Alessandro Bottoni

Passaporti hi-tech? La chiamano sicurezza

di Alessandro Bottoni - Viaggio nella tecnologia dei cosiddetti passaporti biometrici, i nuovi documenti adottati anche in Italia. Una tecnologia nota per la sua vulnerabilitÓ, figlia di scelte discutibili

Roma - Gaia Bottà, in un suo recente articolo su PI ha dato notizia dell'adozione su larga scala di passaporti digitali biometrici da parte dell'unione europea (vedi:"UE, impronte nei passaporti"). Coloro che sono curiosi riguardo a questa tecnologia, trovano qualche informazione utile qui nel seguito. Altre informazioni (in inglese) sono reperibili qui
A questo indirizzo trovate anche tutto il necessario per clonare vari tipi di passaporto e per commettere altri tipi di reato. L'autore (un noto ricercatore inglese di nome Adam Laurie) le ha rese disponibili nella speranza che i nostri "decision makers" si rendano conto dei problemi che questa tecnologia presenta.

A cosa dovrebbero servire
I nuovi passaporti "digitali" dovrebbero servire ad impedire che un malintenzionato riutilizzi a proprio vantaggio il passaporto rubato ad un innocente cittadino, sostituendo la fotografia che si trova sul documento. Questo è, di fatto, il modo più semplice di procurarsi documenti falsi: si ruba il passaporto ad una persona la cui descrizione verbale corrisponde sommariamente a quella del malvivente, si sostituisce la foto e si spera che il funzionario della dogana abbia poco tempo da perdere nei controlli.

Ce n'era veramente bisogno?
Il problema di fondo è che l'unica cosa che lega il documento al suo proprietario è quasi sempre la fotografia. Basta quindi sostituire la foto per associare un documento esistente ad una nuova persona. Per questo si è pensato di incapsulare nei documenti anche i dati biometrici, come le impronte digitali.
In realtà, però, si poteva creare il necessario vincolo documento/proprietario almeno in altri due modi, molto meno infidi.
Il primo modo consiste ovviamente nell'incapsulare la foto e gli altri dati biometrici nel documento in modo più affidabile, ad esempio stampando la foto sul documento al momento della produzione, invece di "agganciarla" al documento con la puntatrice.
Il secondo, meno ovvio, consiste nell'usare un banale codice di controllo, cioè un PIN esattamente identico a quello usato per i Bancomat. Questo PIN poteva essere memorizzato su un chip RFID incapsulato nel documento e/o in una banca dati centralizzata. In questo modo, sarebbe diventato piuttosto difficile clonare un documento all'insaputa del suo proprietario. Se vi fidate dei PIN per il vostro conto corrente, perché non ve ne dovreste fidare per certificare l'associazione tra il vostro passaporto e voi?
Come sono fatti
I "passaporti digitali", in realtà, sono ben poco digitali. Sono normalissimi passaporti cartacei che nascondono al loro interno un chip di riconoscimento molto simile a quelli usati per marcare le merci nei supermercati. Non si tratta quindi di rettangolini di plastica simili a carte di credito o cose del genere.

RFID e Smart Card
Il chip nascosto all'interno del passaporto può essere un semplice RFID o una più complessa Smart Card.
Un RFID è semplicemente un piccolo circuito integrato che svolge le funzioni di un piccolo computer. Più esattamente, svolge le funzioni di un "trasponder". Quando questo chip viene "irradiato" da una "onda radio" della giusta frequenza, assorbe energia da questa onda radio, si attiva e risponde trasmettendo un segnale su un'altra frequenza. Questo segnale (che è digitale) contiene un "codice" che identifica in modo univoco il chip (e quindi il suo proprietario). Per essere più precisi, il codice che viene trasmesso può essere di due tipi diversi, a seconda del modello di RFID utilizzato.

Nei modelli più semplici è un numero molto grande e sempre uguale a sé stesso, cioè qualcosa come "274045284936012536497549243496543". Questo numero viene confrontato con quelli registrati in apposito database, in modo da risalire all'identità del proprietario. Questo numero si chiama UserID ("identificativo utente").

Nei modelli più sofisticati, il numero cambia ogni volta che si interroga l'RFID. Questo numero si chiama "Key" (o, per essere più precisi, "one-time key"cioè "password da usarsi una sola volta"). Sta quindi al sistema che riceve il segnale la responsabilità di applicare un apposito algoritmo per capire a chi appartiene il numero inviato dall'RFID. L'interrogazione del database non è più sufficiente, da sola, a risalire ad esso. Questo meccanismo viene usato per evitare che qualcuno copi lo UserID e crei una copia non autorizzata del passaporto. In pratica, l'RFID di questi documenti agisce come il "generatore di password one-time" che molte banche consegnano ai loro utenti di "home banking".

