Alfonso Maruccia

ID digitali, in Germania è Chaos (Computer Club)

La celebre organizzazione di hacker ritorna all'attacco dei documenti che la Germania fornirà presto a tutti i suoi cittadini. I chip RFID sono insicuri e i dati facili da copiare

Roma - La Germania si prepara a rilasciare la bellezza di 60 milioni di nuovi documenti di identità elettronici dotati di chip RFID, e le autorità evidenziano con orgoglio i molti vantaggi garantiti ai cittadini teutonici attraverso la nuova tecnologia. A non essere affatto entusiasti delle rinnovate e-carte d'identità sono gli hacker del Chaos Computer Club, che ne dimostrano prontamente tutte le vulnerabilità lavorando di concerto con esperti di sicurezza svizzeri.

Le carte - realizzate dal produttore olandese NXP - contengono un microchip in grado di interagire con lettori e sistemi di autenticazione online alla stregua di quanto succede con lo standard bancario tedesco HBCI. Il meccanismo di autenticazione richiede il passaggio della carta attraverso un lettore e la digitazione dell'apposito PIN personale rilasciato all'utente dall'istituto che l'ha emessa (in questo caso le autorità di Berlino).

In teoria le carte di identità dovrebbero essere sicure, ma quelli del CCC hanno dimostrato per l'ennesima volta che sicurezza e ID digitali sono spesso e volentieri due rette parallele: le vulnerabilità scovate dagli hacker e dagli esperti svizzeri includono la possibilità di un attacco di tipo "man-in-the-middle", trojan informatici (vulnerabili lettori dotati di tastiera per la digitazione del PIN e non), la relativa facilità con cui è possibile copiare contenuti e identità registrati nei microchip e altre ancora.
Uno dei peggiori difetti delle ID digitali tedesche è la mancanza di uno standard comune per la firma elettronica di documenti legali. Stando alle analisi del CCC, è possibile camuffare contenuti in formato JavaScript all'interno di un documento PDF senza visualizzarli a chi firma il contratto. In seguito quegli stessi contenuti - sconosciuti al firmatario - saranno leggibili in Adobe Reader, aprendo di fatto la strada al proliferare di truffe e contratti-capestro con l'aggravante della presunta sicurezza "superiore" delle ID con microchip RFID.

Alfonso Maruccia
Notizie collegate
12 Commenti alla Notizia ID digitali, in Germania è Chaos (Computer Club)
Ordina
  • Non so perchè sia (è stato dimostrato infinite volte) così difficile capire (e far capire) il senso che ha (e quello che non ha) la biometria!

    1) Che la biometria si utile a identificare in modo univoco un individuo è piuttosto evidente.
    Abbiamo molte (per non dire moltissime) caratteristiche fisiche misurabili (bio-metria) e uniche (da individuo a individuo).

    2) Che tali caratteristiche siano "segrete" o "riservate" è ovviamente (per definizione di bio-metria) falso anzi è ovviamente vero il contrario sono caratteristiche che proprio perchè ce le "portiamo necessariamente dietro" sono "misurabili" (bio-metrabili) da chiunque abbia un "metro"... (o una macchina fotografica o un lettore di improntte ecc.ecc. ecc..)
    Quindi non solo non si tratta di "misure riservate o segrete" ma al contrario sono quanto di più pubblico e visibile (metrabile) abbiamo.

    3) Confondere identificazione con riservatezza e (peggio ancora) con sicurezza (ad esempio crittografia) e tentare di tenerli assieme in un unico meccanismo è uno degli errori più ovvi (da manuale... e non lo dico io lo dicono tutti gli esperti di questo mondo da Bruce Schneier a whitfield diffie) che un adetto alla sicurezza possa fare!

    4) Il massimo della stupidità poi è mettere assieme tutto questo con la espressione di una volontà (ad esempio la volontà di firmare o approvare una transazione).

    Ora tutte queste sono tecnologie (separatamente prese e ciascuna per il SUO limitato scopo) assolutamente affidabile e usabili... ma percorrono strade ""parallele" ovvero ciascuna ha i suoi scopi e i suoi risultati e ciascuna ha il suo specifico "assesment" dal punto di vista "sicurezza".

    Purtroppo c'è chi cerca scorciatoie e semplificazioni che non esistono e le scorciatoie "sembrano" una buona idea... ma......

    Certo per il vendor è facile convincere il politico (e anche il generale ingenuo e il poliziotto facilone)... prendi questo... è semplice e sicuro e in un colpo solo ti risolve tutti i problemi contemporaneamente.

    Quello che non si capisce è perchè in certe occasioni invece di seguire chimere e sirene il politico (o il generale ingenuo o il poliziotto facilone) non chiedano lumi a chi di queste cose ne capisce davvero e perchè di un tale processo (e quindi della sua trasparenza e affidabilità) di assesment di sicurezza non sia data pubblica e verificabile visibilità!

