Sesamo IV
Sicurezza degli apparati ICT e tutela degli utenti in rete

Programma di finanziamento 
(e relativo sottoprogramma)
Convenzione quadro FUB - ISCOM
Durata 01/01/2014 - 31/12/2014
Partecipanti

Fondazione Ugo Bordoni

Istituto Superiore delle Comunicazioni e delle Tecnologie dell'Informazione (ISCOM)

I progetti Sesamo nascono con lo scopo di individuare azioni concrete per l’attuazione degli obiettivi perseguiti dall’Agenda Digitale Europea, all’interno del pilastro “Fiducia e sicurezza”, e con quello di fornire supporto alle attività dell’Organismo di Certificazione della Sicurezza Informatica (OCSI) nell’ambito degli aspetti di ricerca relativi alle metodologie di valutazione e certificazione della sicurezza di sistemi e prodotti ICT.

Sesamo IV, come evoluzione del progetto Sesamo III, si occupa in particolare dell’analisi della sicurezza del software impiegato nei sistemi di pagamento mobili (estendendo l’analisi ai sistemi Apple e Microsoft, rispetto a Sesamo III che si concentrava sull’analisi della sicurezza del software impiegato in sistemi di pagamento realizzato su sistemi Google Android).

Durante il progetto Sesamo IV è stato inoltre mantenuto e perfezionato il laboratorio per la sperimentazione della sicurezza del software impiegato nei sistemi di pagamento in mobilità e sono state eseguite sperimentazioni sui dispositivi acquistati per il progetto Sesamo. La sperimentazione condotta contribuisce a:

  • valutare la sensibilità agli aspetti di sicurezza e privacy dei sistemi operativi dei diversi dispositivi mobili e delle relative applicazioni (con particolare interesse per gli aspetti di pagamento mobile) nelle differenti configurazioni operative;
  • predisporre le basi per l’esecuzione di attività di natura forense.

Tra gli obiettivi principali del progetto figura il supporto all’OCSI, non solo in ambito di metodologie di valutazione e certificazione, ma anche relativamente all’innovazione di processi di gestione e alla partecipazione ai gruppi internazionali del CCRA (Common Criteria Recognition Arrangement) con le seguenti finalità:

  • affiancare l’organismo nella predisposizione del nuovo arrangement (la cui firma è avvenuta a settembre 2014);
  • predisporre le strategie dell’organismo in risposta al nuovo arrangement e alle nuovi posizioni nazionali recepite in esso;
  • approfondire le tematiche di certificazione della sicurezza di prodotti ICT, l’applicazione dei certificati in ambito internazionale ed europeo, e le possibili interazioni con la strategia della commissione europea;
  • supportare l’OCSI al fine di ottenere l’approvazione della valutazione operata in ambito internazionale dagli altri organismi di certificazione (VPA - Voluntary Periodic Assessment). Tale VPA, che ha avuto luogo a giugno 2014, è necessaria per mantenere lo status di “certificate authorizing participant”, ossia di Organismo in grado di emettere certificati riconosciuti in tutti i paesi del mondo che aderiscono al CCRA.

La certificazione della sicurezza di sistemi e prodotti ICT costituisce oggi lo strumento più idoneo per fornire garanzie in merito all’attuazione di misure di sicurezza ICT applicabili a tutte le tipologie di sistemi e prodotti. Lo standard di riferimento ISO/IEC 15408, meglio noto come “Common Criteria for ICT security product evaluation” presenta tuttavia ampi gradi di libertà e margini di perfezionamento, lasciando spazio ad attività di ricerca finalizzate alla specializzazione dei requisiti dello standard alle nuove categorie di prodotti.

In tale contesto, sono stati analizzati i possibili ambiti di coinvolgimento dell’OCSI in merito ad attività scaturite dagli aggiornamenti del CAD (Codice dell’Amministrazione Digitale) e, più in generale, della regolamentazione nazionale ed europea. Tra questi, un ruolo importante lo rivestono i dispositivi di firma per i quali l’OCSI, in aggiunta al compito primario di fornire un servizio di certificazione per eventuali richieste in ambito Common Criteria, riveste un ruolo specifico nella procedura di accertamento. È stata dunque condotta un’analisi delle ripercussioni che le novità nella normativa UE relativa agli HSM avranno sulle attività dell’OCSI.

Come unico organismo italiano deputato alla gestione/emissione dei certificati di sicurezza di sistemi e prodotti ICT secondo lo standard ISO/IEC 15408, l’OCSI partecipa inoltre ad un circuito internazionale incaricato di mantenere e perfezionare lo standard stesso al fine di uniformare le attività di valutazione e poter assicurare nel circuito stesso il mutuo riconoscimento dei certificati emessi dai diversi partecipanti. Tale circuito, CCRA (Common Criteria Recognition Arrangment) prevede verifiche periodiche (VPA, Voluntary Periodic Assessment) di ogni organismo (riferito anche come “Schema di certificazione”) da parte di ispettori degli altri schemi nazionali per avere garanzie nel tempo circa la conformità dell’operato dell’organismo stesso ai dettami del CCRA. Una parte consistente delle risorse di Sesamo IV è stata destinata al supporto all’Organismo OCSI nella predisposizione e revisione della documentazione da consegnare per la VPA e nella predisposizione delle presentazioni richieste dagli ispettori. La Fondazione ha dunque supportato l’OCSI con le proprie competenze tecniche e la propria esperienza nei processi dell’Organismo durante la visita degli ispettori del CCRA: il risultato è stato una conferma a pieni voti dell’OCSI con un rapporto senza alcuna raccomandazione formale (obiettivo mai raggiunto nella storia del CCRA).