Gli RFID usati nei passaporti biometrici contengono anche un file che descrive l'impronta digitale del titolare. Come sia possibile accedere a questo file dipende dal tipo di RFID e dalla implementazione di tutto il sistema.
Le Smart Card sono dei dispositivi molto più complessi degli RFID. Sono in grado di contenere molte più informazioni di un RFID (l'impronta digitale, la foto del viso, i dati anagrafici etc.) e sono in grado di intrattenere un vero "dialogo crittografico" con il dispositivo usato per la lettura. Quando si usa una Smart Card è come se si mettessero in comunicazione via Wi-Fi o Bluetooth un computer portatile (la Smart Card) ed un computer fisso (il sistema di lettura). Il canale di comunicazione è cifrato e l'accesso ai dati presenti sulla Smart Card è protetto da un apposito protocollo di autenticazione. Cosa ancora più importante, gli UserID o le "one-time key" che risiedono sulla Smart Card non lasciano mai la Smart Card. Ogni verifica viene eseguita senza estrarre mai queste informazioni dalla Smart Card. Il livello di sicurezza è quindi molto elevato. Non a caso, le Smart Card vengono usate anche come carte di credito.
Sfortunatamente, per ragioni di costo quasi tutti i passaporti digitali esistenti usano dei semplici RFID, non delle Smart Card di tipo embedded ("incapsulato").

Passaporti Biometrici
I cosiddetti "passaporti biometrici" non sono altro che normali passaporti digitali che contengono all'interno del loro chip (RFID o Smart Card) i dati biometrici dell'utente: impronte digitali e/o foto del viso etc.
La ragione per cui si inseriscono questi dati dovrebbe essere, ancora una volta, quella di rendere infalsificabili questi documenti.

Contactless (in)Security
In ogni caso, la lettura del passaporto biometrico avviene "via radio", appoggiando il passaporto su un apposito lettore. Questa modalità di lettura è nota come "contactless" e rappresenta la prima fonte di preoccupazione.
In linea di principio (ed anche in pratica) è possibile leggere il passaporto biometrico all'insaputa del suo portatore. Ad esempio, il Daily Mail di Londra ha dimostrato che un qualunque impiegato delle Royal Mail può scoprire se all'interno di una busta in transito per gli uffici postali c'è un passaporto biometrico e può leggere questo passaporto semplicemente facendo scorrere un apposito lettore radio sulla busta, senza aprirla.
Questo vuol dire, ad esempio, che è teoricamente possibile leggere il passaporto anche mentre si trova nelle tasche o nella borsa del suo proprietario in fila per il check-in all'aeroporto.

La distanza di lettura
I sistemi RFID e le Smart Card contactless non possono essere letti da metri di distanza. La potenza con cui emettono il loro segnale di risposta è molto bassa ed obbliga ad avvicinare l'antenna del sistema ricevente a pochi centimetri dal documento. In teoria, bisogna "strisciare" il documento sul lettore come se fosse un badge (ed infatti, il passaporto digitale è un badge).
Questo in teoria. In pratica si possono usare antenne amplificate per ricevere il segnale da diverse decine di centimetri di distanza o, in alcuni casi, persino da alcuni metri di distanza. Questo è quanto basta per leggere il chip del documento che si trova all'interno della tasca di un viaggiatore, senza avvicinarsi a lui in modo sospetto.
Non solo: si può leggere il documento mentre transita per gli uffici, come abbiamo già detto.

Un foglio di alluminio
Il modo più semplice per proteggersi da questo tipo di intrusione consiste nell'avvolgere il documento in un foglio di alluminio da cucina. Il foglio funziona da "gabbia di Faraday" ed impedisce la lettura.

