Claudio Tamburrino

USA, a rischio le password finanziarie

Svelato l'algoritmo che sta dietro i Social Security Number. Una scoperta che per metà parla italiano

Roma - L'italiano Alessandro Acquisti e Ralph Gross, ricercatori della Carnegie-Mellon University, affermano di aver scoperto lo schema dietro alla composizione dei numeri del Social Security Number (SNN).

Per i cittadini statunitensi il SNN è la password principale per i servizi finanziari (per pagare le tasse o riceve aiuti governativi per esempio) ed è stata adottata, quasi uniformemente, come mezzo per verificare l'identità dai principali istituti finanziari. Per questo è interesse del cittadino tenerlo segreto e la scoperta di un algoritmo per indovinarlo è una vera e propria scossa al sistema.

Sviluppare numeri perfettamente casuali è praticamente impossibile e spesso i software scritti per crearli utilizzano un (seppur flebile) schema su cui può lavorare un cifratore. Studiando l'elevato numero di dati disponibili sulle persone decedute sul sito Social Security Administration's Death Master File - una banca dati contenente il nome, la data e il luogo di nascita e di decesso nonché il SNN di oltre 65 milioni di defunti - è stato possibile trovare una corrispondenza statistica significativa. D'altronde i Social Security Number sono stati ideati ben prima che computer e furti di identità diventassero pane di tutti i giorni e quindi non sono stati studiati tenendo conto di queste eventualità.
Ironia della sorte: il database dei Death master files e l'iniziativa Enumeration at birth del 1988, per cercare di assegnare tutti i SNN al momento della nascita, erano due misure che avrebbero dovuto rendere più difficile il furto di identità, e che invece si sono dimostrati i pezzi fondamentali per costruire il quadro della casualità con cui erano costruiti i numeri.

I dettagli della ricerca sano stati pubblicati nel National Academy of Sciences journal e saranno spiegati nella convention Black Hat di fine luglio, appuntamento annuale di hacker a Las Vegas. Naturalmente l'algoritmo non è stato reso pubblico per motivi di sicurezza. Tuttavia il lavoro, in ogni caso, vuole suonare subito l'allarme: "Aziende e agenzie governative dovrebbero smettere di usare il SSN come password o identificatore unifico di identità - ha detto il Professor Acquisti - Viviamo come se fossero sicuri, ma non sono un segreto".

D'altra parte le percentuali di successo diffuse dai due ricercatori non sono trascurabili: partendo da data e luogo di nascita, in media, se per dati antecedenti al 1988 le prime cinque cifre sono ottenibili nel 7 per cento dei casi entro i primi cinque tentativi, dopo questa data le percentuali arrivano al 44 e fino al 90 per cento per stati più piccoli come il Vermont. Tutto questo è reso ancora più pericoloso dal fatto che alcuni siti, se si forniscono correttamente data e luogo di nascita, permettono fino a due cifre del SSN sbagliate e spesso permettono numerosi tentativi prima di bloccare un indirizzo IP: secondo gli autori, una botnet di 10mila apparecchi potrebbe ottenere, così, l'identificazione online dei giovani residenti nella West Virginia ad un ritmo di 47 al minuto. I dati da cui dovrebbe partire, poi, sono quelli molto spesso facilmente rintracciabili su siti specifici, nelle liste elettorali o volontariamente divulgati sui social network.

Il lavoro è stato condiviso, prima della pubblicazione, con la Social Security Administration che sembrava quasi sottovalutare la notizia: "il pubblico non dovrebbe allarmarsi, dal momento che non si tratta di un metodo testato per predire il SSN di una persona", ha riferito in un comunicato. Tuttavia i portavoce dell'agenzia hanno anche annunciato che "per ragioni indipendenti da questo report, l'agenzia sta sviluppando un sistema per assegnare casualmente i SNN. Il sistema entrerà in vigore il prossimo anno".

Claudio Tamburrino
15 Commenti alla Notizia USA, a rischio le password finanziarie
Ordina
  • SSN, non SNN
    non+autenticato
  • Gli USA usano l'SSN, in Italia si usa il codice fiscale !

    Se per craccare l'SSN (cioé per risalire, dai dati anagrafici della persona all'SSN) ci sono voluti anni di lavoro ed i dati di 65 milioni di persone per fare lo stesso con il codice fiscale italiano basta un minuto ed un programmino del cavolo che si trova dappertutto in internet.
    Cognome,nome,data e luogo di nascita: ecco il "codice" italiano, probabilmente progettato da un crittografo dei carabinieri
    non+autenticato
  • Permettimi di farti notare che da noi il codice fiscale è solo l'identificativo univoco di ognuno di noi... univoco perchè nel caso di due codici fiscali calcolati come uguali, uno dei due viene variato dall' intendenza di finanza.
    infatti si parla di codice fiscale assegnato e non calcolato.
    Su Wikipedia ci dovrebbe essere tutto...

