 |
|
UNIVERSITA'
DEGLI STUDI DI UDINE
FACOLTA' DI ECONOMIA
CORSO DI LAUREA
IN
SCIENZE ECONOMICHE E BANCARIE
TESI DI
LAUREA
Il ruolo di Internet nel rapporto tra banca e
cliente
RELATORE
Prof. Roberto
Cappelletto
LAUREANDO
Carlo Bortolussi (carlobr@mbox.vol.it)
Anno Accademico
1995/1996
CAPITOLO
QUARTO
Primi tentativi di applicazione di Internet nel
sistema bancario
LA SICUREZZA
PER LE TRANSAZIONI SU INTERNET DELLA SFNB
La Security
First Network Bank (SFNB)
è la prima banca mondiale all'avanguardia nella erogazione dei servizi
bancari attraverso Internet, e una ragione della sua efficienza è il
serio approccio che essa ha avuto nell'affrontare il problema "sicurezza".
Mettere a punto questo aspetto, significa garantire il commercio finanziario, e
per fare questo essa si è rivolta alla Five Paces, Inc. , una
società dedicata alla fornitura di software finanziari e misure di
sicurezza per l'industria bancaria. Lavorando attraverso un'associata, la
Secure Ware, Inc., di Atlanta (Georgia), Five Paces ha creato attorno alla SFNB
un ambiente estremamente protetto usando sistemi precedentemente disponibili
solo alle agenzie governative.
La SFNB utilizza diversi meccanismi,
ottenuti grazie alle nuove tecnologie, per assicurare segretezza nelle sue
transazioni su Internet. Prima di tutto la sicurezza inizia dal programma
utilizzato. In questo caso, oltre all'utilizzo di una parola d'ordine
(password), per fornire la massima riservatezza dei dati, che transitano tra il
browser del cliente e il server della banca, è usata la
versione commerciale di Netscape, chiamata Netscape Commerce Server che è
più sofisticato rispetto al tradizionale e più semplice Netscape
Communication Server, utilizzato generalmente, proprio per la gestione della
sicurezza tramite il protocollo SSL - Secure Socket Layer - per garantire
l'autenticazione degli accessi e l'integrità dei dati. Esso fornisce un
canale sicuro per la trasmissione dei dati usando la tecnica della crittografia
a chiave pubblica (chiamata anche chiave asimmetrica) sviluppata dalla RSA Data
Security, Inc.. La crittografia non è altro che un sistema in cui il
messaggio viene convertito in cifre usando una "chiave", che è un codice
che consente la traduzione dei caratteri del messaggio.
Prima di
procedere nella spiegazione è necessario però precisare che il
sistema di crittografia a chiave pubblica, di cui andremo a parlare, è
costituita da due chiavi: la prima chiamata pubblica, è quella che
può essere distribuita (su Internet) e quindi può essere
accessibile sia al cliente che alla banca; la seconda chiave chiamata privata,
invece, rimarrà in possesso del cliente che la manterrà segreta;
anche la banca naturalmente avrà la sua chiave privata da mantenere
segreta.
In questo approccio ciascun partecipante (sia il cliente
della banca che la banca stessa) possiede una coppia di chiavi (una pubblica e
una privata). L'algoritmo matematico che effettua questa operazione è
tale per cui:
- un messaggio codificato con una chiave della coppia
può essere decodificato solo con l'altra chiave della stessa coppia;
- non è materialmente possibile, data una chiave della coppia, ricavare
l'altra.
Per far circolare le chiavi pubbliche senza rischio di
manomissioni entra in gioco una terza parte, chiamata "Autorità del
Certificato" (in questo caso Netscape ha ingaggiato la "RSA Certificate
Services"), la quale attraverso l'emissione di un certificato verifica la
coincidenza tra il proprietario del conto e la chiave pubblica, e dà la
sua autorizzazione per qualsiasi tipo di rapporto tra la banca e il suddetto
cliente. Ogni nuovo correntista avrà il suo certificato con la relativa
chiave pubblica. L'Autorità del Certificato emetterà su richiesta
di una delle due parti tale certificato e si premunirà, quindi, anche di
inserire la chiave pubblica (relativa solo alla persona che l'ha richiesta) che
così circolerà assieme al suddetto documento.
Quando inizia
una transazione il cliente e la banca si scambieranno i rispettivi certificati
(contenenti la loro chiave pubblica). Attraverso lo scambio di questi il
cliente può essere sicuro che sta comunicando con la banca e viceversa.
In questo modo, il cliente e la banca possono ciascuno autenticare
l'identità dell'altro.
Dopo questa fase, il programma del cliente genera una chiave casuale o
simmetrica, la codifica usando la chiave pubblica della banca e la spedisce a
questa. La banca usa la sua chiave privata per decodificare il messaggio e
individuare questa chiave; una volta che questo avviene inizia la comunicazione
riservata vera e propria.
