Cerca nel blog

2009/01/08

Teatrino della sicurezza: scanner d’impronte beffati

Scanner d'impronte da 44 milioni di dollari battuti dal nastro adesivo


Molto spesso si ha la tentazione di risolvere i problemi di sicurezza ricorrendo a gadget tecnologici molto costosi invece di affrontarli andando alla radice. E' quello che è successo in Giappone, secondo Yahoo News: in trenta aeroporti del paese sono stati installati, nel corso del 2007, dei lettori automatici di impronte digitali per gestire i controlli d'immigrazione e l'antiterrorismo. Il sistema è costato oltre 44 milioni di dollari ed è in grado di confrontare le impronte dei viaggiatori istantaneamente con quelle di criminali, fuggiaschi e stranieri colpiti da ordine di deportazione.

Non è chiaro quanti terroristi siano stati così gentili da regalare all'amministrazione giapponese le loro impronte digitali in anteprima, ma una cosa è chiara: il sistema fa acqua da tutte le parti. Una donna sudcoreana, colpita da divieto d'ingresso in Giappone e deportata dal paese a luglio 2007 per immigrazione e lavoro clandestino, è riuscita ad eluderlo con un espediente decisamente a bassa tecnologia: si è coperta le dita con appositi nastri adesivi sui quali erano imprese le impronte di un'altra persona, di cui aveva inoltre un passaporto falso.

Ma come, in Giappone nessuno ha visto Diamonds Are Forever (Una cascata di diamanti)? James Bond ci aveva già pensato nel 1971. E Mythbusters ha ripetuto la dimostrazione in una puntata di qualche tempo fa:



C'è però una differenza importante fra il caso di Bond e di Mythbusters e quello giapponese. Infatti al di là della realizzazione pratica dello specifico rilevatore d'impronte, che è il principale colpevole del fallimento in questi casi, lo scenario d'uso giapponese vi aggiunge una delle insidie poco intuitive della biometria.

La biometria funziona bene se la si usa per verificare che una persona è chi dice di essere (ho un'impronta certa di Tizio nel database, voglio sapere se chi appoggia il dito sul sensore è davvero Tizio): in questo caso c'è un'unica impronta che funziona e tutte le altre vengono scartate. Il sistema può essere reso estremamente schizzinoso e quindi efficace (più di quelli di 007 e Mythbusters).

Ma in Giappone questa biometria è stata usata per verificare (si fa per dire) che una persona non è una fra le tante presenti in un database segnaletico. Questo significa che per quanto sia ben realizzato il sensore d'impronte, è facilissimo ingannare il sistema antiterrorismo/anti-clandestini, perché basta dargli in pasto qualunque impronta che non sia fra quelle nel database. In altre parole, invece del criterio "va bene solo X", si usa il criterio "va bene qualunque cosa non sia X". E questo garantisce che il sistema sarà sempre bucabile, perché la sua logica di base è fallata.

Ecco la vignetta di Moise, pubblicata inizialmente su AFNews e ripubblicata qui per gentile concessione dell'autore.

24 commenti:

Unknown ha detto...

a propos: qualcuno sa com'è andata a finire quella storia del sistema ad impronte digitali da mettere alla camera e al senato per evitare il "fenomeno dei pianisti"? (Scusate l'orribile locuzione giornalistica...) Non essendo stato in Italia mi perdo ogni tanto queste notiziole gustose.

nicola ha detto...

Penso che non sia troppo difficile far credere al sistema di essere qualcun altro. Ci si dimentica infatti che le impronte sono facilmente ottenibili e con un poco di "tennologia" (se conviene farlo) saranno presto anche facilmente riproducibili. E' come regalare la chiave di casa a tutti.

Consiglio di vedere il film Gattaca per toccare con mano dove può arrivare la follia umana.

Consiglio il blog di Schneier e i suoi libri per chi si vuole interessare sul serio alla sicurezza.

ciao
nicola.

JohnWayneJr ha detto...