Il processo di accettazione non è ancora completo: la Fondazione ha supportato l’Organismo anche nelle fasi di discussione dei risultati presso il gruppo tecnico CCES e nella predisposizione della discussione presso il gruppo di gestione CCMC, incaricato di validare definitivamente la conferma dell’OCSI come authorizing member.

È stato fornito all’OCSI supporto nell’aggiornamento dei Corsi e degli Esami di abilitazione OCSI (destinati a valutatori di laboratori e assistenti). Tale supporto ha come obiettivo ultimo la predisposizione del materiale necessario per l’esecuzione dei corsi.

La Fondazione ha inoltre contribuito alle attività di aggiornamento tecnico dell’OCSI partecipando ai gruppi di lavoro CCRA a Istanbul (CCDB, CCES, CCMC, marzo 2014) e Nuova Delhi (CCDB, CCES, CCMC, settembre 2014), ai gruppi di lavoro SOG-IS e ai relativi incontri con le comunità tecniche di riferimento a Berlino (JILWG, MC, febbraio 2014 e dicembre 2014), Oslo (JILWG, giugno 2014), Stoccolma (JILWG, ottobre 2014), e con contributi tecnici al gruppo di lavoro CCMB orientato alla risoluzione di problematiche di natura tecnica dello standard. Durante tali riunioni, la Fondazione Ugo Bordoni ha svolto gli approfondimenti necessari per mettere l’OCSI nelle condizioni di comprendere la portata del nuovo arrangment e predisporre le strategie per lo schema per gli anni a venire. La FUB ha anche contribuito attivamente alla definizione dello standard ed ha fornito supporto nelle discussioni incrociate con gli altri organismi europei al fine di mettere l’OCSI in condizioni di poter tutelare i propri utenti (i cittadini italiani) anche attraverso gli strumenti messi a disposizione dal SOGIS e dalla comunità europea. In quest’ottica la Fondazione Ugo Bordoni, sempre su richiesta dell’OCSI, ha partecipato ai gruppi di lavoro impegnati nella definizione di una lista di funzionalità crittografiche (corredate dei relativi algoritmi) ritenute di interesse per tutta la comunità europea: il gruppo di lavoro in questione si è anche occupato, con il contributo della FUB, di predisporre delle indicazioni sia per gli sviluppatori, per la corretta implementazione delle funzionalità crittografiche, sia per i valutatori, relativamente alle attività di verifica richieste dallo standard.

Da sottolineare anche il supporto all’OCSI in relazione alle attività in corso per coordinare il gruppo SOGIS con la commissione europea: la finalità in questo ambito consiste nel mettere gli organismi europei che appartengono al SOGIS al servizio della commissione per l’ambito di interesse delle certificazioni di sicurezza di prodotti ICT. Al fine di condividere i risultati raggiunti, nell’ambito del progetto Sesamo IV sono anche state predisposte diverse giornate di aggiornamento per tutti i soggetti che fanno capo allo schema. In ambito SOGIS la FUB è stata incaricata di predisporre una procedura per le verifiche della competenza tecnica degli organismi che richiedono di essere riconosciuti in possesso delle competenze richieste dai differenti domini tecnici del SOGIS. È stato inoltre fornito supporto nell’individuazione di eventuali problematiche di natura tecnica nelle certificazioni in corso, nell’ottica di utilizzare tali certificazioni come strumento per innovare e aggiornare i processi e le competenze dell’Organismo di Certificazione. In tale ambito è stata supervisionata, in tutte le sue fasi, la certificazione del prodotto CheBanca! e del prodotto SVC, fornendo i risultati di analisi tecniche sia della documentazione di valutazione, sia della documentazione prodotta dal laboratorio; supportando la produzione dei verbali degli incontri con il laboratorio e il committente; e partecipando come esperto ad eventuali visite ispettive coordinate e richieste da OCSI.

Per quanto riguarda la sperimentazione, in aggiunta alle attività di analisi dei sistemi operativi dei dispositivi Apple e Microsoft descritta sopra, una parte delle attività del progetto Sesamo IV si è soffermata sulle potenzialità e gli aspetti di sicurezza connessi al supporto da parte di Google nei sistemi mobile Android KitKat (4.4-4.4.4) e Lollipop (5.0) alla nuova funzionalità di emulazione software delle smart card, denominata HCE (Host Card Emulation), che offre la possibilità di effettuare pagamenti NFC senza l’utilizzo del Secure Element (SE). L’analisi ha mirato ad evidenziare come la nuova funzionalità HCE del sistema operativo semplifichi i processi di gestione e distribuzione degli applicativi di pagamento a vantaggio degli Application Payments Providers, ma implichi al contempo un incremento potenziale dei rischi di accesso non autorizzato ai dati privati dell’utente e alle sue credenziali di pagamento. Queste, infatti, non sono più memorizzate nel chip SE, sicuro dal punto di vista hardware e fortemente controllato da quello software. Nel corso di Sesamo IV sono state quindi esaminate le differenze nel livello di sicurezza delle applicazioni di emulazione carta quando implementate su SE o tramite HCE, ponendo in evidenza le soluzioni tecniche di “fraud and risk management” usate nei due casi.