La Germania si prepara a rilasciare la bellezza di 60 milioni di nuovi documenti di identità elettronici dotati di chip RFID , e le autorità evidenziano con orgoglio i molti vantaggi garantiti ai cittadini teutonici attraverso la nuova tecnologia. A non essere affatto entusiasti delle rinnovate e-carte d’identità sono gli hacker del Chaos Computer Club , che ne dimostrano prontamente tutte le vulnerabilità lavorando di concerto con esperti di sicurezza svizzeri.
Le carte – realizzate dal produttore olandese NXP – contengono un microchip in grado di interagire con lettori e sistemi di autenticazione online alla stregua di quanto succede con lo standard bancario tedesco HBCI . Il meccanismo di autenticazione richiede il passaggio della carta attraverso un lettore e la digitazione dell’apposito PIN personale rilasciato all’utente dall’istituto che l’ha emessa (in questo caso le autorità di Berlino).
In teoria le carte di identità dovrebbero essere sicure, ma quelli del CCC hanno dimostrato per l’ ennesima volta che sicurezza e ID digitali sono spesso e volentieri due rette parallele: le vulnerabilità scovate dagli hacker e dagli esperti svizzeri includono la possibilità di un attacco di tipo “man-in-the-middle”, trojan informatici (vulnerabili lettori dotati di tastiera per la digitazione del PIN e non), la relativa facilità con cui è possibile copiare contenuti e identità registrati nei microchip e altre ancora.
Uno dei peggiori difetti delle ID digitali tedesche è la mancanza di uno standard comune per la firma elettronica di documenti legali. Stando alle analisi del CCC, è possibile camuffare contenuti in formato JavaScript all’interno di un documento PDF senza visualizzarli a chi firma il contratto. In seguito quegli stessi contenuti – sconosciuti al firmatario – saranno leggibili in Adobe Reader, aprendo di fatto la strada al proliferare di truffe e contratti-capestro con l’aggravante della presunta sicurezza “superiore” delle ID con microchip RFID.
Alfonso Maruccia
Ti potrebbe interessare
24 set 2010