No Paolo, neanche il sistema citato da te funziona: Schwarzy, nel suo film sulla clonazione (mi spiace ma non ricordo il titolo) bypassava il sistema usando un dito strappato dal cadavere di un cattivo che era nel database.
Senza essere così drastici, nel telefilm "The burn notice" Michael Westen (la sppia protagonista) ricorda che chi usa il sistema biometrico appoggia il suo dito sull'apparecchietto per leggere le impronte, ma nessuno si ricorda di ripulirlo dopo l'uso: in pratica sul lettore resta l'impronta del dito, e basta un nastro adesivo e un kit x le impronte digitali per ricreare l'impronta.
Quest'ultimo metodo non é garantito (é solo un trucchetto alla McGyver tirato fuori da un telefilm) ma in linea teorica é vero!!

psionic ha detto...

Il Film era "Il sesto giorno". Comunque ancora piu' avanzato (anche se decisamente piu' "fantascientifico") e' quello che succede in Minority Report: invece delle impronte digitali c'e' la scansione retinica, ma comunque e' bucabile.

nicola ha detto...

@psionic
In Minority Report, se non ricordo male, il protagonista ad un certo punto non dovrebbe più avere il diritto ad entrare nel santuario del potere, ma... si sono dimenticati di togliere l'utente in /etc/passwd. Ma così non c'è nessun sistema di autenticazione che funzioni. :-))

ciao
nicola.

MicheleV ha detto...

Scusa Paolo ma credo che la puntata di Mythbuster non sia recentissima, ricordo di averla vista in Italia un annetto fà

nicola ha detto...

Dicevo di Schneier:

http://www.schneier.com/blog/archives/2009/01/biometrics.html

ci legge nel pensiero. :-)
ciao
nicola.

marcov ha detto...

OT le donne coreane oggi vengono deportate DAL giappone per immigrazione illegale, quarantanni fa venivano deportate IN giappone per farne schiave del sesso.
Come vedi il progresso c'è.

Paolo Attivissimo ha detto...

John Wayne,

un sensore di temperatura e di pulsazioni, come quelli presenti in molti sistemi moderni di riconoscimento delle impronte, non si sarebbe fatto ingannare dal metodo Schwarzenegger.

In quanto al trucchetto del nastro adesivo, non è fantascienza; ne ha parlato, se non ricordo male, Schneier qualche tempo fa. Il nastro era quello usato per raccogliere le impronte dalla polizia, e l'impronta acquisita era stata scandita e ricreata usando gli acidi per circuiti stampati per produrre uno stampo.

Paolo Attivissimo ha detto...

MicheleV,

giusto, ho corretto.

marcov ha detto...

mi correggo, le schiave del sesso coreane erano deportate oltre sessant'anni fa.

Unknown ha detto...

In questo caso e' interessante citare il famoso paradosso dei falsi positivi.
In poche parole (mmm, non proprio ma vorrei essere il piu' chiaro possibile):

Sappiamo A PRIORI che tale test per le impronte e' affidabile nel 99% dei casi (identifica le impronte di un cattivo 99 volte su 100) in cui un "cattivo" e' controllato. Sappiamo anche A PRIORI che c'e' un cattivo ogni 9999 buoni.

Quindi si e' portati a credere che data l'alta affidabilita' del test (99%) e il basso numero di cattivi la possibilita' che il risultato del test sia in errore e' trascurabile.

Quello pero' che si dimentica (molto spesso) di dire e' che tali probabilita' sono inutili per chi si ritrova a decidere, dato il risultato del test, se il soggetto sia o meno cio' che il test dice.

Supponiamo di essere l'ufficiale che e' incaricato di somministrare il test e, sulla base del risultato, decidere se lasciar passare il soggetto o fermarlo. Ci sono quattro possibilita':

a) il test e' negativo e il soggetto e' buono (vero negativo)
b) il test e' positivo e il soggetto e' buono (falso positivo)
b) il test e' positivo e il soggetto e' cattivo (vero positivo)
d) il test e' negativo e il soggetto e' cattivo (falso negativo)

In numeri ecco cosa si avrebbe, caso per caso, facendo tale test a un milione di persone:

a): 1.000.000 * (9999/10000) * 0,99 = 989901
b): 1.000.000 * (9999/10000) * 0,01 = 9999
c): 1.000.000 * (1/10000) * 0,99 = 99
d): 1.000.000 * (1/10000) * 0,01 = 01

Sommando a e d si ha il numero totale di test che risultano negativi (989902).
Sommando b e c si ha il numero totale di test che risultano positivi (10098).

