Alfonso Maruccia

CCC di nuovo contro le impronte digitali

Il più noto gruppo di hacker europeo dimostra ancora una volta la insicurezza delle tecnologie di protezione a base di tratti biometrici: basta qualche foto, un software gratuito e il gioco (anzi, il crack) è fatto

Roma - Il CCC (Chaos Computer Club) sfrutta l'occasione del CCC (Chaos Communication Congress) per presentare un nuovo metodo di violazione delle tecnologie di autenticazione basate su impronte digitali, un sistema economico e pratico che dimostrerebbe per l'ennesima volta l'insicurezza delle protezioni biometriche.

Il CCC è infatti da tempo impegnato a smitizzare la presunta superiorità della biometrica nel campo della sicurezza informatica, un mito che non invecchia mai nemmeno nell'epoca dei lettori di impronte integrati nei telefonini più trendy disponibili sul mercato.


Il nuovo attacco, come sempre diretto nei confronti di un "potente" della politica tedesca ed europea, si basa sull'utilizzo di una fotografia liberamente disponibile al pubblico: gli hacker del CCC hanno integrato la foto con altri scatti presi da altre angolazioni, e alla fine hanno "estratto" l'impronta del dito del ministro della difesa tedesco Ursula von der Leyen grazie al software VeriFinger.

In tal modo, gli esperti del CCC - da sempre impegnati a lanciare allarmi sui pericoli della insicurezza online - sostengono di poter ricreare la copia di un'impronta in grado di ingannare i sistemi di sicurezza a lettura biometrica.
Alfonso Maruccia
Notizie collegate
  • AttualitàPubblicate le impronte digitali del ministro dell'InternoSuccede in Germania. Ci pensano gli hacker del Chaos Computer Club, in una clamorosa dimostrazione pensata per convincere Schauble che Ordine e Controllo sono due parole double-face. Ecco perché
  • SicurezzaAncora iOS 7, ancora bugIl Chaos Computer Club svela la tecnica usata per varcare il sistema di autenticazione biometrica TouchID. Mentre circola il video di un altro bug del nuovo OS che permette a chiunque di chiamare a telefono bloccato
16 Commenti alla Notizia CCC di nuovo contro le impronte digitali
Ordina
  • Bio-metria=misurazione di un carattere biologico.
    Qualcuno dovrebbe spiegarmi come può un simile ogetto (misura) a essere "segreto" è chiaro che non può esserlo per definizione.
    Può essere univoco (e quindi avere senso nella identificazione) ma non segreto e quindi con utilizzo molto discutibile se si parla di sicurezza anzichè di identità.
    Questa apparentemente semplice verità logica pare essere particolarmente difficoltosa per i cervelli "marketing oriented".
    non+autenticato
  • - Scritto da: Il piu cretino dei tre
    > Bio-metria=misurazione di un carattere biologico.
    > Qualcuno dovrebbe spiegarmi come può un simile
    > ogetto (misura) a essere "segreto" è chiaro che
    > non può esserlo per definizione.
    >
    > Può essere univoco (e quindi avere senso nella
    > identificazione) ma non segreto e quindi con
    > utilizzo molto discutibile se si parla di
    > sicurezza anzichè di identità.
    >
    > Questa apparentemente semplice verità logica pare
    > essere particolarmente difficoltosa per i
    > cervelli "marketing
    > oriented".

    Il suo commento presume che la "security by obscurity" funzioni, cosa che non è: ogni volta che si è tentato di applicarla ci si è scontrati con "leaks" e reverse engineering che hanno reso di fatto inutile questa forma di "security".

    La sicurezza vera è sicurezza "a prescindere" (v. ad es. RSA in cui una chiave è, ovviamente, privata, ma l'altra è pubblica): il metodo dev'essere "buono di per se" e non "buono perchè non noto", in quanto a diventare "noto" ci mette pochissimo.

    Quindi, in definitiva, se io ho in mano una "chiave univoca", non duplicabile, non ha importanza che questa sia "segreta" per funzionare.

    Quello che ha dimostrato il CCC è che, almeno al momento, i dati biometrici utilizzati non generano una "chiave univoca" in quanto facilmente duplicabili con un livello di precisione tale da poter ingannare un sensore non-umano.
    888
  • Questa non è una novità,i lettori d'impronte digitali son sempre stati ingannati in qualche modo.Il fatto che ora si punti su tali metodi d'identificazione sugli smartphone è solo una mera operazione di marketing.
    non+autenticato
  • - Scritto da: Etype
    > Questa non è una novità,i lettori d'impronte
    > digitali son sempre stati ingannati in qualche
    > modo.Il fatto che ora si punti su tali metodi
    > d'identificazione sugli smartphone è solo una
    > mera operazione di
    > marketing.

