Passaporti hi-tech? La chiamano sicurezza

di Alessandro Bottoni - Viaggio nella tecnologia dei cosiddetti passaporti biometrici, i nuovi documenti adottati anche in Italia. Una tecnologia nota per la sua vulnerabilità, figlia di scelte discutibili

Gaia Bottà, in un suo recente articolo su PI ha dato notizia dell’adozione su larga scala di passaporti digitali biometrici da parte dell’unione europea (vedi:” UE, impronte nei passaporti “). Coloro che sono curiosi riguardo a questa tecnologia, trovano qualche informazione utile qui nel seguito. Altre informazioni (in inglese) sono reperibili qui
A questo indirizzo trovate anche tutto il necessario per clonare vari tipi di passaporto e per commettere altri tipi di reato. L’autore (un noto ricercatore inglese di nome Adam Laurie) le ha rese disponibili nella speranza che i nostri “decision makers” si rendano conto dei problemi che questa tecnologia presenta.

A cosa dovrebbero servire
I nuovi passaporti “digitali” dovrebbero servire ad impedire che un malintenzionato riutilizzi a proprio vantaggio il passaporto rubato ad un innocente cittadino, sostituendo la fotografia che si trova sul documento. Questo è, di fatto, il modo più semplice di procurarsi documenti falsi: si ruba il passaporto ad una persona la cui descrizione verbale corrisponde sommariamente a quella del malvivente, si sostituisce la foto e si spera che il funzionario della dogana abbia poco tempo da perdere nei controlli.

Ce n’era veramente bisogno?
Il problema di fondo è che l’unica cosa che lega il documento al suo proprietario è quasi sempre la fotografia. Basta quindi sostituire la foto per associare un documento esistente ad una nuova persona. Per questo si è pensato di incapsulare nei documenti anche i dati biometrici, come le impronte digitali.
In realtà, però, si poteva creare il necessario vincolo documento/proprietario almeno in altri due modi, molto meno infidi.
Il primo modo consiste ovviamente nell’incapsulare la foto e gli altri dati biometrici nel documento in modo più affidabile, ad esempio stampando la foto sul documento al momento della produzione, invece di “agganciarla” al documento con la puntatrice.
Il secondo, meno ovvio, consiste nell’usare un banale codice di controllo, cioè un PIN esattamente identico a quello usato per i Bancomat. Questo PIN poteva essere memorizzato su un chip RFID incapsulato nel documento e/o in una banca dati centralizzata. In questo modo, sarebbe diventato piuttosto difficile clonare un documento all’insaputa del suo proprietario. Se vi fidate dei PIN per il vostro conto corrente, perché non ve ne dovreste fidare per certificare l’associazione tra il vostro passaporto e voi?

Come sono fatti
I “passaporti digitali”, in realtà, sono ben poco digitali. Sono normalissimi passaporti cartacei che nascondono al loro interno un chip di riconoscimento molto simile a quelli usati per marcare le merci nei supermercati. Non si tratta quindi di rettangolini di plastica simili a carte di credito o cose del genere.

RFID e Smart Card
Il chip nascosto all’interno del passaporto può essere un semplice RFID o una più complessa Smart Card.
Un RFID è semplicemente un piccolo circuito integrato che svolge le funzioni di un piccolo computer. Più esattamente, svolge le funzioni di un “trasponder”. Quando questo chip viene “irradiato” da una “onda radio” della giusta frequenza, assorbe energia da questa onda radio, si attiva e risponde trasmettendo un segnale su un’altra frequenza. Questo segnale (che è digitale) contiene un “codice” che identifica in modo univoco il chip (e quindi il suo proprietario). Per essere più precisi, il codice che viene trasmesso può essere di due tipi diversi, a seconda del modello di RFID utilizzato.

Nei modelli più semplici è un numero molto grande e sempre uguale a sé stesso, cioè qualcosa come “274045284936012536497549243496543”. Questo numero viene confrontato con quelli registrati in apposito database, in modo da risalire all’identità del proprietario. Questo numero si chiama UserID (“identificativo utente”).

Nei modelli più sofisticati, il numero cambia ogni volta che si interroga l’RFID. Questo numero si chiama “Key” (o, per essere più precisi, “one-time key”cioè “password da usarsi una sola volta”). Sta quindi al sistema che riceve il segnale la responsabilità di applicare un apposito algoritmo per capire a chi appartiene il numero inviato dall’RFID. L’interrogazione del database non è più sufficiente, da sola, a risalire ad esso. Questo meccanismo viene usato per evitare che qualcuno copi lo UserID e crei una copia non autorizzata del passaporto. In pratica, l’RFID di questi documenti agisce come il “generatore di password one-time” che molte banche consegnano ai loro utenti di “home banking”.

