Biometria, così ti cracco la faccia

La biometria facciale? Una barzelletta: alla conferenza hacker per eccellenza di Washington D.C. si dimostra l'assoluta, completa e preoccupante inaffidabilità della tecnologia come sistema di autenticazione automatizzato

Roma – Black Hat DC, Washington, febbraio 2009: una delle tecnologie di identificazione biometrica considerate un adeguato sostituto delle insicure impronte digitali cade vittima di hacker e ricercatori, che riescono con tocchi relativamente semplici a smontare l’hype e le propaganda dei produttori sul presunto superiore livello di affidabilità delle soluzioni già ampiamente presenti sul mercato.

La ricerca, presentata alla conferenza da Nguyen Minh Duc della Hanoi University of Technology , ha individuato un buon numero di metodi utili per hackare con successo i sistemi di riconoscimento del volto presenti sui laptop dotati di webcam, nella fattispecie gestiti dai tool software Veriface III di Lenovo, SmartLogon V1.0.0005 di Asus, e Face Recognition 2.0.2.32 di Toshiba.

I suddetti software sfruttano la webcam integrata nei PC portatili per scansionare il volto della persona che vi si pone davanti, confrontando poi le informazioni con quelle in archivio per sbloccare la macchina e autenticare l’utente all’uso del sistema operativo (XP o Vista che sia). I ricercatori vietnamiti hanno però messo in luce la pochezza degli algoritmi di riconoscimento implementati, e hanno individuato non uno ma molti “trucchi” diversi per farsi beffe della supposta superiore sicurezza della biometria facciale.

Uno di questi trick , il più semplice, consiste nell’impiego di una fotografia dell’utente da piazzare davanti alla cam, che verrà tratta in inganno e sbloccherà il sistema. Basta modificare opportunamente le fonti di illuminazione e l’angolo di ripresa della scena in foto , hanno scoperto i ricercatori, per turlupinare le presunzioni di una tecnologia “sicura” e “a prova di hacker”. Vista l’abbondanza di immagini sui portali “sociali” come Facebook e MySpace e i programmi di fotoritocco (anche gratuiti) disponibili oggigiorno, sottolineano i ricercatori, ipotizzare un attacco di questo genere è un’idea tutt’altro che peregrina.

Un metodo altrettanto efficace, anche se più complicato del precedente, prevede poi di passare per un classico attacco forza bruta , dove viene generata una quantità di immagini “casuali” per ottenere accesso al PC. In entrambi i casi citati, a ogni modo, i ricercatori hanno tratto vantaggio dal fatto che gli algoritmi di riconoscimento sono tarati per lavorare con immagini già digitalizzate e post-processate, un elemento che, invece di aumentare la sicurezza, non fa altro che renderla molto più debole e aggirabile.

Duc non ci va giù leggero con chi, come Lenovo, Asus e Toshiba, spaccia la biometria facciale per garanzia di assoluta sicurezza, denuncia che “i meccanismi usati da questi tre produttori non hanno raggiunto i requisiti necessari da un sistema di autenticazione, e non possono proteggere completamente gli utenti dai tentativi di intromissione”.

La biometria facciale soffre oggi di una vulnerabilità strutturale “che non si può risolvere in alcun modo”, continua Duc: quello che rimane da fare è rimuovere del tutto la caratteristica dai laptop interessati e avvertire gli utenti di smettere di usarla come meccanismo di protezione.