Fingerprinting
Il processo con cui si leggono queste informazioni e si risale al tipo di passaporto si chiama "fingerprinting" ("lettura delle impronte digitali") ed è virtualmente identico al modo in cui gli "hacker" (più esattamente gli "intruder") interrogano i server di Internet per scoprire quale sistema operativo adoperano.
Quali informazioni si possano ottenere in questo modo, e quale uso si possa fare di queste informazioni, dipende dal tipo di passaporto. Nel caso dei passaporti Australiani, ad esempio, una peculiarità nel modo in cui rispondono alle interrogazioni permette di riconoscerli come passaporti australiani in mezzo ad una serie di altri tipi di passaporto digitale. Questo permette di identificare un australiano in fila al chek-in in mezzo ad una folla di persone provenienti da tutto il mondo.
I passaporti italiani fanno di peggio: rispondono alle interrogazioni fornendo lo UserID, per cui è possibile identificare una specifica persona e tracciarla. Tuttavia, per associare questo UserID ad un profilo anagrafico (nome e cognome) è ancora necessario ricorrere ad altri mezzi (in pratica, basta leggere "visivamente" il passaporto).

Sicurezza
Fino a questo punto, abbiamo parlato solo di "letture abusive" dell'RFID presente su questi passaporti. Nessuna delle tecniche che ho citato richiede di "crackare" l'RFID.
Ma si può andare molto oltre. Sono già stati messi a punto dei programmi che interrogano l'RFID e tentano un attacco a forza bruta contro il protocollo crittografico che protegge le informazioni contenute nel chip. Se l'attacco ha successo, un malvivente può accedere a tutte le informazioni contenute nell'RFID, non solo allo UserID od al tipo/nazionalità del documento.
Programmi di questo tipo sono forniti di serie con alcune distribuzioni Linux destinate alla sicurezza, come Backtrack e OSWA Assistant.
Quasi tutti questi programmi si basano sul fatto che alcuni elementi del protocollo crittografico sono facilmente prevedibili e quindi è relativamente semplice impersonare un lettore autorizzato all'accesso. Purtroppo, la scarsa imprevedibilità di questi elementi del protocollo non è il frutto di un errore di implementazione. Si tratta invece di una delle conseguenze della scarsa potenza di calcolo e della poca memoria disponibile su questi piccoli chip. Non c'è quindi una "cura" facile ed immediata per questo problema.

UserID e Codice Fiscale
Nell'ambiente dei crittografari, gli oggetti come gli UserID non sono molto amati e si preferisce usare delle one-time key. Per capire la ragione di questa idiosincrasia si può esaminare il caso di uno UserID famosissimo: il codice fiscale.
Come è noto, il codice fiscale può essere assemblato a partire da una serie di informazioni anagrafiche. Su Internet, infatti, esistono diverse piccole "applet" che sono in grado di calcolare il codice fiscale di una persona a partire dai suoi dati anagrafici. Basta quindi visitare la pagina di Wikipedia che parla di Silvio Berlusconi e dare i suoi dati in pasto ad una queste applet per ottenere il suo codice fiscale.
Come sapete, il codice fiscale (da solo!) permette di accedere a diverse informazioni ed a diversi servizi che sono riservati al suo titolare. Di conseguenza, a questo punto è possibile, ad esempio, andare all'INPS e chiedere di conoscere lo stato di "pensionabilità" del presidente del consiglio in carica.
Anche se Berlusconi è troppo noto per poter essere oggetto di questo tipo di abusi, questo tipo di abuso è stato realmente commesso negli anni passati, a danno di molte persone, in vari casi e per ottenere informazioni di vario tipo.
Lo UserID univoco che si trova all'interno di un passaporto digitale può essere usato in modo simile.

Cloning
Conoscendo lo UserID di un passaporto esistente è possibile crearne una o più copie. Questo è già stato fatto in varie occasioni. Ad esempio, il Daily Mail di Londra ha creato una copia del passaporto digitale di un suo collaboratore solo quattro ore (4 ore) dopo che questo tipo di passaporto è stato reso disponibile agli utenti attraverso gli uffici.
Nonostante questa cocente sconfitta, quel tipo di passaporto digitale è tuttora in uso in Inghilterra (sei anni dopo il crack!) ed è stato distribuito a milioni di cittadini.

Riuso delle informazioni
Anche senza clonare il passaporto, tuttavia, è già possibile usare le informazioni contenute nel chip per altri scopi.
Ad esempio, è tecnicamente possibile leggere i dati relativi alle impronte digitali ed usarli in seguito per accedere ad altri servizi protetti da sistemi biometrici, come le porte di accesso ad alcune banche e, in futuro, certi terminali bancomat.
Si possono usare questi dati sia per costruire un clone delle dita dell'utente sia per bypassare il sistema di lettura, inviando i dati codificati direttamente al database. In tutti i casi, occorrono competenza tecnica e strumentazione adeguate. Attualmente, questo tipo di competenze e di strumentazione si trovano al di fuori dello spettro di possibilità di un comune ladro, ma sono ben all'interno dello spettro di possibilità di organizzazioni più complesse, come i servizi segreti di vari paesi. In futuro, potrebbero diventare accessibili anche ad un comune ladro.
Vi ricordo che questi dati possono essere letti abusivamente ed all'insaputa dell'utente in varie occasioni, ad esempio durante il transito presso gli uffici postali.