    Marketing che va a calpestare una volta di piu' il diritto dell'utente alla propria sicurezza.

    Gli si fa credere (e pagare) che e' un sistema sicuro e inviolabile, mentre e' perfettamente a norma NSA con l'aggravante che e' pure facilmente violabile da cani&porci.
  • - Scritto da: Etype
    > Questa non è una novità,i lettori d'impronte
    > digitali son sempre stati ingannati in qualche
    > modo.Il fatto che ora si punti su tali metodi
    > d'identificazione sugli smartphone è solo una
    > mera operazione di marketing.

    Non sono d'accordo, secondo me per un utente comune, il lettore di impronte digitali sullo smartphone è una gran comodità. Se ti fregano il telefono, è sicuramente più facile indovinare a tentativi il pattern di sblocco a 3x3 punti, che ricostruire la tua impronta digitale. Io uso lo sblocco numerico, ma gli ultimi aggiornamenti del mio telefono mi impongono di limitarmi a quattro cifre; pochine. Un lettore di impronte in stile iPhone non mi dispiacerebbe.
    Se poi mi dici che chi trasporta segreti di stato deve usare qualcosa di più sicuro, sfondi una porta aperta. Meglio ancora, vista la relativa debolezza della biometria, visto che a quanto pare (mi riferisco all'articolo) ricostruire impronte digitali sembra alla portata di tutti, bisognerebbe forse rivedere in tribunale il peso di determinate prove biometriche in certe circostanze.
    Se mi sdoppiano l'impronta per sbloccarmi il telefono è già un grosso problema. Se me la sdoppiano per incriminarmi di qualcosa che non ho commesso, è ancora peggio. Di molto.
    Izio01
    4466
  • - Scritto da: Izio01
    > Non sono d'accordo, secondo me per un utente
    > comune, il lettore di impronte digitali sullo
    > smartphone è una gran comodità.

    Questo è quello che gli viene fatto credere

    > Se ti fregano il telefono, è sicuramente più facile indovinare a
    > tentativi il pattern di sblocco a 3x3 punti, che
    > ricostruire la tua impronta digitale.

    Se ti fregano il telefono chi lo fa non ha a disposizione solo 5 minuti di tempo,si potrebbe prendere anche un mese,anche solo per il gusto della sfida.Dimentichi poi che con molta probabilità lo stesso telefono è ricoperto da impronte digitali,una tra le quali sicuramente è quella di sblocco....praticamente gli stai servendo la soluzione su un piatto d'argento.

    Confidare su tali sistemi poi comporta tutta una serie d'inconvenienti.
    Lo percepisci come sicuro ed inviolabile,con il tempo per abitudine ti verrà d'istinto d'inserire sempre più cose personali,tanto è sicuro,ci posso accedere solo io...le ultime parole famose.Per non parlare che stai regalando i tuoi dati ancora più personali a non si sa bene a chi,visto che ci possono accedere.

    Montare una porta blindata in casa non significa essere al riparo dai furti,anzi potrebbe anche suscitare attenzioneOcchiolino
    non+autenticato
  • - Scritto da: Etype
    > - Scritto da: Izio01
    > > Non sono d'accordo, secondo me per un utente
    > > comune, il lettore di impronte digitali sullo
    > > smartphone è una gran comodità.
    >
    > Questo è quello che gli viene fatto credere
    >
    > > Se ti fregano il telefono, è sicuramente più
    > facile indovinare
    > a
    > > tentativi il pattern di sblocco a 3x3 punti, che
    > > ricostruire la tua impronta digitale.
    >
    > Se ti fregano il telefono chi lo fa non ha a
    > disposizione solo 5 minuti di tempo,si potrebbe
    > prendere anche un mese,anche solo per il gusto
    > della sfida.Dimentichi poi che con molta
    > probabilità lo stesso telefono è ricoperto da
    > impronte digitali,una tra le quali sicuramente è
    > quella di sblocco....praticamente gli stai
    > servendo la soluzione su un piatto
    > d'argento.
    >

    Uhm, ops, non ci avevo pensato.
    Se bastano quelle a costruire un modello in grado di fregare il sensore, mi rimangio quello che ho detto. Noi non siamo capaci di farlo, i delinquenti sicuramente sì.