    Solo un folle lo utilizzerebbe come password, ma di matti ne è pieno il mondo!!!!
    Tant'è che in molte società che bazzico quando ti assegnano le credenziali di posta, come password da cambiare al primo login ti danno proprio quello... Tanti varrebbe pippo123 !!!
    non+autenticato
  • Ma nooooo... Come hai fatto ad azzeccare la mia pwd di rete???
    non+autenticato
  • - Scritto da: Undertaker
    Sarai mica quello di ISM e ISF1... perché il tenore delle cazzate è analogo.

    > Cognome,nome,data e luogo di nascita: ecco il
    > "codice" italiano, probabilmente progettato da un
    > crittografo dei carabinieri

    Per prima cosa il codice fiscale italiano è stato progettato appositamente perché contenesse espliciti riferimenti ai dati anagrafici. Secondariamente con quei programmini su Internet si fanno spesso danni a causa delle omocodie (molto frequenti) e dei codici non standard che spesso sono assegnati.
  • - Scritto da: THe_ZiPMaN
    > - Scritto da: Undertaker
    > Sarai mica quello di ISM e ISF1... perché il
    > tenore delle cazzate è
    > analogo.

    Flavio, teniamo bassi i toni per cortesia. Per il resto come darti torto?
    non+autenticato
  • - Scritto da: Undertaker
    > Gli USA usano l'SSN, in Italia si usa il codice
    > fiscale
    > !
    >
    > Se per craccare l'SSN (cioé per risalire, dai
    > dati anagrafici della persona all'SSN) ci sono
    > voluti anni di lavoro ed i dati di 65 milioni di
    > persone per fare lo stesso con il codice fiscale
    > italiano basta un minuto ed un programmino del
    > cavolo che si trova dappertutto in
    > internet.
    > Cognome,nome,data e luogo di nascita: ecco il
    > "codice" italiano, probabilmente progettato da un
    > crittografo dei
    > carabinieri

    sei il super troll di it.sport.formula1 ???
    Se sì allora ritorna a rosicare per i 31 mondiali Ferrari!
    non+autenticato
  • - Scritto da: Undertaker
    > Gli USA usano l'SSN, in Italia si usa il codice
    > fiscale
    > !
    >
    > Se per craccare l'SSN (cioé per risalire, dai
    > dati anagrafici della persona all'SSN) ci sono
    > voluti anni di lavoro ed i dati di 65 milioni di
    > persone per fare lo stesso con il codice fiscale
    > italiano basta un minuto ed un programmino del
    > cavolo che si trova dappertutto in
    > internet.
    > Cognome,nome,data e luogo di nascita: ecco il
    > "codice" italiano, probabilmente progettato da un
    > crittografo dei
    > carabinieri

    Infatti SSn e Cof. Fiscale hanno finalità diverse, genio!
    L'algoritmo del codice fiscale è pubblico, perchè non deve essere un segreto, perchè non è nato come un segreto fra amici del cuore...
    non+autenticato
  • - Scritto da: Undertaker
    > Gli USA usano l'SSN, in Italia si usa il codice
    > fiscale
    > !
    >
    > Se per craccare l'SSN (cioé per risalire, dai
    > dati anagrafici della persona all'SSN) ci sono
    > voluti anni di lavoro ed i dati di 65 milioni di
    > persone per fare lo stesso con il codice fiscale
    > italiano basta un minuto ed un programmino del
    > cavolo che si trova dappertutto in
    > internet.
    > Cognome,nome,data e luogo di nascita: ecco il
    > "codice" italiano, probabilmente progettato da un
    > crittografo dei
    > carabinieri

    Sei americano, vero?
  • Il codice fiscale non ha nessuna funzione di tipo crittografico e non è mai stato pensato per questo scopo.
    non+autenticato
  • - Scritto da: AxAx
    > Il codice fiscale non ha nessuna funzione di tipo
    > crittografico e non è mai stato pensato per
    > questo scopo.

    Infatti. Da quello che capisco leggendo l'articolo, l'SSN serve a dare una "certificazione" di identità a chi lo fornisce: ti scrivo come "pippo" e sono "pippo", infatti eccoti l'SSN di "pippo". Diciamo che svolge una funzione che qui da noi è svolta dalle smart-card digitali, mezzo peraltro - ritengo - assai più sicuro in quanto comporta l'intervento di un terzo soggetto (l'ente certificatore), non è sufficiente conoscere una sequenza di cifre. ciao
    non+autenticato
  • o un troll o uno che che dovrebbe andare a dormire prima la seraA bocca aperta
    non+autenticato