Cerca nel blog

2005/08/01

Perché la biometria non funziona e non offre sicurezza vera

The Inquirer ha un ottimo articolo che spiega le falle della biometria che nessuno vuole discutere:

http://theinquirer.net/?article=25014

Nella maggior parte dei sistemi biometrici, il sensore comunica con l'hardware di analisi in chiaro, su una connessione TCP/P a una macchina remota. Basta intercettare (banalmente) questo flusso e riproporlo all'hardware di analisi quando si vuole simulare l'identità di chicchessia. Per rendere le cose ancora più facili, la maggior parte dei dispositivi biometrici non aggiunge ai dati un timestamp (indicatore di data e ora) o un numero di sequenza e non ha alcuna autenticazione o cifratura: l'hardware si fida ciecamente del sensore.

E l'hardware è di solito un PC Windows o Linux. Basta entrarvi per alterare il database biometrico locale, e il gioco è fatto. Anche senza alterare i dati, basta cambiare i parametri di funzionamento in modo che la soglia di sensibilità (quella che determina fino a che punto un'impronta digitale acquisita deve corrispondere a quella in archivio per essere considerata identica e quindi valida) scenda, per esempio, al 10%, e verrà considerata valida praticamente qualsiasi impronta, con il bonus che non scatteranno neppure gli allarmi. Apparentemente, infatti, il sistema funzionerà esattamente come al solito.

Tutto questo non è ovviamente un invito alla violazione dei sistemi biometrici: è semplicemente un avviso per ricordare che i governi e le aziende stanno spendendo montagne di denaro -- il nostro denaro -- acquistando da grandi aziende sistemi biometrici che non vengono sottoposti ad alcun controllo di robustezza (non si può, perché il loro funzionamento è segreto "per esigenze di sicurezza").

3 commenti:

Anonimo ha detto...

ciao,
l'articolo sembra interessante ma a mio avviso è troppo banale, il titolo giusto sarebbe "perchè un sistema può non essere sicuro?".

A parte la possibilità di "mettersi un dito di gomma" per ingannare il lettore.

Tutto il resto vale anche per gli altri sistemi (p.es. con tessere), come dire: "la tua casa non è inviolabile, posso fingermi un addetto dell enel, o ottenere un copia delle tue chiavi..."

he! he! perchè continui a spendere soldi in serrature??

lol

Anonimo ha detto...

Risposta al commento precedente:

Evidentemente non hai afferrato il problema.

Una serratura, così come una password, la puoi cambiare qualora questa venga compromessa.

In un "mondo biometrico" invece, se qualcuno riesce a clonare la tua impronta digitale o quella della tua retina, sei fregato, non hai più una tua identità.

E non è neppure necessario avvicinarsi a te per portarti via i tuoi dati biometrici: è sufficiente violare un database dove tali dati sono memorizzati in formato digitale.

Anonimo ha detto...

la storia del dito di gomma non funziona su tutti i lettori..

alcuni lettori hanno dei sistemi di protezione che non ti fanno passare nemmeno un dito mozzato..