    > Confidare su tali sistemi poi comporta tutta una
    > serie d'inconvenienti.
    > Lo percepisci come sicuro ed inviolabile,con il
    > tempo per abitudine ti verrà d'istinto d'inserire
    > sempre più cose personali,tanto è sicuro,ci posso
    > accedere solo io...le ultime parole famose.Per
    > non parlare che stai regalando i tuoi dati ancora
    > più personali a non si sa bene a chi,visto che ci
    > possono accedere.
    >
    > Montare una porta blindata in casa non significa
    > essere al riparo dai furti,anzi potrebbe anche
    > suscitare attenzione
    >Occhiolino

    Quella delle porte blindate è molto vera. Sono rimasto molto sconcertato scoprendo che sul test di resistenza, una porta blindata segnalata come ottima resisteva per più di... due o tre minuti DelusoDelusoDeluso
    La mia speranza è che scassinarla faccia troppo rumore per renderla una soluzione praticabile In lacrime
    Izio01
    4466
  • - Scritto da: Izio01
    > Uhm, ops, non ci avevo pensato.
    > Se bastano quelle a costruire un modello in grado
    > di fregare il sensore, mi rimangio quello che ho
    > detto.

    Beh in realtà è anche più facile,la maggioranza delle persone memorizza più di un impronta nel suo device,comunemente si usa il pollice destro,l'indice,ecc, quindi hai più probabilitàOcchiolino

    > Noi non siamo capaci di farlo, i
    > delinquenti sicuramente
    > sì.

    Internet è una miniera d'oro persino in mano a dei principianti se sai come usarlo.

    > Quella delle porte blindate è molto vera. Sono
    > rimasto molto sconcertato scoprendo che sul test
    > di resistenza, una porta blindata segnalata come
    > ottima resisteva per più di... due o tre minuti
    >DelusoDeluso
    >Deluso
    > La mia speranza è che scassinarla faccia troppo
    > rumore per renderla una soluzione praticabile
    > In lacrime

    Niente rimane a lungo inviolabile,specie se hai tempo e delle buone conoscenze...
    Con una porta blindata sicuramente metterai in difficoltà il ladro alle prime armi sperando di avere altrettante protezioni alle finestre,quello invece con una certa esperienza è solo una questione di tempo....

    Poi ormai questa cosa è anche superata,in genere è lo stesso abitante che gli apre la porta con una scusa qualsiasi...
    non+autenticato
  • Quello sopra il mio appartamento aveva una porta blindata inviolabile; gli hanno sfondato il muro.....

    - Scritto da: Etype
    > - Scritto da: Izio01
    > >
    > > Quella delle porte blindate è molto vera. Sono
    > > rimasto molto sconcertato scoprendo che sul test
    > > di resistenza, una porta blindata segnalata come
    > > ottima resisteva per più di... due o tre minuti
    > >DelusoDeluso
    > >Deluso
    > > La mia speranza è che scassinarla faccia troppo
    > > rumore per renderla una soluzione praticabile
    > > In lacrime
    >
    > Niente rimane a lungo inviolabile,specie se hai
    > tempo e delle buone
    > conoscenze...
    > Con una porta blindata sicuramente metterai in
    > difficoltà il ladro alle prime armi sperando di
    > avere altrettante protezioni alle finestre,quello
    > invece con una certa esperienza è solo una
    > questione di
    > tempo....
    >
    > Poi ormai questa cosa è anche superata,in genere
    > è lo stesso abitante che gli apre la porta con
    > una scusa
    > qualsiasi...
    non+autenticato
  • - Scritto da: colan
    > Quello sopra il mio appartamento aveva una porta
    > blindata inviolabile; gli hanno sfondato il
    > muro.....

    E' un'alternativaA bocca aperta ,rapido ed efficienteA bocca aperta
    non+autenticato
  • il lettore di impronte di iphone5 lo fregavi appoggiandolo ad un capezzolo e sbloccavi il telefono, provato col telefono di mia nipotina
    non+autenticato
  • - Scritto da: Guerra
    > il lettore di impronte di iphone5 lo fregavi
    > appoggiandolo ad un capezzolo e sbloccavi il
    > telefono, provato col telefono di mia
    > nipotina

    DelusoSorpresa
    non+autenticato
  • - Scritto da: Etype
    > Questa non è una novità,i lettori d'impronte
    > digitali son sempre stati ingannati in qualche
    > modo.Il fatto che ora si punti su tali metodi
    > d'identificazione sugli smartphone è solo una
    > mera operazione di
    > marketing.

    Tranne il Touch ID di Apple, per il quale occorre la cooperazione del titolare dell'impronta.
    ruppolo
    33147