L'accesso in scrittura
I passaporti biometrici, come qualunque altro documento, possono essere "aggiornabili". A suo tempo sono stati presentati dei modelli "avanzati", che usano chip da Smart Card (non dei semplici RFID), in cui è possibile cambiare i dati anagrafici contenuti nel chip, ad esempio per inserire il nome del coniuge quando il titolare del documento si sposa. In buona sostanza, i passaporti biometrici possono essere "scrivibili". Ovviamente, l'accesso in scrittura è concepito in modo che possa essere usato solo dalle autorità di polizia. L'impiegato della dogana deve presentare delle apposite password per accedere al chip e modificare i dati.
Questo però vuol dire che, in alcuni casi, è teoricamente possibile che un malintenzionato (un ladro od un falsario, ma potrebbe essere anche la CIA od il SISMI) riesca ad accedere al passaporto digitale di un cittadino ed a scrivere al suo interno delle nuove informazioni. Teoricamente è quindi possibile partire da Roma come "Signor Mario Rossi, commercialista incensurato" ed arrivare a New York come "Usama Bin Laden, terrorista ricercato, preferibilmente morto".
Per fortuna, sembra che finora nessun governo abbia deciso di adottare passaporti di questo tipo. In ogni caso, i passaporti italiani non sono scrivibili. Per aggiornare le informazioni "critiche" bisogna sostituire il documento ed il chip.

Biometria
L'uso di informazioni biometriche come elemento di certificazione dell'identità o come "chiave di accesso" presenta una gravissima vulnerabilità di fondo: se la chiave (l'impronta digitale) viene "compromessa" (cioè entra in possesso di qualche malintenzionato) non può essere sostituita. Se qualcuno riesce ad accedere abusivamente alle impronte digitali memorizzate nel vostro passaporto biometrico, può prendere il vostro posto e voi non avete più nessun modo di impedirglielo. Non potete sostituire le vostre impronte digitali come fareste con una Carta di Credito o con la chiave dell'auto. Un "furto d'identità" di questo tipo ha delle conseguenze gravissime sulla vita personale di un individuo. Questa è una delle ragioni per cui la biometria viene tradizionalmente usata solo quando non è davvero possibile usare nient'altro. La superficialità con cui si è deciso di utilizzare queste tecniche su larga scala, per identificare i cittadini, dovrebbe far riflettere.

IMHO
Le vulnerabilità dei passaporti digitali, soprattutto di quelli inglesi, italiani ed australiani, sono note da tempo e sono state oggetto di spettacolari dimostrazioni negli anni passati (vedi: http://rfidiot.org/).
Dato che queste vulnerabilità sono ben note, autorizzare l'uso su larga scala di questi dispositivi per certificare l'identità dei cittadini è un atto gravissimo ed irresponsabile, commesso da una "classe dirigente" europea che si dimostra sempre più incompetente e superficiale ogni volta che tratta temi tecnici.

Se quanto ho appena detto vi sembra grave, eccessivo od altro, vi invito a riflettere. Pensate solo cosa può succedere a voi ed ai vostri figli in occasione del vostro prossimo viaggio/vacanza in paesi come la Thailandia, la Malesia, l'Egitto, gli Stati Uniti, la Cina e via dicendo. Se l'immaginazione non vi aiuta, potete rivedere film come "Fuga di mezzanotte" o "L'angolo rosso".
Vi piacerebbe partire da Milano come "Signore e Signora Verdi, incensurati e con figli al seguito" ed arrivare a Bangkok come "possibili trafficanti di esseri umani da trapianto, con vittime al seguito, che stanno usando passaporti noti per essere già stati clonati"? Non siete ansiosi di sperimentare l'ospitalità delle carceri tailandesi?
Se non riuscite a capire quale sia il valore della vostra identità, potete sempre rivedere il film "intrappolata nella rete". Si tratta di un film di fantascienza del 1995 e, come tutti i film di fantascienza, parla di un futuro remoto ed improbabile. Ma era il futuro remoto ed improbabile del 1995. Ora siamo del 2009 e quel futuro è molto meno improbabile e molto meno remoto di allora.

