Black Hat DC, Washington, febbraio 2009: una delle tecnologie di identificazione biometrica considerate un adeguato sostituto delle insicure impronte digitali cade vittima di hacker e ricercatori, che riescono con tocchi relativamente semplici a smontare l’hype e le propaganda dei produttori sul presunto superiore livello di affidabilità delle soluzioni già ampiamente presenti sul mercato.
La ricerca, presentata alla conferenza da Nguyen Minh Duc della Hanoi University of Technology , ha individuato un buon numero di metodi utili per hackare con successo i sistemi di riconoscimento del volto presenti sui laptop dotati di webcam, nella fattispecie gestiti dai tool software Veriface III di Lenovo, SmartLogon V1.0.0005 di Asus, e Face Recognition 2.0.2.32 di Toshiba.
I suddetti software sfruttano la webcam integrata nei PC portatili per scansionare il volto della persona che vi si pone davanti, confrontando poi le informazioni con quelle in archivio per sbloccare la macchina e autenticare l’utente all’uso del sistema operativo (XP o Vista che sia). I ricercatori vietnamiti hanno però messo in luce la pochezza degli algoritmi di riconoscimento implementati, e hanno individuato non uno ma molti “trucchi” diversi per farsi beffe della supposta superiore sicurezza della biometria facciale.
Uno di questi trick , il più semplice, consiste nell’impiego di una fotografia dell’utente da piazzare davanti alla cam, che verrà tratta in inganno e sbloccherà il sistema. Basta modificare opportunamente le fonti di illuminazione e l’angolo di ripresa della scena in foto , hanno scoperto i ricercatori, per turlupinare le presunzioni di una tecnologia “sicura” e “a prova di hacker”. Vista l’abbondanza di immagini sui portali “sociali” come Facebook e MySpace e i programmi di fotoritocco (anche gratuiti) disponibili oggigiorno, sottolineano i ricercatori, ipotizzare un attacco di questo genere è un’idea tutt’altro che peregrina.
Un metodo altrettanto efficace, anche se più complicato del precedente, prevede poi di passare per un classico attacco forza bruta , dove viene generata una quantità di immagini “casuali” per ottenere accesso al PC. In entrambi i casi citati, a ogni modo, i ricercatori hanno tratto vantaggio dal fatto che gli algoritmi di riconoscimento sono tarati per lavorare con immagini già digitalizzate e post-processate, un elemento che, invece di aumentare la sicurezza, non fa altro che renderla molto più debole e aggirabile.
Duc non ci va giù leggero con chi, come Lenovo, Asus e Toshiba, spaccia la biometria facciale per garanzia di assoluta sicurezza, denuncia che “i meccanismi usati da questi tre produttori non hanno raggiunto i requisiti necessari da un sistema di autenticazione, e non possono proteggere completamente gli utenti dai tentativi di intromissione”.
La biometria facciale soffre oggi di una vulnerabilità strutturale “che non si può risolvere in alcun modo”, continua Duc: quello che rimane da fare è rimuovere del tutto la caratteristica dai laptop interessati e avvertire gli utenti di smettere di usarla come meccanismo di protezione.
Alfonso Maruccia
Ti potrebbe interessare
20 feb 2009