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Marius Pontmercy scrive:
    FUD!
    Solo FUD. SSL non c'entra assolutamente niente con questo MITM ben architettato. SSL in sè allo stato attuale dell'arte è inviolabiile. Il problema di sicurezza risiede esclusivamente nel browser. Sul discorso TOR, poi, lasciamo perdere. Se uno pensa di poter fare transazioni bancarie o di far transitare dati personali attraverso una rete di server gestiti da perfetti sconosciuti (per lo più hacker) si merita di essere truffato e derubato. Si chiama selezione naturale. Tor serve per navigare anonimi. Punto. E la documentazione è piena di disclaimer che invitano a NON usarlo per l'invio di dati sensibili.
    • Viking III scrive:
      Re: FUD!
      Ovviamente il "Router DNS hijacking" è un GROSSO problema correlabile...e mettondo insieme i mattoncini....V3
  • me stesso scrive:
    l'ennesimo man in the middle, pacco.
    x la cronaca questo è quello che si puo' leggere sulla sbarra deli indirizzi delle "Dimostrazioni" del tizioCOL TRUCCOhttps://www.google.com/accounts/ServiceLogin?service=cl&passive=true&nui=1&continue=http%3A%2F%2Fwww.google.com%2Fcalendar%2Frender&followup=http%3A%2F%2Fwww.google.com%2Fcalendar%2FrenderNORMALEhttps://www.google.com/accounts/ServiceLogin?service=cl&passive=true&nui=1&continue=https%3A%2F%2Fwww.google.com%2Fcalendar%2Frender&followup=https%3A%2F%2Fwww.google.com%2Fcalendar%2Frendermi sembra abbastanza evidente pure per un utonto che c'e' qualcosa che nn va nel primo url...alla fine nn è neanche phising ma è una specie di incapsulamento dell'url, sgamabilissimo da chiunque
  • roberto scrive:
    verifica il form prima di spedire ovvio
    Conoscendo un po dell'SSL, visto cosa fanno molti reponsabili web, da sempre controllo la trasmissione del form prima di metterci dati importanti, un browser serio te lo fa al volo.Comunque un paio di maggiori informazioni per l'utente medio, che in teoria ora non sa che fare col suo paypal, ci stavano nell'articolo, o volete fare la rivista di gossip?
    • xxxxxxxxxx scrive:
      Re: verifica il form prima di spedire ovvio

      Comunque un paio di maggiori informazioni per
      l'utente medio, che in teoria ora non sa che fare
      col suo paypal, ci stavano nell'articolo, o
      volete fare la rivista di
      gossip?Quoto!
  • samu scrive:
    pdf della presentazione
    https://www.blackhat.com/presentations/bh-dc-09/Marlinspike/BlackHat-DC-09-Marlinspike-Defeating-SSL.pdfil trucco del certificato SSL si vede bene nella slide 94 e 95.nel primo il certificato e' stato rilasciato per www.pnc.comnel secondo si vede che e' stato rilasciato per homepage.var.cn.
    • QuiQuoQua scrive:
      Re: pdf della presentazione
      Vabbè... dell'incongruenza se ne accorgerebbe forse il 5% degli utenti. E anche io, informatico, penserei ad un bug di firefox o iexplore vedendo una schifezza simile.Interesssante e preoccupante il PDF, veramente non pensavo ci fossero tutti quei modi di raggirare l'utente.- Scritto da: samu
      https://www.blackhat.com/presentations/bh-dc-09/Ma

      il trucco del certificato SSL si vede bene nella
      slide 94 e
      95.
      nel primo il certificato e' stato rilasciato per
      www.pnc.com
      nel secondo si vede che e' stato rilasciato per
      homepage.var.cn.
  • samu scrive:
    Re: articolo un po ingiusto
    - Scritto da: bubba
    Non mi e' del tutto chiaro come gestisce la
    faccenda del "certificato ssl fake" cmq... x
    intenderci se uno clicka, dopo, sul 'lucchetto'
    ,che ne esce?il trucco e' semplice e banale quanto efficace : non e' un certificato ssl fake, ma un certificato di un altro sito, lo si vede bene nelle slide della conferenza; il certificato e' corretto sotto tutti i punti di vista ma anziche' essere il certificato di gmail.com e' quello di servercattivo.it ed e' rilasciato dalla CA, grazie alle interfacce recenti dei browser piu' comuni (IE e ff ) la cosa non si nota se non si e' attenti; ad esempio fa notare come in ff3 in basso a dx compaia come il certificato non e' x gmail.com ma per un altro sito.. peccato che quell'informazione sia appunto in basso a destra e se non sei attento non te ne accorgi A questo aggiungi altri trucchetti grafici per dare l'impressione che sei su https quando invece sei su http, il problema che molti siti non ti fanno capire esattamente se il post di login e password sara' su http o https e il gioco e' fatto.Alla fine non e' una vulnerabilita' di SSL ma piu' un sfortunata serie di eventi tra cattiva implementazione visiva dei browser e dei siti in oggetto.Nota cattiva del tutto, il fatto che il certificato del sito esca debba essere valido fa si che ci debba essere una traccia di un pagamento ad una CA, ergo con un minimo di attenzione la polizia puo' risalire agli esecutori del tutto :-)
    • bubba scrive:
      Re: articolo un po ingiusto
      - Scritto da: samu
      - Scritto da: bubba


      Non mi e' del tutto chiaro come gestisce la

      faccenda del "certificato ssl fake" cmq... x

      intenderci se uno clicka, dopo, sul 'lucchetto'

      ,che ne esce?