La soluzione giusta
Se proprio si voleva fare un passo avanti nella sicurezza dei documenti, sarebbe stato necessario usare delle vere Smart Card, del tipo usato per la "strong authentication", come quelle prodotte da RSA e da Aladdin, in formato "Credit Card" o "USB Stick".
Queste Smart Card e queste chiavi USB possono contenere tutti i dati necessari (incluse le foto e le impronte digitali) e possono essere lette da un apposito lettore su un normale computer (o, nel caso delle "USB Stick", infilandole semplicemente nella slot USB). Non ci sarebbe quindi stato il pericolo della lettura a distanza e ad insaputa dell'utente.

Non solo: questi dispositivi possono essere usati solo se il loro proprietario fornisce la sua autorizzazione digitando l'apposito PIN. Non è quindi possibile usare la Smart Card di un'altra persona a sua insaputa. Infine, i codici di autenticazione di queste Smart Card non lasciano mai il chip della Smart Card e non possono quindi essere riutilizzati in nessun modo. Queste Smart Card sono sostanzialmente impossibili da clonare.

Questi dispositivi forniscono lo stesso grado di sicurezza che garantisce la vostra carta di credito di tipo "Smart Card" (quelle col chip) quando accedete al vostro conto corrente per effettuare un pagamento, cioè un livello di sicurezza elevatissimo. Considerando che lo stato pretende circa 120 euro come "diritti di cancelleria" ogni volta che rilascia un passaporto, questo avrebbe dovuto essere il grado di sicurezza minimo con cui proteggere l'identità dei cittadini europei, non quello (risibile) che può fornire un banale RFID.

Alessandro Bottoni
www.alessandrobottoni.it

Tutti i precedenti interventi di A.B. su Punto Informatico sono disponibili a questo indirizzo
19 Commenti alla Notizia Passaporti hi-tech? La chiamano sicurezza
Ordina
  • se è per questo clonano le targhe, carta di identita' patente, ed altro. vorrei fare una scommessa con l'autore perchè non si presenta lui alla dogana con un passpaorto clonato vediamo cosa succede. secondo me si fa come minimo 6 ore in qualche ufficio.
    non+autenticato
  • Attenzione, quello che ha descritto l'autore non è possibile. Anche se si riuscisse a clonare il passaporto biometrico si otterrebbe comunque solo un clone cioè un passaporto esattamente uguale al primo con gli stessi dati e le stesse immagini e quindi inutile.......
    I dati interni sono immodificabili.
    Prima di dire c....te è meglio informarsi.
    P.S. Anche il passaporto italiano ha il PIN ma non si vede e non bisogna digitarlo, lo può leggere solo un lettore ottico e non è conctactless.
  • cioè il pin è scritto sopra al passaporto?
    Come attaccare un post-it con la password d'accesso sul monitor..
    non+autenticato
  • non e' un pin ma una public key, che come definizione puo' e deve essere pubblica.
    smartcard e rfid, anche qui confusione: una smartcard puo' avere tecnologia rfid come un telefono puo' essere fisso o cellulare (anzi tutti i nuovi passaporti usano lo standard RFID ISO14443).
    I nuovi passaporti devono essere certificati common criteria 5+, un livello molto alto di sicurezza, se guardiamo i chip per passaporto di vecchia generazione questi livelli non li troviamo.
    Mah se qualcuno scrive su PI mi aspetto che prima si sia un po' documentato.
    non+autenticato
  • - Scritto da: verdirame augusto
    [...]
    > Mah se qualcuno scrive su PI mi aspetto che prima
    > si sia un po' documentato.

    Purtroppo non è la prima volta che si leggono certe sciocchezze... e quasi tutte dallo stesso autore, ahimè
  • Clonare significa ricreare una copia identica all'originale.
    non+autenticato
  • Ma non si poteva concatenare allo UserID un numero casuale, fare l'hashing (tipo con lo sha-2) ed usare quello?

    E perche' non si e' usata una one-time key? V'immaginate SSL senza one-time key?

    Oltre alla dubbia cosa della trasmissione radio, vero e' che la tecnologia e' quella, ma l'etere non e' un canale sicuro!
    non+autenticato
  • >ad esempio stampando la foto sul documento al
    >momento della produzione, invece di "agganciarla"
    >al documento con la puntatrice

    Ed infatti sui nuovi passaporti la foto è stampata, non incollata sul documento. Inoltre la stessa foto viene "serigrafata" di nuovo, in versione ridotta, sulla parte destra del passaporto.