La chiave di sessione è unica per
ciascuna transazione e di conseguenza viene ridotto notevolmente il rischio che
qualcuno possa usufruire, dopo averli registrati, dei dati critici che vengono
trasferiti.
Autenticazione, firma digitale e
integrità
Il sistema della crittografia con chiave
pubblica ha la particolare funzione di poter essere utilizzato, sia come mezzo
per l'identificazione del trasmettitore del messaggio, che come mezzo per
evitare di effettuare transazioni con potenziali truffatori. Trovare un
adeguato sostituto delle firme scritte a mano non è una cosa facile. In
sostanza, si tratta di individuare una procedura, con la quale sia possibile
inviare un messaggio "firmato" in modo tale che:
1) il ricevitore possa
verificare l'identità affermata dal trasmettitore;
2) il
trasmettitore non possa in seguito rifiutarsi di riconoscere se stesso come
l'autore del messaggio.
Per esempio, quando il computer di un cliente
ordina al computer di una banca di acquistare una tonnellata di oro, il
computer della banca dev'essere in grado di accertarsi che il computer che ha
dato l'ordine appartenga realmente alla società a cui dev'essere
addebitato l'acquisto. Se però dopo che la banca ha acquisto la
tonnellata d'oro, si verifica che il prezzo dell'oro cala bruscamente, un
cliente disonesto potrebbe citare in giudizio la banca, sostenendo di non aver
mai inviato un ordine di acquisto. Quando la banca presenta il messaggio in
tribunale, il cliente potrebbe negare di averlo inviato. Questo requisito,
quindi, è necessario per proteggere la banca contro le frodi e i
raggiri.
In ogni caso, non è stato ancora risolto il problema che
ha come obiettivo quello di impedire agli utenti disonesti di rifiutare i loro
messaggi in precedenza inviati. La crittografia con chiave pubblica firmata in
modo digitale può apportare un contributo determinante alla risoluzione
di questo quesito. Rispetto alla procedura che utilizza la crittografia senza
firma, in questo caso entra in gioco un sistema di doppio controllo, in quanto
firmare un messaggio significa che l'emittente, prima di codificare la
comunicazione con la chiave pubblica del ricevente, esegue una codifica con la
propria chiave privata. Supponiamo, ad esempio, che due parti, "A" (emittente)
e "B" (ricevente), vogliano stabilire un canale di comunicazione sicuro.
Ricordiamo che, come abbiamo già spiegato in precedenza, il soggetto "A"
possiede due chiavi: una pubblica, che circola inserita nel certificato di
autenticità, e una privata, che viene da lui mantenuta segreta;
naturalmente lo stesso discorso vale per il soggetto "B". Si parte naturalmente
dal presupposto che "A" conosca la propria chiave privata, come pure la chiave
pubblica di "B". In questo caso la procedura di decodificazione da parte del
soggetto "B", cioè colui che riceve il messaggio, consiste in
un'operazione di doppia decodi-ficazione, prima attraverso la sua chiave
privata e poi mediante l'uso della chiave pubblica del soggetto "A".
Naturalmente dopo la prima fase di decodificazione, il soggetto "B" si
premunirà di memorizzare il testo ricevuto in un posto sicuro,
perché esso può avere sempre validità di prova.
Nello schema precedente viene visualizzata una trasmissione sicura di
messaggi usando la crittografia con chiave pubblica senza firma(a), e invece
una con firma (b).
Va precisato che i ruoli delle chiavi pubbliche e
private sono invertiti nell'operazione della firma digitale dove la chiave
privata è usata per cifrare (firmare) e la chiave pubblica è
usata per decifrare (verificare la firma). La firma digitale viene fatta
attraverso l'aggiunta di una coda cifrata, con la propria chiave privata, al
messaggio da inviare, contenente il nome, la data, l'ora e il numero del
messaggio.
Per vedere come funziona la proprietà di firma, si
supponga che in seguito "A" rifiuti di riconoscere la paternità del
messaggio inviato a "B". Quando il caso arriva in tribunale, "B" può
produrre sia il messaggio in chiaro "P" (acronimo di Plaintext), che il
messaggio come si presentava al momento del primo livello di decodificazione
attraverso l'utilizzo della propria chiave segreta. In quest'ultimo caso,
infatti, il giudice può facilmente verificare che "B" ha effettivamente
un messaggio valido codificato proveniente dal soggetto "A", semplicemente
applicando la chiave pubblica di A ad esso, per ottenere così il
messaggio in chiaro (P). Poiché "B" non sa quale sia la chiave segreta
di A, l'unico modo in cui "B" potrebbe aver acquisito tale messaggio cifrato,
è che A effettivamente l'abbia inviato.