      il trucco e' semplice e banale quanto efficace :
      non e' un certificato ssl fake, ma un certificato
      di un altro sito, lo si vede bene nelle slide
      della conferenza; il certificato e' corretto
      sotto tutti i punti di vista ma anziche' essere
      il certificato di gmail.com e' quello di
      servercattivo.it ed e' rilasciato dalla CA,
      grazie alle interfacce recenti dei browser piu'
      comuni (IE e ff ) la cosa non si nota se non si
      e' attenti; ad esempio fa notare come in ff3 in
      basso a dx compaia come il certificato non e' x
      gmail.com ma per un altro sito.. peccato che
      quell'informazione sia appunto in basso a destra
      e se non sei attento non te ne accorgigiusto. l'avevo capito dopo ma non mi sono autoreplicato :)merito del url-fake-che-grazie-all'IDN-sembra-l'url-sana.Ossia le transazioni ssl sono 2, gestite col MITM.

      A questo aggiungi altri trucchetti grafici per
      dare l'impressione che sei su https quando invece
      sei su http, il problema che molti siti non ti
      fanno capire esattamente se il post di login e
      password sara' su http o https e il gioco e'
      fatto.sisi questo e' noto. ed e' colpa dei designer del sito infatti.L'insieme di tecniche implementate pero' e' molto buono... l'hacker fa anche affidamento sul fatto che ,statisticamente, nessuno inizia una transazione https VIA https, ma sempre in http (tipicamente xche sta clickando su un link che lo porta alla banca/paypal di turno) o perche il portale all'inizio si presenta cosi (e fa un redirect 302)
      Alla fine non e' una vulnerabilita' di SSL ma
      piu' un sfortunata serie di eventi tra cattiva
      implementazione visiva dei browser e dei siti in
      oggetto.

      Nota cattiva del tutto, il fatto che il
      certificato del sito esca debba essere valido fa
      si che ci debba essere una traccia di un
      pagamento ad una CA, ergo con un minimo di
      attenzione la polizia puo' risalire agli
      esecutori del tutto
      :-)Sull'SSL in se quello che mi preoccupa e' la chain of trust... sembra che, come avveniva molti anni fa, la suddetta ,per via delle deleghe che puoi fare, non generi un certificato pienamente valido ,ma che pero' non venga evidenziato (warning) dal browser. Ma ammetto che nelle oscure pratiche della certificazione non sono ferrato..
      • samu scrive:
        Re: articolo un po ingiusto
        - Scritto da: bubba

        Nota cattiva del tutto, il fatto che il

        certificato del sito esca debba essere valido fa

        si che ci debba essere una traccia di un

        pagamento ad una CA, ergo con un minimo di

        attenzione la polizia puo' risalire agli

        esecutori del tutto

        :-)
        Sull'SSL in se quello che mi preoccupa e' la
        chain of trust... sembra che, come avveniva molti
        anni fa, la suddetta ,per via delle deleghe che
        puoi fare, non generi un certificato pienamente
        valido ,ma che pero' non venga evidenziato
        (warning) dal browser. Ma ammetto che nelle
        oscure pratiche della certificazione non sono
        ferrato..si e' un altro problema,io ho preso il mio certificato da verisign e lo usoper firmare qello del sito "civetta"; il browser dovrebbe avvisare che se vado nel sito civetta questo ha un certificatocon CA=False e dare un warning.Da alcune ricerche sembra che questo sia gia' stato implementato su FF ma non ho prove dirette, solo sentito dire, e comunque si aggira col giochino degli IDN appunto :-)
        • bubba scrive:
          Re: articolo un po ingiusto


          Sull'SSL in se quello che mi preoccupa e' la

          chain of trust... sembra che, come avveniva
          molti

          anni fa, la suddetta ,per via delle deleghe che

          puoi fare, non generi un certificato pienamente

          valido ,ma che pero' non venga evidenziato

          (warning) dal browser. Ma ammetto che nelle

          oscure pratiche della certificazione non sono

          ferrato..