    Perchè altrimenti è piuttosto ovvio che prima o poi qualcuno "che ci capisce" (c'è sempre qualcuno che ci capisce!)... ti mette alla berlina...
    E fino a che si tratta di un "bravo ragazzo" (come quelli di ccc) va tutto bene... il problema è se quel qualcuno invece che dire apertamente come stanno le cose le sfrutta per se stesso (e in modo "evil") a NOSTRA insaputa
    non+autenticato
  • errr..... Biometria????
    non+autenticato
  • Noi abbiamo fatto scuola ma ci stanno surclassando
    come sempre.
  • si ma non credo che in Germania si arrivi al livello di idiozia del Comune di Milano, dove le carte di identità elettroniche le rinovano (secondo loro) rilasciandoti un foglietto di carta, che di fatto ti inibisce di poter utilizzare il documento all'estero, perchè se presenti all'estero il foglietto di carta del rinnovo ti sputano (giustamente) in faccia!
    Occhiolino
    non+autenticato
  • Puoi sempre perderla o romperla accidentalmente, così te ne rifanno una nuova
    non+autenticato
  • E giù di 50..70..90 euro (non so esattamente ma di certo costa un casino).
    Tantovale, a quel punto, fare il passaporto se vuoi andare all'estero, con quei soldi che ti costerebbe una C.I. nuovaOcchiolino
    non+autenticato
  • Mai pensato una versione di PDF che non supporta Javascript?
    Non so, ci vuole molto?
    Come si può impostare la password a piacimento, come si può impostare la qualità dell'immagine, il tipo di visualizzazione appena lo si apre ecc ecc...non si può fare un'opzione che attiva/disattiva il Javascript e/o altre cose che esulano da un semplice documento di testo scritto da cima a fondo? (tipo un TXT con un po' di formattazione tipo colore, font e grasseto/corsivo/sottolineato/barrato ma niente di più)

    Mah....ci vuole proprio un genio!
    Credo che l'Adobe, basta romperle un po' le @@, accetterà di implementare una stupidatina così se poi il suo formato PDF venisse usato come "mezzo-standard" per i documenti ufficiali.
    non+autenticato
  • In effetti non si vede la necessità, per un PDF, di integrare dei javascript.
    Il PDF è un formato nato per lo scambio di documenti di testo formattato e immagini, contenuti comunque visuali e statici. Non capisco cosa ci faccia il supporto a un linguaggio di scripting dinamico... Mi sa che in Adobe si siano lasciati sfuggire le cose di mano. Tanto vale riprendere il PS e migliorarlo (se mai ne avesse bisogno).
    Si potrebbe aprire una discussione costruttiva, in tal senso?
    non+autenticato
  • - Scritto da: Antony
    > Mai pensato una versione di PDF che non supporta
    > Javascript?
    > Non so, ci vuole molto?
    > [...] (tipo un TXT con un po' di
    > formattazione tipo colore, font e
    > grasseto/corsivo/sottolineato/barrato ma niente
    > di più)

    appunto... a cosa ca@@o dovrebbe servire il pdf???
    non basta e avanza nel 99% dei casi un TXT puro e semplice????????

    > Mah....ci vuole proprio un genio!
    > Credo che l'Adobe, basta romperle un po' le @@,
    > accetterà di implementare una stupidatina così se
    > poi il suo formato PDF venisse usato come
    > "mezzo-standard" per i documenti
    > ufficiali.

    ma perché mai si deve usare un pdf???

    se si vogliono grassetto/corsivo/sottolineato/barrato ecc. bastano e avanzano i "vecchi" *grassetto* /corsivo/ ecc.

    e se proprio si vogliono pagine tutte belle formattate e con tabelle, immagini e via dicendo, c'è il "vecchio" e splendido LATEX!!!!!!!!!!!

    DOC, PDF e compagnia bella vadano dritti al cesso insieme a tutto il resto della me#@a...
    non+autenticato
  • > DOC, PDF e compagnia bella vadano dritti al cesso
    > insieme a tutto il resto della
    > me#@a...
    QUOTO
    non+autenticato
  • - Scritto da: testa testina
    >
    > ma perché mai si deve usare un pdf???
    >
    > se si vogliono
    > grassetto/corsivo/sottolineato/barrato ecc.
    > bastano e avanzano i "vecchi" *grassetto*
    > /corsivo/
    > ecc.
    >
    > e se proprio si vogliono pagine tutte belle
    > formattate e con tabelle, immagini e via dicendo,
    > c'è il "vecchio" e splendido
    > LATEX!!!!!!!!!!!
    >
    > DOC, PDF e compagnia bella vadano dritti al cesso
    > insieme a tutto il resto della
    > me#@a...

    quoto al 99,7%
    non+autenticato
  • mi spiace ma non è così semplice.
    txt non supporta grafica vettoriale e latex va compilato.
    non+autenticato