    Pare che l'autore dell'articolo non abbia mai visto un passaporto biometrico.
  • non mi risulta che basti il codice fiscale per accedere ai dati della pensione. Occorre anche il PIN rilasciato dall'INPS.
  • Non saro' un grande esperto di biometria ne' un maestro della falsificazione di documenti, ma da semplice uomo della strada mi permetto di avere un'opinione diversa ad esempio da quella di Calamari. Intanto sono molto scettico quando sento parlare di codici indecifrabili, documenti non falsificabili e cose del genere, perche' di solito dopo un po' si legge che certe protezioni qualcuno e' riuscito a violarle, ma soprattutto al contrario di Calamari ritengo sarebbe piu' sicuro mettere tutte le impronte digitali e al caso altri dati biometrici in un unico bel database (magari a livello mondiale) e non usare carte di identita' ne' passaporti. Quando una pattuglia della polizia o la polizia di frontiera di un qualsiasi stato vuole accertarsi della mia identita', mi chiede chi sono, io rispondo, e controllano sul database che sia vero, o addirittura mi puntano contro una telecamera e il sistema automaticamente mi identifica (il che non dovrebbe interessare a nessuno) e soprattutto puo' avvertire se sono un ricercato. Che la foto messa su un passaporto sia proprio la mia o che le impronte digitali memorizzate in sunto nel passaporto siano quelle di chi presenta il passaporto non dice nulla, non mi risulta che mai qualche criminale abbia messo sui propri documenti falsi la foto della sorella.
    Paolo
    non+autenticato
  • Se sai leggere l'inglese ti consiglio la lettura di questo articolo di Bruce Schneier (guru mondiale sulla sicurezza informatica) che smonta completamente la tua argomentazione.

    http://www.schneier.com/testimony-realid.html

    Saluti.
    non+autenticato
  • Ad occhio provo a risponderti anch'io, che guru non sono ma studio ingegneria informatica.

    I codici si decifrano perche' tutti gli algoritmi di cifratura sono bucabili in teoria.
    Quando scegli una chiave di x bit di lunghezza stai scegliendo un numero tra 2^x possibilita' (la base e' 2 perche' i bit hanno solo 2 valori 0 e 1), basta che provo tutte le possibilita' e l'algoritmo lo buco a prescindere dalla sua solidita'.

    Tuttavia, per provare 2^128 possibilita' si impiega tempo, parecchio tempo, soprattutto se posso provare poche possibilita' alla volta, o se ci metto troppo tempo per provarne una. Se per riuscirci ci impiego 70 anni, e' vero che ho la chiave, ma probabilmente non me ne faccio nulla perche' avrai cambiato password, sistema, vita ecc.

    Mano mano che i calcolatori diventano piu' potenti, il tempo per provare una singola possibilita' diminuisce ed anche il tempo complessivo per bucare l'algoritmo. Quando si passa da 70 anni a 3 mesi di tempo possiamo dire che l'algoritmo e' bucato (per alcuni usi, per le one-time key e' ancora buono). O si aumenta la chiave (il numero di possibilita') o si cambia algoritmo.

    La solidita' della crittografia e' che quando cerchi una chiave non puoi sapere a priori se per ogni bit sia meglio usare 1 o 0. Se qualcuno riuscisse a dimostrare il contrario vincerebbe il premio Turing (equivalente del Nobel che per l'informatica non esiste) e diventerebbe l'Einstein dell'informatica.

    La sicurezza della crittografia e' che se bucherai la chiave, quando ci riuscirai non ti servira' piu', ma in teoria ogni algoritmo e' bucabile (basta provare tutte le chiavi che sono in numero finito)

    Per quanto riguarda il database centralizzato, i problemi:
    1) Se il database casca si blocca tutto, ma e' un problema facilmente risolvibile (piu' copie sincronizzate dello stesso DB)
    2) Se qualcuno s'intrufola ha tutte le informazioni di tutti, idem se c'e' un dipendente delinquente
    3) Il canale di comunicazione poliziotto-database non puo' essere in generale sicuro (leggi internet), quindi chiunque potrebbero prendere per il culo il poliziotto e fingere di essere il database centralizzato (tanto per dirne solo una)

    Infine, il riconoscimento facciale e' ancora debole. Se uno invecchia il riconoscimento va a puttane, idem se fa le boccaccie, si mette barba e baffi finti, si spara in faccia una luce forte (magari anche orientata in modo strano es dal basso verso l'alto) oppure sta con la faccia al buio.