NB: 99 su 100 non e' il numero di volte che il test risultera' positivo in totale; e' il numero di volte che il test risultera' positivo solo se il soggetto e' cattivo!

La probabilita' A POSTERIORI quindi che avendo un risultato positivo il soggetto non sia cattivo e' 9999/10098 = 99,02%!!! Anche se il test e' accurato al 99%.

A voi le conclusioni...

Marco

mogio ha detto...

@Paolo Attivissimo

Ma in Giappone questa biometria è stata usata per verificare (si fa per dire) che una persona non è una fra le tante presenti in un database segnaletico.


Scusa Paolo ma in tutto il mondo si fa così. Una persona ricercata, che sa di essere schedata, di solito cerca di eludere la sua identità. Difficilmente dirà al poliziotto di turno "guarda che sono ricercato" in modo di facilitarne il compito ;)

@Marco

La probabilita' A POSTERIORI quindi che avendo un risultato positivo il soggetto non sia cattivo e' 9999/10098 = 99,02%!!! Anche se il test e' accurato al 99%.

Il tuo ragionamento è ineccepibile ma non tieni conto che si parla solo del primo risultato, oltretutto ottenuto in condizioni non ottimali. Prima che il "sospettato" venga incarcerato sarà sottoposto ad ulteriori accertamenti molto più accurati. Poi l'errore umano può sempre manifestarti, ma non è che su 100 persone che, transitando in Giappone, si fanno arrestare 99,02 di esse sono innocenti.
Che passino un brutto quarto d'ora non lo escludo, ma non creiamo inutile panico.

Nicola S. ha detto...

Paolo,
se gradisci il commento di uno che in questo settore ci lavora da dieci anni, ti posso fare un paio di considerazioni. Il video di MythBusters lo conoscevo ed è una di quelle cose che fanno rizzare i capelli: ovviamente quel produttore di apparati biometrici mentiva spudoratamente, se bastava una fotocopia a bypassarla.
Una cosa che la biometria a impronta digitale suscita sempre è paura (infatti tutti citano film, e questi film non sono film privi di violenza o comunque situazioni "furtive").
I sistemi commerciali (ce ne sono di buonissimi, buoni, mediocri, giocattoli) devono essere presi per quello che sono, sistemi di sicurezza al 99%. Nessuno è foolproof se dall'altra parte c'è abbastanza know-how e soprattutto risorse.
Prelevare un'impronta puo' sembrare facile, ma ricreare un modello 3D da un'immagine 2D richiede una certa esperienza informatica e una successiva capacità di lavorazione di gomme.
La vera sicurezza dei sistemi protetti biometricamente rispetto a un pc protetto con password sono:
non e' soggetto a social engineering, non è possibile un attacco da lontano, i keyloggers gli fanno un baffo, non è condivisibile con altri.
Una critica divertente mi è stata fatta a una fiera e diceva che si può fare un calco del dito per fregare un sistema biometrico... ma se una persona è disposta a farsi fare il calco del dito, è disposta a darti anche la password, la smart card, le chiavi di casa o disabilitare qualsiasi altro sistema di protezione ci sia in atto in quel momento..

Scusa se mi sono dilungato.
Nicola Screpanti

Unknown ha detto...

@motogio

Grazie per la considerazione motogio ma credimi: non avevo alcuna intenzione di suscitare panico.

Sono anzi del parere che non sia del tutto vero che gli scanner biometrici siano una baggianata (come del resto scrive Nicola). Anche se c'e' sempre il problema della violazione del principio fondamentale della sicurezza dell'informazione cioe' non si puo' cambiare (ne' tantomeno con frequenza) la "password".

Cio' che intendevo sottolineare e' che anche un sistema dichiarato sicuro al 99% e' fonte di interminabili problemi per gli innocenti che si trovano solamente vittime di un falso positivo. Io vivo negli USA e ti garantisco che il brutto quarto d'ora e' in realta' almeno qualche ora e non delle piu' piacevoli.

Occorre considerare anche che se su 10098 volte che l'allarme scatta (per test che risulta positivo) 9999 volte si scopre -dopo una mezza mattinata d'inferno- che il soggetto e' innocente gli ufficiali di controllo saranno comprensibilmente meno attenti per il famoso principio (scientifico) del: "chi grida al lupo senza ragione non verra' creduto quando il lupo ci sara' davvero".

