[security] sicurezza e smartcard

MAx massimiliano.ritossa a adriacom.it
Gio 2 Ott 2003 12:08:36 CEST 

Ciao, cercherò di essere conciso...
per quanto mi riguarda le mie esperienze, ho una collega che ha comprato un pc portatile con lettore di smartcard integrato (Sistema operativo Win XP).
Ad ogni riavvio il sistema (NB il sistema operativo, non il BIOS!!) le chiede di inserire la smartcard ed una volta inserita questa, le chiede la password.
A parte il fatto che la password potrebbe essere salvata direttamente sulla smartcard, uno potrà dire: << Bene, così nessuno potrà entrare nel mio PC senza smartcard!>>. Beh, in realtà non è così. Basta avviare XP in modalità provvisoria (o console DOS) ed il check della smartcard viene bypassato!. Inoltre basterebbe agire sul bios in modo da far avviare un CD-ROM o Floppy bootable con sistema operativo alternativo, ed il gioco è fatto!
Quindi o la gestione dell'accesso al PC è vincolato dal BIOS oppure è abbastanza facile aggirare tale protezione.
D'altro canto però l'ASL N1, triestina sta adottando un sistema di smartcard con firma digitale per cui si accede ad alcune sezioni della intranet solo via HTTPS con autentica tramite smartcard. Ma qua stiamo parlando di accesso a servizi, no ad hardware.
  MAx

----- Original Message ----- 
From: "Marco Scandaletti" <m.scandaletti a iak.pd.it>
To: "Sicurezza Informatica" <security a itlists.org>
Sent: Thursday, October 02, 2003 10:44 AM
Subject: [security] sicurezza e smartcard


> Ciao Lista,
> 
>  tempo fa, per questioni di lavoro, ho collegato al mio pc
>  un lettore di smartcard ( ISO7816/1-2-3-4-8 - PC/S )
>  Al riavvio della macchina ( win 2000 pro ) ho notato
>  che la schermata di logon era cambiata e che, volendo,
>  si poteva fare il logon con una smartcard.
>  Non ho avuto tempo di approfondire la cosa ma mi piacerebbe
>  sapere se qualcuno ha esperienze in merito, anche su altri SO.
>  Le domande che mi premono sono:
>  Funziona sta roba? è una figata tipo NASA ma sotto sotto è una
> caga.....????
>  Le smartcard con gli account chi le prepara? ci sono strumenti per farle
>  in autonomia oppure bisogna appoggiarsi ad un'azienda esterna?
>  Sono sicure queste smartcard? oppure ci sono già in giro degli hack
>  per clonarle tipo quelle satellitari?
>  Posso utilizzarle con ogni terminale? la smartcard tiene in memoria
>  i dati dell'utente (tipo impostazioni desktop, menù etc. etc)?
>  Che costi ha questo tipo tecnologia e, soprattutto, ne vale la pena?
>  Un buon lettore ( tipo i gemplus ) costano circa 60 euro, una smartcard
>  con processore e memoria si aggira sui 24-30 euro, la configurazione
>  del sistema quanto tempo e denaro porta via?
>  Secondo voi per quale numero minimo di utenti vale la pena mettere in piedi
>  questa struttura?
>  Che alternative esistono alle smartcard?
> 
> grazie per l'attenzione e un saluto, scanda
> 
> _______________________________________________
> security mailing list
> security a itlists.org
> http://itlists.org/mailman/listinfo/security
>

Maggiori informazioni sulla lista security