Ecco... e io che riponevo le mie speranze in Europa.. ora mi ritrovo a fare copia-incolla
"Le vulnerabilità dei passaporti digitali, soprattutto di quelli inglesi, italiani ed australiani, sono note da tempo e sono state oggetto di spettacolari dimostrazioni negli anni passati (vedi: http://rfidiot.org/).
Dato che queste vulnerabilità sono ben note, autorizzare l'uso su larga scala di questi dispositivi per certificare l'identità dei cittadini è un atto gravissimo ed irresponsabile, commesso da una "classe dirigente" europea che si dimostra sempre più incompetente e superficiale ogni volta che tratta temi tecnici."
Beh.. cominciamo dall'inzio:
"I nuovi passaporti "digitali" dovrebbero servire ad impedire che un malintenzionato riutilizzi a proprio vantaggio il passaporto rubato ad un innocente cittadino, sostituendo la fotografia che si trova sul documento. Questo è, di fatto, il modo più semplice di procurarsi documenti falsi: si ruba il passaporto ad una persona la cui descrizione verbale corrisponde sommariamente a quella del malvivente, si sostituisce la foto e si spera che il funzionario della dogana abbia poco tempo da perdere nei controlli."
"Ce n'era veramente bisogno?
Il problema di fondo è che l'unica cosa che lega il documento al suo proprietario è quasi sempre la fotografia. Basta quindi sostituire la foto per associare un documento esistente ad una nuova persona. Per questo si è pensato di incapsulare nei documenti anche i dati biometrici, come le impronte digitali.
In realtà, però, si poteva creare il necessario vincolo documento/proprietario almeno in altri due modi, molto meno infidi.
Il primo modo consiste ovviamente nell'incapsulare la foto e gli altri dati biometrici nel documento in modo più affidabile, ad esempio stampando la foto sul documento al momento della produzione, invece di "agganciarla" al documento con la puntatrice."
(Il secondo modo, se volete, ve lo leggete sul sito)
"I "passaporti digitali", in realtà, sono ben poco digitali. Sono normalissimi passaporti cartacei che nascondono al loro interno un chip di riconoscimento molto simile a quelli usati per marcare le merci nei supermercati."
"I cosiddetti "passaporti biometrici" non sono altro che normali passaporti digitali che contengono all'interno del loro chip (RFID o Smart Card) i dati biometrici dell'utente: impronte digitali e/o foto del viso etc.
La ragione per cui si inseriscono questi dati dovrebbe essere, ancora una volta, quella di rendere infalsificabili questi documenti."
"In ogni caso, la lettura del passaporto biometrico avviene "via radio", appoggiando il passaporto su un apposito lettore. Questa modalità di lettura è nota come "contactless" e rappresenta la prima fonte di preoccupazione.
In linea di principio (ed anche in pratica) è possibile leggere il passaporto biometrico all'insaputa del suo portatore. Ad esempio, il Daily Mail di Londra ha dimostrato che un qualunque impiegato delle Royal Mail può scoprire se all'interno di una busta in transito per gli uffici postali c'è un passaporto biometrico e può leggere questo passaporto semplicemente facendo scorrere un apposito lettore radio sulla busta, senza aprirla.
Questo vuol dire, ad esempio, che è teoricamente possibile leggere il passaporto anche mentre si trova nelle tasche o nella borsa del suo proprietario in fila per il check-in all'aeroporto."
"I sistemi RFID e le Smart Card contactless non possono essere letti da metri di distanza. La potenza con cui emettono il loro segnale di risposta è molto bassa ed obbliga ad avvicinare l'antenna del sistema ricevente a pochi centimetri dal documento. In teoria, bisogna "strisciare" il documento sul lettore come se fosse un badge (ed infatti, il passaporto digitale è un badge).
Questo in teoria. In pratica si possono usare antenne amplificate per ricevere il segnale da diverse decine di centimetri di distanza o, in alcuni casi, persino da alcuni metri di distanza. Questo è quanto basta per leggere il chip del documento che si trova all'interno della tasca di un viaggiatore, senza avvicinarsi a lui in modo sospetto.
Non solo: si può leggere il documento mentre transita per gli uffici, come abbiamo già detto."
"Fino a questo punto, abbiamo parlato solo di "letture abusive" dell'RFID presente su questi passaporti. Nessuna delle tecniche che ho citato richiede di "crackare" l'RFID.
Ma si può andare molto oltre. Sono già stati messi a punto dei programmi che interrogano l'RFID e tentano un attacco a forza bruta contro il protocollo crittografico che protegge le informazioni contenute nel chip. Se l'attacco ha successo, un malvivente può accedere a tutte le informazioni contenute nell'RFID, non solo allo UserID od al tipo/nazionalità del documento.
Programmi di questo tipo sono forniti di serie con alcune distribuzioni Linux destinate alla sicurezza, come Backtrack e OSWA Assistant."
"Conoscendo lo UserID di un passaporto esistente è possibile crearne una o più copie. Questo è già stato fatto in varie occasioni. Ad esempio, il Daily Mail di Londra ha creato una copia del passaporto digitale di un suo collaboratore solo quattro ore (4 ore) dopo che questo tipo di passaporto è stato reso disponibile agli utenti attraverso gli uffici.
Nonostante questa cocente sconfitta, quel tipo di passaporto digitale è tuttora in uso in Inghilterra (sei anni dopo il crack!) ed è stato distribuito a milioni di cittadini."
"Anche senza clonare il passaporto, tuttavia, è già possibile usare le informazioni contenute nel chip per altri scopi.
Ad esempio, è tecnicamente possibile leggere i dati relativi alle impronte digitali ed usarli in seguito per accedere ad altri servizi protetti da sistemi biometrici, come le porte di accesso ad alcune banche e, in futuro, certi terminali bancomat.
Si possono usare questi dati sia per costruire un clone delle dita dell'utente sia per bypassare il sistema di lettura, inviando i dati codificati direttamente al database. In tutti i casi, occorrono competenza tecnica e strumentazione adeguate. Attualmente, questo tipo di competenze e di strumentazione si trovano al di fuori dello spettro di possibilità di un comune ladro, ma sono ben all'interno dello spettro di possibilità di organizzazioni più complesse, come i servizi segreti di vari paesi. In futuro, potrebbero diventare accessibili anche ad un comune ladro.
Vi ricordo che questi dati possono essere letti abusivamente ed all'insaputa dell'utente in varie occasioni, ad esempio durante il transito presso gli uffici postali."
"L'uso di informazioni biometriche come elemento di certificazione dell'identità o come "chiave di accesso" presenta una gravissima vulnerabilità di fondo: se la chiave (l'impronta digitale) viene "compromessa" (cioè entra in possesso di qualche malintenzionato) non può essere sostituita. Se qualcuno riesce ad accedere abusivamente alle impronte digitali memorizzate nel vostro passaporto biometrico, può prendere il vostro posto e voi non avete più nessun modo di impedirglielo. Non potete sostituire le vostre impronte digitali come fareste con una Carta di Credito o con la chiave dell'auto. Un "furto d'identità" di questo tipo ha delle conseguenze gravissime sulla vita personale di un individuo. Questa è una delle ragioni per cui la biometria viene tradizionalmente usata solo quando non è davvero possibile usare nient'altro. La superficialità con cui si è deciso di utilizzare queste tecniche su larga scala, per identificare i cittadini, dovrebbe far riflettere."
Questi scenari apocalittici e tutto il resto provengono (scusate il CTRL+V a manetta..) da Punto informaticoù
(Ovviamente con licenza)
Rispondi quotando
assaportismi: 
_ | _ 