Infine non capisco cosa intendi per "errore umano". Io non l'ho introdotto ma mi sono semplicemente limitato a calcolare quale sia la probabilita' che, che il test dice che si ha davanti un cattivo questa persona sia invece innocente.


Marco

mogio ha detto...

@marco

Per errore umano intendevo che, nonostante tutti i controlli, qualche innocente purtroppo viene incarcerato lo stesso.

Per il resto "panico" non era forse la parola più indicata, era forse meglio se dicevo "apprensione" :)
Scusa per il fraintendimento.

Giuliano47 ha detto...

Nelle filiali della banca BNL avevano messo, circa due anni fa, dei lettori di impronte nel gabbiotto di ingresso, quello con le due porte di vetro scorrevoli. Per far aprire la seconda porta era necessario appoggiare il polpastrello del dito indice su un lettore di impronte.
Questo avveniva senza il controllo sotto gli occhi vigili di un addetto. Una volta sono entrato con l'impronta del mignolo...
Si diceva: hanno messo questo sistema cosi', se qualcuno compie una rapina, si hanno gia' le impronte e si puo' risalire alla persona.
Penso che questo fosse il ragionamento anche dei dirigenti BNL che hanno fecero installare questi giocattoli. Pi si stufarono e li tolsero.

@Marco.
Succede negli USA? E proprio li' dove ti prendono le impronte di tutte e 10 le dita e annessa fotografia del volto? Chissa' altrove.

Nicola S. ha detto...

Paolo,
perdona se intervengo di nuovo ma dai commenti a questo post e a quello vecchio che ho letto, denoto molta confusione in materia. Non ne sono stupito in quanto in Italia la tecnologia è stata molto osteggiata, principalmente anche dalla componente sindacale in seno al garante della privacy, tanto che siamo l'unico paese al mondo dove i sistemi commerciali sono equiparati (o peggio) a quelli AFIS.
Facciamo un po' di chiarezza e con termini meno tecnici possibili.
Sistemi commerciali e sistemi AFIS sono 2 cose diverse. I sistemi AFIS memorizzano tutta l'immagine dell'impronta come una semplice fotografia; lo scanner ha una grandezza di almeno 1" quadrato e con tecnologia ottica. I sistemi commerciali usano scanner più piccoli e, direttamente a livello hardware, estraggono le minutiae, convertono il tutto con un algoritmo fino a creare un template, ovvero un file contenente caratteri alfanumerici equiparabili ad una password lunghissima. Questo procedimento non è invertibile, ovvero dal template è impossibile ricreare l'immagine dell'impronta. Questo viene fatto per 2 motivi: sicurezza dell'utente ma soprattutto perché il peso del dato "immagine" (in ordine di byte) è troppo elevato.
Autenticazione (1:1) e Identificazione (1:n) sono 2 cose diverse. Come giustamente anche tu affermi, il miglior uso di questa tecnologia è per autenticare una persona in base a quello che dice di essere. Infatti per la biometria sui pc si dice "Io sono Nicola" il sistema ricerca il template a me associato (come farebbe per la password) e lo compara con il dato che io presento poggiando il mio dito sul sensore (come farebbe per la password). L'unico grande "problema" è che effettivamente, a parte pochissimi casi false reject e false acceptance, questo sistema è troppo efficace e non permette scappatoie: intendo dire che in presenza di questi sistemi non c'è un modo semplice come passare il badge, dare la password, per cercare di fregare il sistema (per qualsiasi motivo).
L'identificazione invece fa una ricerca dell'immagine nel database di immagini, che solitamente sono in mano alle forze dell'ordine. Leggevo un commento che parlava del fatto che nessuno criminale dà le impronte consenzientemente, ma ricordo a tutti i maschi italiani che hanno fatto i "3 giorni" che in quell'occasione le forze dell'ordine hanno prelevato le impronte di tutte e 10 le dita, in un cartoncino ridigo, che ha caselle separate per ogni dito della grandezza, guarda caso, di 1" quadrato, lo standard AFIS (ecco quindi come capire che tipo di sistema ci troviamo di fronte).