    Ma secondo me anche le impronte digitali sono discutibili, il matching sulle impronte digitali si fa solo su alcuni punti di esse, mi spiego:
    La polizia prende le mie impronte e le sbatte in un'immagine. Per evitare di impiegarci una vita, il software campiona strategicamente l'immagine (si memorizza solo alcuni punti) e quella sara' l'impronta dell'individuo. Quando arriva uno sconosciuto, l'autenticazione si fara' confrontando i punti strategici dello sconosciuto e quello memorizzato in precedenza.
    Inoltre, le impronte sulla mano si deteriorano, se usiamo le mani per compiti duri (spalare, picconare, coltivare ecc.).

    Meglio le impronte digitali e la scansione dell'iride, comunque, sono molto piu' solidi del riconoscimento facciale o, peggio, vocale (allo stato dell'arte). Ma non credete che siano infallibili, lo dico perche' l'eguaglianza:
    + informazioni private salvate = + sicurezza
    e' falsa. Questa invece e' vera:
    + informazioni private salvate = + danni in caso di leaks
    A mio avviso la sicurezza assoluta non esiste, esiste quella relativa, cioe' dati dei rischi chiari posso prendere delle contromisure cosicche' chi mi vuol male non e' in grado di farlo, una di queste puo' essere tentare di attenuare o eliminare le cause, se possibile (es se la musica costasse poco, non mi converrebbe comprarmela dal marocchino poiche' oltre al basso costo d'acquisto ho il costo dovuto al rischio di essere fregato/sanzionato).

    Non credete a chi declama maggiore sicurezza in generale, perche' non si puo' avere ne' ha senso averla (se non riesco a modellare il mio avversario non so cosa sa fare e quindi dove difendermi). D'altronde, se (in teoria) non avete nulla di interessante da offrire a nessuno, chi vi dovrebbe voler male? Un malato di mente, direte voi, allora il problema e' chi non ha accudito il malato di mente, questo e' un problema sanitario, non di sicurezza.
    non+autenticato
  • Intervento utile e interessante.

    Solo un appunto.
    Dici: "D'altronde, se [...] non avete nulla di interessante [...] chi vi dovrebbe voler male? Un malato di mente [...]".

    Ahimè, questa è una valutazione ottimistica.
    In uno scenario caratterizzato da elevata "data retention" ed elevati flussi di dati personali, la probabilità di divenire inconsapevole strumento di un mascheramento o di un diversivo cresce drasticamente.
    Che, poi, chi fa un danno ad un terzo innocente solo per un proprio vantaggio, magari anche minimo, possa essere definito "malato di mente"á...ábeh, sì, ci sta anche.
    non+autenticato
  • > Che, poi, chi fa un danno ad un terzo innocente
    > solo per un proprio vantaggio, magari anche
    > minimo, possa essere definito "malato di
    > mente"á...ábeh, sì, ci sta
    > anche.

    Con malato di mente, intendevo, formalmente, il classico matto violento che andrebbe curato, quello che dici tu e' un "adversary" alla trudy, ma da un punto di vista umano ci sto anch'io a chiamarlo malato di menteSorride

    Io credo che di elevata data retention non ce ne dovrebbe proprio essere, cioe' bisgnerebbe mantenere quello che serve e non di piu', quali possono essere i casi di elevata data retention?

    Meno dati salvi, meno leaks puoi avere, ma avere troppi pochi dati non ti permette di autenticare alcunche'. Tipicamente in informatica ci si basa su un segreto condiviso.
    Alla fine c'e' la risposta di default: la sicurezza e' un trade-off tra costi, protezione e dati gestiti da terzi "affidabili"
    Fermo restando che, a mio avviso, se non modelli l'adversary non puoi parlare di sicurezza, devi combattere sempre il tuo avversario su un campo in cui tu sei forte e lui e' debole.

    In parole povere, se so che il mio avversario non ha accesso allo storico dei dati, so che non puo' riutilizzare vecchi messaggi per armarmi una fregatura e scarto alcuni metodi che pero' sono vulnerabili a quel tipo di attacco (chosen plain-text in gergo). Una segretaria, ad esempio, puo' fare attacchi di quel tipo (se ne avesse le competenze tecniche).

