Software chiave USB e sicurezza

Buongiorno a tutti.
Vorrei segnalare un aspetto relativo alla sicurezza che forse non è stato considerato (tra le altre cose) dai signori del SISTRI. Siamo iscritti in quanto produttori di rifiuti, con una sola chiave USB; ritirata la chiavetta e dato che sono un maniaco della sicurezza, ne ho fatto una copia di backup sul mio PC. Periodicamente verifico con un software free eventuali versioni superate (e quindi potenzialmente insicure) dei programmi presenti sulla macchina; ieri ho fatto il controllo ed esso mi ha rilevato che la versione del browser (Firefox) presente nel backup (e quindi anche nella chiave) è superata (V 3.5.1 mentre l'attuale è la 3.6., e così la versione dell'ambiente Java (evidentemente anch'esso necessario dato che è presente).
Poichè che la chiave utilizza, per il collegamento ai server SISTRI, il SUO browser interno, questo espone potenzialmente chi la usa per gestire il SISTRI a rischi vari, tra i quali l'intercettazione delle operazioni, delle password ed eventualmente l'intrusione nei sistemi del SISTRI da parte di esterni (con credenziali rubate grazie al browser insicuro).
Io spero che quando partirà il sistema un avviso automatico ci darà istruzioni preventive su come e dove aggiornare i software della chiave (mi sembra ci sia una voce sul sito, vicino al pulsante di autenticazione) PRIMA inserire dati "sensibili" nel sistema.
D'altra parte non possiamo aggiornare i programmi di nostra iniziativa: altereremmo arbitrariamente la chiave !!!!.
Speriamo bene....

Grazie della segnalazione!

Quello degli aggiornamenti è un problema che devono sicuramente affrontare.

hanno problemi a far partire il sistema figuriamoci ad aggiornarlo

Trovo assurdo che per funzionare la chiave utilizzi un suo browser interno, anziché il browser standard che è installato sul PC.
La chiave dovrebbe solo servire per memorizzare eventuali dati e per utilizzare le chiavi di firma.

Non è poi così assurdo Jano78: ogni browser ha le proprie regole e se il SISTRI dovesse adattarsi a tutti......
Solo i principali sono 5: Internet Explorer, Firefox, Opera, Safari, Chrome. Così invece ci si può collegare da qualsiasi PC, tutte le risorse necessarie sono sulla chiavetta, ed i programmatori SISTRI devono prevedere solo il protocollo per Firefox (anche se in versione ampiamente sorpassata ed insicura).
Quello che invece trovo veramente assurdo è un altro aspetto che ho notato anch'io, indicato nella discussione "chiavetta USB" da Stefy: il fatto che il browser del SISTRI, che il SISTRI ha messo sulla chiavetta NON riconosca come affidabile il certificato del sito originale del SISTRI: è un poco come se la tua banca ti consegnasse il PIN del Bancomat ed il distributore di banconote non te l'accettasse !!!!.
Speriamo che sia solo un fatto di aggiornamento: magari, il 1° ottobre, alla prima connessione ci sarà consigliato di aggiornare la chiavetta dal sito (mi sembra ci sia un pulsante "aggiornamenti"), ed in questo caso sai che intasamento dei server SISTRI (aggiornamento firefox, java, certificati, e chissà che altro: sicuramente ci sarà una qualche versione di database tipo MySQL per la registrazione dei movimenti anche sulla chiave) ??????
Intanto il mio smaltitore, al quale conferiamo tutti i rifiuti pericolosi NON ha ancora le chiavette, NON ha ancora l'appuntamento per il montaggio delle BB.
Mah........

Marco64 ha scritto:Non è poi così assurdo Jano78: ogni browser ha le proprie regole e se il SISTRI dovesse adattarsi a tutti......
Solo i principali sono 5: Internet Explorer, Firefox, Opera, Safari, Chrome. Così invece ci si può collegare da qualsiasi PC, tutte le risorse necessarie sono sulla chiavetta, ed i programmatori SISTRI devono prevedere solo il protocollo per Firefox (anche se in versione ampiamente sorpassata ed insicura).

Hai ragione non ci avevo pensato anche perché se no non si spiegherebbe come poter registrare i dati sulla chiave senza un software in un database MySql.

Marco64 ha scritto:Speriamo che sia solo un fatto di aggiornamento: magari, il 1° ottobre, alla prima connessione ci sarà consigliato di aggiornare la chiavetta dal sito (mi sembra ci sia un pulsante "aggiornamenti"), ed in questo caso sai che intasamento dei server SISTRI (aggiornamento firefox, java, certificati, e chissà che altro: sicuramente ci sarà una qualche versione di database tipo MySQL per la registrazione dei movimenti anche sulla chiave) ??????

Non sono sicurissimo, ma presumo che ogni azienda abbia una sua area ove registrare i dati in remoto altrimenti come potrebbero monitorare il tutto se nessuno registra i dati on-line, inoltre se fossere registrati sulla chiavetta sarebbe un dramma perché potrebbero andare perduti ed ogni volta il sistema dovrebbe aggiornare la chiave con i dati presenti nel sistema e riallinearli.
Credo più che altro che tutto sia on-line e che il Browser sulla chiave serva solamente per dialogare con il sistema anche se però on-line ho notato che esiste una parte per identificarsi, di conseguenza i certificati dovrebbero essere sulla chiave.