Infine l'integrità
del messaggio è garantita da una funzione di "check sum" che permette di
leggere un messaggio di lunghezza qualunque e lo trasforma in un codice;
è una sorta di "riassunto" del messaggio che viene poi verificato dal
ricevente.
I controlli interni della SFNB
Esistono poi, oltre ai sistemi di sicurezza "esterni" per comunicare in modo
sicuro su Internet, delle protezioni interne alla banca tali da rendere la
propria rete inattaccabile. La SFNB è protetta da sistemi che fungono da
filtro tra l'esterna Internet e la rete interna della banca. Un primo sistema
di filtraggio, chiamato "filtering router", verifica la fonte e la destinazione
di ciascuna comunicazione proveniente dall'esterno e ne impedisce l'accesso se
il messaggio non è diretto ad un particolare servizio disponibile dalla
banca. Complementare a questo c'è un ulteriore sistema di controllo,
chiamato "firewall", che è usato sempre per proteggere la rete interna
della banca dagli accessi indesiderati provenienti dalla rete esterna
(Internet) creando una barriera tra i computers interni e quelli esterni. Se un
computer esterno vuole contattare quello interno alla banca, esso dovrà
inevitabilmente comunicare con il "firewall" della banca e sarà poi
quest'ultimo a comunicare con il computer interno. C'è da dire,
però, che il controllo sui dati ricevuti da Internet con questi software
a barriera ("firewall") contro gli accessi indesiderati, non sempre, in passato
e in altri campi, hanno dimostrato di essere invalicabili, anche se oggi sono
sempre più sofisticati. Nella SFNB, la SecureWare, promette di garantire
la sicurezza dopo l'arrivo dei dati nella rete interna della banca. A questo
scopo l'elemento fondamentale, dell'intero sistema di sicurezza interno
(rappresentato in generale dalla "Secure Web Platform"), è quello che
viene chiamato il "Trusted Operating System", un software realizzato da Hewlett
Packard, che permette di proteggere i depositi dei singoli clienti come se
fossero racchiusi in un forziere, la cui efficacia è stata riconosciuta
anche dalla Federal Deposit Insurance Corporation, che tratta questi depositi
come quelli delle banche americane tradizionali (cioè non operative su
Internet). Questa parte del sistema, in particolare, racchiude un meccanismo
interno che registra in generale:
- tutti i messaggi in entrata e tutti
quelli in uscita;
- l'uso di privilegi;
- le violazioni di accesso;
- gli insuccessi delle connessioni in rete.
Oltre a questo esiste un
sistema di codifica e decodifica solamente per l'interno della banca
(attraverso un software specifico chiamato "Hannah"). Per la protezione dei
file, soprattutto contro i virus, viene utilizzato, invece, un programma
specifico chiamato "Troy".
In pratica il trucco dell'architettura consiste
nel dividere la rete dei servizi bancari in due parti: la prima protetta
principalmente dal "firewall", come abbiamo visto sopra, che gestisce i
controlli e le relazioni con il mondo esterno (verso questa transitano solo
informazioni che possono considerarsi di dominio pubblico); la seconda parte,
che interagisce invece con i dati interni, garantisce la sicurezza su questo
versante. Se qualcosa oltrepassa il "firewall" e si comporta in modo pericoloso
resta comunque isolato senza poter penetrare all'interno. In questo modo, la
struttura della rete interna della banca è invisibile all'osservatore
esterno.
La responsabilità del cliente
La SFNB
sembra non avere punti deboli nel suo sistema. L'unico caso in cui esiste il
rischio reale che un conto possa essere intercettato, si verifica quando un
cliente, per trascuratezza, fa conoscere ad altri la sua password e il suo
numero di conto. L'utente deve, inoltre, preoccuparsi di prendere delle
precauzioni per tenere il computer libero da eventuali "virus". Comunque, il
cliente di questa banca è sempre protetto. I depositi alla SFNB sono
assicurati dalla FDIC fino ad un totale di $100,000 per tutti i tipi di conti e
servizi disponibili (conto corrente, conto borsa e i certificati di deposito).
Se il cliente della SFNB non è convinto che la banca in Internet
è sicura, la più efficiente e la più economica, egli
può chiudere il conto senza affrontare nessun costo. La banca apre,
amministra e chiude il conto (se ovviamente il cliente sceglierà di
chiuderlo), semplicemente con i tasti del proprio computer.
Naturalmente
il cambiamento rispetto ad una banca tradizionale è notevole, per questo
l'intera struttura della SFNB si è impegnata al massimo al fine di
garantire che questo mutamento avvenga in modo graduale e per renderlo
possibile offre ai clienti, per esempio, l'opportunità di entrare in
questo nuovo sistema senza dover sostenere alcuna spesa.