    Forse non ho ben capito cosa mi volevi dire, ma non puoi negare che poche persone sarebbero interessate a rubarti un ombrello semidistrutto a cui tu sei affettivamente legato, giusto un ragazzino che non ha un cazzo da fare (al limite) ma implica una protezione diversa da un furto professionale (il modello di adversary e' diverso).

    Il principio e' il medesimo, meno un dato e' interessante, minori possono essere le protezioni poiche' ci saranno meno attacchi anche perche' il dato vale poco.
    non+autenticato
  • Lo scenario che ho supposto vede in campo burocrati e politici assetati di dati e procedure funzionalmente superflui (ma a loro utili in termini di ruolo e controllo), e sembra quello che si profila all'orizzonte, purtroppo.

    "L'ombrello semidistrutto" può servire a creare un diversivo e non conta molto di chi sia o quanto valga in sé o per il proprietario.

    Quello che i politici sembrano non voler capire è che la loro passione per la burocrazia superflua (in carico ai cittadini, ovviamente, non a loro stessi) e il controllo sovradimensionato (idem come prima) è foriera di complicazioni e pericoli più che portatrice di soluzioni e sicurezza.
    non+autenticato
  • - Scritto da: ancora sul piccolo appunto
    > Lo scenario che ho supposto vede in campo
    > burocrati e politici assetati di dati e procedure
    > funzionalmente superflui (ma a loro utili in
    > termini di ruolo e controllo), e sembra quello
    > che si profila all'orizzonte,
    > purtroppo.
    >
    > "L'ombrello semidistrutto" può servire a creare
    > un diversivo e non conta molto di chi sia o
    > quanto valga in sé o per il
    > proprietario.
    >
    > Quello che i politici sembrano non voler capire è
    > che la loro passione per la burocrazia superflua
    > (in carico ai cittadini, ovviamente, non a loro
    > stessi) e il controllo sovradimensionato (idem
    > come prima) è foriera di complicazioni e pericoli
    > più che portatrice di soluzioni e
    > sicurezza.


    Aaaahhh!A bocca aperta
    Avevo capito male! (Oddio, spero di non diventare Berlusconi!A bocca aperta )
    In effetti si', hai ragione. Tutto questo chiasso sulla schedatura degli onesti cittadini puo' essere dovuto solo a due cose:
    1) Ignoranza dello strumento (informatica) e del problema (sicurezza) e voglia di farsi pubblicita' a basso costo per capitalizzare voti facili di chi a sua volta non conosce le due cose prima dette (cioe' la maggioranza della gente)
    2) Desiderio di tenere sotto controllo quello che puo' essere un pericolo per lui (il libero cittadino e la liberta' di pensiero). Qualunque politico avra' sempre interesse ad estendere il proprio potere vita natural durante, assumendo che tutti agiscano egoisticamente, cioe' cerchino di massimizzare il proprio benessere senza guardare in faccia a niente e nessuno.
    E' quindi normale che, il principale nemico del politico al potere, siano gli organismi di controllo (magistratura, assumendo che la legge sia uguale per tutti) e la cittadinanza (che lo vota, e quindi puo' impedirgli di avere di nuovo potere). Mentre un organismo di controllo si puo' corrompere o adulterare (essendo fatto da poche persone, ed essendo appunto persone), e' piu' difficile corrompere o adulterare il meccanismo di controllo imposto dalla gente, perche' sono troppe persone (da corrompere) e soprattutto perche' ci sara' sempre quello che avra' interessi contrapposti al politico (magari vorrebbe prenderne il posto, assumendo che tutti siano "perfettamente razionali"). Se le persone sono molte non e' possibile giungere a nessun accordo con esse affinche' il politico non sia controllato. L'unica sarebbe governare bene, ma allora il politico non avrebbe il potere vita natural durante, ed il teorema casca.

    Invece, se si schedano tutti, l'apparato repressivo puo' colpire con maggiore durezza e cattiveria, quando non scientificta' (data-mining sugli oppositori politici), annullando rapidamente qualunque critica o opposizione.

    Aggiungici legge diseguale per i potenti, magistratura politicizzata (con due prosciutti sugli occhi quando deve giudicare i potenti), propaganda politica invece di informazione indipendente, e la dittatura e' servita
    non+autenticato
  • Trasparenza e Sousveillance
       piuttosto che
    Opacità e Surveillance
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 6 discussioni)