto riguarda le metodologie utilizzate si useranno tecniche di analisi dei requisiti (per comprendere le esigenze degli utenti finali), di reverse engineering (per il funzionamento dei sistemi legacy), metodologie di progettazione, sviluppo e rilascio basate sulla metodologia del continuous development e delivery (DevOps).

WP5

Per gli usi impropri dell’identità digitale, sarà realizzato un software per il rilevamento near real time.

Tale software sarà disponibile in modalità “as a Service” per un’integrazione e fruibilità del servizio più semplici. Lo scopo è quello di garantire il corretto utilizzo dei servizi erogati, individuando in tempo le possibili anomalie per bloccarle o segnalarle immediatamente ad analisti di business. Nel WP5 è prevista anche la realizzazione di materiale di documentazione del prodotto, sia illustrativo che divulgativo da consegnare agli analisti di business.

Il prodotto software verrà sviluppato con metodologia Agile fortemente orientata al Test Driven Development (TDD). Tale approccio garantisce un continuo feedback da parte degli attori in gioco e la limitazione dei bug di regressione. Verranno prodotti una serie di semplici API interrogabili per massimizzare la riusabilità del codice e minimizzare la duplicazione dello stesso.

WP6

Realizzazione di un sistema software per la verifica automatica delle potenziali vulnerabilità delle piattaforme informatiche coinvolte nell’erogazione dei servizi SPID.

Le verifiche fatte dal software saranno estese a diversi campi: web application, web server, applicativi e/o server collegati a questo. Scopo finale del prodotto è la sicurezza di infrastrutture critiche, individuando in tempo le possibili falle del sistema e garantendo disponibilità, integrità e riservatezza dei dati.

Il prodotto, sviluppato seguendo la metodologia Agile, segue i principi del modello di sviluppo software Test Driven Development, cardine della metodologia eXtreme Programming. Particolare importanza rivestiranno i test unitari e di integrazione per ridurre l’effort relativo al bug fixing e facilitare gli acceptance test.

Il prodotto software sarà realizzato dividendolo in più moduli applicativi installabili separatamente su diversi contenitori virtuali al fine di massimizzarne la scalabilità.

Partner di Consulthink per Spidasec: l’Università di Calabria

L’Università di Calabria erogherà i servizi di ateneo verso studenti e docenti avvalendosi di SPID.

Da sempre l’Università di Calabria è promotrice di innovazione grazie al trasferimento tecnologico dei risultati della ricerca ed alla collaborazione con altri organismi pubblici e privati, nazionali ed internazionali.

Partner di Consulthink per Spidasec: Catenate

Catenate si concentra sul design e sull’implementazione di information technology solutions. E’ specializzata in piattaforme di middleware, architetture informatiche come Services Oriented Architecture (Soa) e soluzione analitiche di business. Le sue soluzioni sono applicabili a vari settori: telecomunicazioni, automobilismo, finanza, energia e pubblica amministrazione. E’ il maggior partner di TIBCO Software Inc. Negli ultimi anni Catenate vanta una specializzazione anche in machine learning e processamento di big data.

Partner di Consulthink per Spidasec: Coremuniti

Il nome di Coremuniti si associa a quello della piattaforma Mozaiko, una piattaforma per la condivisione di risorse di calcolo. E’ semplice da usare, sicura e veloce e consente di risparmiare soldi, tempo ed energia a coloro che hanno bisogno di grandi risorse computazionali a basso costo per l’elaborazione di rendering 3d. L’obiettivo è quello di creare una rete peer-to-peer dove i nodi possono decidere la quantità di risorse da condividere. Mozaiko trova il suo habitat ideale nel mercato del rendering di scene 3d, operazione che solitamente tiene occupati i computer degli utenti per diverse ore o giorni.

Partner di Consulthink per Spidasec: l’Istituto di Calcolo e Reti ad Alte Prestazioni del Consiglio Nazionale delle Ricerche (ICAR-CNR)

Le attività di ricerca dell’ICAR-CNR abbracciano 5 macro-aree (Sistemi Cognitivi, Sistemi Distribuiti, IoT, Conoscenza e Dati, Bioinformatica). I risultati delle attività di ricerca svolte sono resi oggetto di divulgazione scientifica, attraverso la pubblicazione su riviste internazionali e la partecipazione a conferenze e workshop di respiro nazionale ed internazionale. Le tematiche di ricerca innovativa e complessa spaziano dai sistemi cognitivi, alla robotica, all’interazione uomo- macchina, al cloud computing, agli ambienti di calcolo parallelo e distribuito ed alle tecnologie avanzate per Internet. L’Istituto di Calcolo, inoltre, è promotore di varie start-up di successo. In riferimento a Spidasec, l’ICAR-CNR utilizzerà le sue soluzioni di Data Analytics per garantire la sicurezza degli utenti e prevenire ed individuare le minacce alla privacy ed all’identità digitale.