          si e' un altro problema,
          io ho preso il mio certificato da verisign e lo
          uso
          per firmare qello del sito "civetta"; il browser
          dovrebbe avvisare che se vado nel sito civetta
          questo ha un
          certificato
          con CA=False e dare un warning.e' quello che dico anch'io...... cioe il warn |dovrebbe| darlo.. cioe mi sarei aspettato che lo desse.. mi sa che devo tornare ad approfindire il vecchio sslsniff, e la complicata chain of trust :PConosco i "giochi" alla ettercap ..ma caspita, dovrebbero essere firmati con la tua chiave (fake) e quindi apparire il warning nel lucchetto. Qua probabilmente c'e' di piu che ancora non ho capito appieno ( anche se il senso si)..
          Da alcune ricerche sembra che questo sia gia'
          stato implementato su FF ma non ho prove dirette,
          solo sentito dire, e comunque si aggira col
          giochino degli IDN appunto
          :-)eheh.. si bel trucco visivo. Io gli IDN gli abolirei... sono un tormento per tutto.. (dns, resolver, rappresentazione, leggibilita', puny-code ecc ). Internet e' nato us-ascii, che diamine almeno i nomi a dominio teniamoli tali.
    • Teo_ scrive:
      Re: articolo un po ingiusto
      - Scritto da: samu
      il certificato di gmail.com e' quello di
      servercattivo.it ed e' rilasciato dalla CA,
      grazie alle interfacce recenti dei browser piu'
      comuni (IE e ff ) la cosa non si nota se non si
      e' attenti; ad esempio fa notare come in ff3 in
      basso a dx compaia come il certificato non e' x
      gmail.com ma per un altro sito.. peccato che
      quell'informazione sia appunto in basso a destra
      e se non sei attento non te ne accorgiQuesto solo per i certificati con Extended Validation, giusto?
      • macco scrive:
        Re: articolo un po ingiusto
        se si implementasse la crittografia prima del primo click sarebbe tutto ok oppure no? perché a questo punto a chiedere con forza maggior sicurezza e riservatezza per i singoli sarebbero proprio le banche e simili.slogan:il traffico è mio e me lo controllo io ...oppure:alice/fastweb vuol dire fiducia ...o:la tua intimità è diversa dalla mia ...e:per una nuova era di fiducia ...
  • furlandio scrive:
    ziobalardo!!!!!
    cosa???!!!!!!!!!!!e... ci sono alternative?? :-/ecco tutte le fantastiche rassicurazioni su tutte le transazioni "cifrate a 128 bit! FANTASTICA SICUREZZA!!"banche, ecommerce... di tutto :-O
  • Azrael scrive:
    Re: articolo un po ingiusto
    Quoto. Articolo vergognoso.
  • lufo88 scrive:
    Però c'è anche da dire una cosa
    Ma come si fa ad usare TOR per le transizioni HTTPS? Da anni si dice che TOR serve solo per essere anonimi, se bisogna fare transazioni solo connessioni dirette!
    • riddler scrive:
      Re: Però c'è anche da dire una cosa
      Magari un povero attivista non vuole far sapere il suo ip al fornitore di servizi per impedire che lo passi alle autorita'...Comunque non c'e' nulla di male a usare SSL insieme a TOR, sono due cose diverse con cui si possono ottenere risultati diversi e complementari.
      • lufo88 scrive:
        Re: Però c'è anche da dire una cosa
        Leggi cosa ha scritto andy61 sotto :) Usare TOR è un comportamento irresponsabile (se fai transazioni bancarie per esempio).Ciao :)
    • andy61 scrive:
      Re: Però c'è anche da dire una cosa
      TOR ti consente di anonimizzare il traffico (e cioè di rendere di fatto impossibile identificare i nodi origine e destinazione del tuo traffico.D'altra parte i nodi TOR di ingresso e uscita vedono il traffico che generi, per cui se vuoi che il contenuto del traffico non possa essere letto, devi per forza utilizzare un protocollo crittografico (ad esempio HTTPS).Ti ricordo che tu stesso puoi mettere in piedi un nodo TOR, e quindi sniffare il traffico di tutte le connessioni che passeranno, in ingresso o in uscita, dal nodo controllato da te.Un caso esemplare:http://punto-informatico.it/2061642/PI/News/tor-al-centro-un-cracking-eccellente.aspxhttp://punto-informatico.it/2113614/PI/News/shhh-parla-hacker-delle-ambasciate.aspxhttp://punto-informatico.it/2115849/PI/News/svezia-hanno-arrestato-egerstad.aspx
  • burba scrive:
    oal
    non c'entro un XXXXX ma seguo con attenzione.cosa sarebbe NoClick?
    • bubba scrive:
      Re: oal
      - Scritto da: burba
      non c'entro un XXXXX ma seguo con attenzione.
      cosa sarebbe NoClick?un plateale errore derivato dal sonno (scrivevo alle 2:34am) :)Intendevo chiaramente NoScript. Il miglior addon di firefox http://noscript.net
  • pentolino scrive:
    Re: articolo un po ingiusto
    confermo che tra registrati si possono scambiare messaggi privati (e mi risulta sia l' unico modo); se l' op vuole sarei curioso anche io di sapere di più :-)
    • Sticky scrive:
      Re: articolo un po ingiusto
      Quoto sul fatto che siano tecniche più o meno note ma messe insieme molto bene. Tra l'altro alcune di queste sono anche indicate sull'unico numero di Hakin9 liberamente scaricabile ( Issue 01/2008 ). Se vi interessa, http://hakin9.org/prt/view/back-issues/issue/744.html
    • bubba scrive:
      Re: articolo un po ingiusto
      Ringrazio Lemon e pentolino per gli apprezzamenti :)Non sono loggato xche banalmente mi scoccio di loggare (e dire che leggo p.i. da 10 anni). Non e' per p.i. in se... molte volte non mi loggo neanche in wikipedia, pur inserendo spesso correzioni o aggiunte.E si, potrei dire che mi sento mediamente preparato, avendo fatto, tra l'altro, il penetration tester [no, non e' un attivita' XXXXXgrafica :D ] per qualche anno. Adesso sono quasi nullafacente, sfortunatamente :
      • advange scrive:
        Re: articolo un po ingiusto