Gli RFID usati nei passaporti biometrici contengono anche un file che descrive l’impronta digitale del titolare. Come sia possibile accedere a questo file dipende dal tipo di RFID e dalla implementazione di tutto il sistema.
Le Smart Card sono dei dispositivi molto più complessi degli RFID. Sono in grado di contenere molte più informazioni di un RFID (l’impronta digitale, la foto del viso, i dati anagrafici etc.) e sono in grado di intrattenere un vero “dialogo crittografico” con il dispositivo usato per la lettura. Quando si usa una Smart Card è come se si mettessero in comunicazione via Wi-Fi o Bluetooth un computer portatile (la Smart Card) ed un computer fisso (il sistema di lettura). Il canale di comunicazione è cifrato e l’accesso ai dati presenti sulla Smart Card è protetto da un apposito protocollo di autenticazione. Cosa ancora più importante, gli UserID o le “one-time key” che risiedono sulla Smart Card non lasciano mai la Smart Card. Ogni verifica viene eseguita senza estrarre mai queste informazioni dalla Smart Card. Il livello di sicurezza è quindi molto elevato. Non a caso, le Smart Card vengono usate anche come carte di credito.
Sfortunatamente, per ragioni di costo quasi tutti i passaporti digitali esistenti usano dei semplici RFID, non delle Smart Card di tipo embedded (“incapsulato”).

Passaporti Biometrici
I cosiddetti “passaporti biometrici” non sono altro che normali passaporti digitali che contengono all’interno del loro chip (RFID o Smart Card) i dati biometrici dell’utente: impronte digitali e/o foto del viso etc.
La ragione per cui si inseriscono questi dati dovrebbe essere, ancora una volta, quella di rendere infalsificabili questi documenti.

Contactless (in)Security
In ogni caso, la lettura del passaporto biometrico avviene “via radio”, appoggiando il passaporto su un apposito lettore. Questa modalità di lettura è nota come “contactless” e rappresenta la prima fonte di preoccupazione.
In linea di principio (ed anche in pratica) è possibile leggere il passaporto biometrico all’insaputa del suo portatore. Ad esempio, il Daily Mail di Londra ha dimostrato che un qualunque impiegato delle Royal Mail può scoprire se all’interno di una busta in transito per gli uffici postali c’è un passaporto biometrico e può leggere questo passaporto semplicemente facendo scorrere un apposito lettore radio sulla busta, senza aprirla.
Questo vuol dire, ad esempio, che è teoricamente possibile leggere il passaporto anche mentre si trova nelle tasche o nella borsa del suo proprietario in fila per il check-in all’aeroporto.

La distanza di lettura
I sistemi RFID e le Smart Card contactless non possono essere letti da metri di distanza. La potenza con cui emettono il loro segnale di risposta è molto bassa ed obbliga ad avvicinare l’antenna del sistema ricevente a pochi centimetri dal documento. In teoria, bisogna “strisciare” il documento sul lettore come se fosse un badge (ed infatti, il passaporto digitale è un badge).
Questo in teoria. In pratica si possono usare antenne amplificate per ricevere il segnale da diverse decine di centimetri di distanza o, in alcuni casi, persino da alcuni metri di distanza. Questo è quanto basta per leggere il chip del documento che si trova all’interno della tasca di un viaggiatore, senza avvicinarsi a lui in modo sospetto.
Non solo: si può leggere il documento mentre transita per gli uffici, come abbiamo già detto.

Un foglio di alluminio
Il modo più semplice per proteggersi da questo tipo di intrusione consiste nell’avvolgere il documento in un foglio di alluminio da cucina. Il foglio funziona da “gabbia di Faraday” ed impedisce la lettura.

Fingerprinting
Il processo con cui si leggono queste informazioni e si risale al tipo di passaporto si chiama “fingerprinting” (“lettura delle impronte digitali”) ed è virtualmente identico al modo in cui gli “hacker” (più esattamente gli “intruder”) interrogano i server di Internet per scoprire quale sistema operativo adoperano.
Quali informazioni si possano ottenere in questo modo, e quale uso si possa fare di queste informazioni, dipende dal tipo di passaporto. Nel caso dei passaporti Australiani, ad esempio, una peculiarità nel modo in cui rispondono alle interrogazioni permette di riconoscerli come passaporti australiani in mezzo ad una serie di altri tipi di passaporto digitale. Questo permette di identificare un australiano in fila al chek-in in mezzo ad una folla di persone provenienti da tutto il mondo.
I passaporti italiani fanno di peggio: rispondono alle interrogazioni fornendo lo UserID, per cui è possibile identificare una specifica persona e tracciarla. Tuttavia, per associare questo UserID ad un profilo anagrafico (nome e cognome) è ancora necessario ricorrere ad altri mezzi (in pratica, basta leggere “visivamente” il passaporto).