La paura delle persone circa la loro privacy la trovo giustissima, però nei confronti dei sistemi biometrici commerciali (ovviamente prodotti da aziende di comprovata esperienza) c'è un'involontaria diffidenza perchè scambiati per sistemi di polizia (AFIS) e poi associati ai film di spionaggio. Personalmente ho molta più paura per la mia privacy quando uso una carta fidelity del supermercato (che segna le mie abitudini di acquisto, se pago contanti o con carta, ecc. e poi anche vende queste informazioni) o quando uso il cellulare, cose che purtroppo la gente fa milioni di volte di più che usare un sensore biometrico per accedere al proprio pc.

Spero le informazioni possano essere utili.
Nicola Screpanti

sep ha detto...

Impronte retiniche.
Vorrei sapere che cosa risponde la macchina se si tratta di prendere l'impronta della retina ad un non vedente che non ha iride ("occhi bianchi").
Non si rischia di creare una "barriera elettronica" così come avviene su alcuni siti internet?

martinobri ha detto...

Vorrei sapere che cosa risponde la macchina se si tratta di prendere l'impronta della retina ad un non vedente che non ha iride ("occhi bianchi").

Iride e retina sono due cose diverse. L'iride è davanti all'occhio; la retina è sul fondo. Per cui dovrebbe funzionare.

Dan ha detto...

Se per un qualsiasi motivo l'iride o altro sono opachi, per esempio a causa della cataratta, arrivare a leggere la retina sul fondo è un po' difficile. D'altronde anche gli scanner d'impronte "escludono" chi per una qualsiasi ragione ha perso una mano, qualche dito, o anche soltanto la pelle delle mani (ad esempio ustioni). Fortunatamente questi sistemi non vengono usati per identificazione univoca: anche perchè in Italia il massimo della sicurezza è considerato il PIN a quattro cifre del Bancomat, o giù di lì...

Riguardo ai "pianisti", vergognosa espressione emblematica di cosa sia la politica in Italia, il rimedio è molto semplice: si usano i badge di presenza per attivare il banco di votazione abbinato ad un sensore a pressione sul sedile... o più semplicemente pulsanti di votazione metallici, caricati ad alta tensione a postazioni alterne, così se premi solo i tuoi non c'è problema, se ne premi di due postazioni adiacenti ti prendi una bella scossa. Così imparano.

Nicola S. ha detto...

Il sensore a pressione lo freghi con la borsa pesante.. la risposta è smartcard che contiene il template dell'impronta digitale: quando si inserisce la smartcard si deve mettere il dito sul sensore, se combaciano dito e template il voto parte, altrimenti no.
Il danno più grave non è la votazione in sè, perchè in situazioni in cui la maggioranza non è risicata riescono ad avere i numeri. Il danno più grave è che per ogni votazione il presente prende un gettone di presenza EXTRA di 150 euro (come se non prendesse abbastanza). Quindi un parlamentare che fa il giochetto con il collega, si macchia di associazione per delinquere. Non viene applicato perchè poi il garante dovrebbe accettare che un sistema simile possa essere usato per la rilevazione presenze sul posto di lavoro: quindi paradossalmente sono i sindacati i primi a impedire che alla Camera si voti come in Australia, in Messico e in altre nazioni.
Tenendo presente che il costo di un sistema del genere, omnicomprensivo, verrebbe circa 100 euro a parlamentare (una tantum) ma farebbe risparmiare i soldi assegnati quando non dovuti, potrebbe avere un ROI di circa un anno o poco più. Poi tutto risparmio per gli anni a venire.

Nicola Screpanti

Dan ha detto...

I pulsanti sotto tensione costerebbero ancora meno... anche se non posso fare a meno di rimanere amareggiato anche solo dal fatto che _ci servano_ tali sistemi: in una nazione sana, un politico serio si vergognerebbe come un cane a fare una cosa del genere... qui da noi invece abbiamo un branco di approfittatori che si preoccupa solo di quanto la loro attività in parlamento possa fruttargli personalmente.

Gaetano Marano ha detto...

ricordo di aver letto anni fa di una costosissima protezione anticopia per CD (mi sembra sviluppata dalla Sony) che venne annullata completamente usando un semplice pennarello