        Ringrazio Lemon e pentolino per gli apprezzamenti
        :)
        Non sono loggato xche banalmente mi scoccio di
        loggare (e dire che leggo p.i. da 10 anni).Guarda P.I. ha il vizio di non far scadere le sessioni: quindi ti logghi una volta e, se non ti slogghi, rimani col tuo nick per sempre (almeno se usi lo stesso PC).Quindi, se vuoi, non ti costa nulla; anche per me ci sono dei punti oscuri, in parte chiariti dalle tue spiegazioni. Quindi, mi aggiungo al coro dei "grazie" e dei "registrati".
  • bubba scrive:
    Re: articolo un po ingiusto
    Addendum: effettivamente stavolta l'hacker ha tirato fuori una combo di tecniche gia note (tranne forse questa specifica dell'IDN) ma praticamente efficienti. Sopratutto mi sembra seria la faccenda che spesso (sempre?) ne i browser ne le autorita' di firma, ne -pare- svariate implementazioni ssl (ne gli utenti), sembrano considerare a pieno la chain of trust. Questione vecchia ma ancora valida . Questo si che potremmo chiamarlo un mezzo failure del'SSL. Le Basic Constraints non validate inficiano la catena..Insomma sto SSLStrip andra' provato :P
    • a n o n i m o scrive:
      Re: articolo un po ingiusto

      (tranne forse questa specifica dell'IDN)fino a stasera non posso scaricarmi lo screencast/slide, però la cosa mi incuriosisce assai, hai qualche dettaglio aggiuntivo in merito?mi sembra di capire che non è il solito trucco dell'unicode?'azie :)
      • bubba scrive:
        Re: articolo un po ingiusto
        - Scritto da: a n o n i m o

        (tranne forse questa specifica dell'IDN)

        fino a stasera non posso scaricarmi lo
        screencast/slide, però la cosa mi incuriosisce
        assai, hai qualche dettaglio aggiuntivo in
        merito?
        mi sembra di capire che non è il solito trucco
        dell'unicode?


        'azie :)Eh no purtroppo lo e'. E'implementato furbescamente in modo diverso.L'idea e' di generare con un carattere unicode che visivamente sembri (omografia) gli equivalenti ascii di "/" "?", cosicche' puoi creare un URL che appare come https://www.paypal.com/logon/servlet.ijjk.cn MA invece e' https://www.paypal.xn--comlogonservlet-ij3and.ijjk.cn(traduzione in puny code inventata, ma per capirsi).
        • a n o n i m o scrive:
          Re: articolo un po ingiusto
          - Scritto da: bubba
          - Scritto da: a n o n i m o


          (tranne forse questa specifica dell'IDN)



          fino a stasera non posso scaricarmi lo

          screencast/slide, però la cosa mi incuriosisce

          assai, hai qualche dettaglio aggiuntivo in

          merito?

          mi sembra di capire che non è il solito trucco

          dell'unicode?





          'azie :)
          Eh no purtroppo lo e'. E'implementato
          furbescamente in modo
          diverso.

          L'idea e' di generare con un carattere unicode
          che visivamente sembri (omografia) gli
          equivalenti ascii di "/" "?", cosicche' puoi
          creare un URL che appare come
          https://www.paypal.com/logon/servlet.ijjk.cn MA
          invece e'
          https://www.paypal.xn--comlogonservlet-ij3and.ijjk
          (traduzione in puny code inventata, ma per
          capirsi).ah ok, sei stato chiarissimo, grazie! :)
Chiudi i commenti