Sicurezza
Fino a questo punto, abbiamo parlato solo di “letture abusive” dell’RFID presente su questi passaporti. Nessuna delle tecniche che ho citato richiede di “crackare” l’RFID.
Ma si può andare molto oltre. Sono già stati messi a punto dei programmi che interrogano l’RFID e tentano un attacco a forza bruta contro il protocollo crittografico che protegge le informazioni contenute nel chip. Se l’attacco ha successo, un malvivente può accedere a tutte le informazioni contenute nell’RFID, non solo allo UserID od al tipo/nazionalità del documento.
Programmi di questo tipo sono forniti di serie con alcune distribuzioni Linux destinate alla sicurezza, come Backtrack e OSWA Assistant.
Quasi tutti questi programmi si basano sul fatto che alcuni elementi del protocollo crittografico sono facilmente prevedibili e quindi è relativamente semplice impersonare un lettore autorizzato all’accesso. Purtroppo, la scarsa imprevedibilità di questi elementi del protocollo non è il frutto di un errore di implementazione. Si tratta invece di una delle conseguenze della scarsa potenza di calcolo e della poca memoria disponibile su questi piccoli chip. Non c’è quindi una “cura” facile ed immediata per questo problema.

UserID e Codice Fiscale
Nell’ambiente dei crittografari, gli oggetti come gli UserID non sono molto amati e si preferisce usare delle one-time key. Per capire la ragione di questa idiosincrasia si può esaminare il caso di uno UserID famosissimo: il codice fiscale.
Come è noto, il codice fiscale può essere assemblato a partire da una serie di informazioni anagrafiche. Su Internet, infatti, esistono diverse piccole “applet” che sono in grado di calcolare il codice fiscale di una persona a partire dai suoi dati anagrafici. Basta quindi visitare la pagina di Wikipedia che parla di Silvio Berlusconi e dare i suoi dati in pasto ad una queste applet per ottenere il suo codice fiscale.
Come sapete, il codice fiscale (da solo!) permette di accedere a diverse informazioni ed a diversi servizi che sono riservati al suo titolare. Di conseguenza, a questo punto è possibile, ad esempio, andare all’INPS e chiedere di conoscere lo stato di “pensionabilità” del presidente del consiglio in carica.
Anche se Berlusconi è troppo noto per poter essere oggetto di questo tipo di abusi, questo tipo di abuso è stato realmente commesso negli anni passati, a danno di molte persone, in vari casi e per ottenere informazioni di vario tipo.
Lo UserID univoco che si trova all’interno di un passaporto digitale può essere usato in modo simile.

Cloning
Conoscendo lo UserID di un passaporto esistente è possibile crearne una o più copie. Questo è già stato fatto in varie occasioni. Ad esempio, il Daily Mail di Londra ha creato una copia del passaporto digitale di un suo collaboratore solo quattro ore (4 ore) dopo che questo tipo di passaporto è stato reso disponibile agli utenti attraverso gli uffici.
Nonostante questa cocente sconfitta, quel tipo di passaporto digitale è tuttora in uso in Inghilterra (sei anni dopo il crack!) ed è stato distribuito a milioni di cittadini.

Riuso delle informazioni
Anche senza clonare il passaporto, tuttavia, è già possibile usare le informazioni contenute nel chip per altri scopi.
Ad esempio, è tecnicamente possibile leggere i dati relativi alle impronte digitali ed usarli in seguito per accedere ad altri servizi protetti da sistemi biometrici, come le porte di accesso ad alcune banche e, in futuro, certi terminali bancomat.
Si possono usare questi dati sia per costruire un clone delle dita dell’utente sia per bypassare il sistema di lettura, inviando i dati codificati direttamente al database. In tutti i casi, occorrono competenza tecnica e strumentazione adeguate. Attualmente, questo tipo di competenze e di strumentazione si trovano al di fuori dello spettro di possibilità di un comune ladro, ma sono ben all’interno dello spettro di possibilità di organizzazioni più complesse, come i servizi segreti di vari paesi. In futuro, potrebbero diventare accessibili anche ad un comune ladro.
Vi ricordo che questi dati possono essere letti abusivamente ed all’insaputa dell’utente in varie occasioni, ad esempio durante il transito presso gli uffici postali.

L’accesso in scrittura
I passaporti biometrici, come qualunque altro documento, possono essere “aggiornabili”. A suo tempo sono stati presentati dei modelli “avanzati”, che usano chip da Smart Card (non dei semplici RFID), in cui è possibile cambiare i dati anagrafici contenuti nel chip, ad esempio per inserire il nome del coniuge quando il titolare del documento si sposa. In buona sostanza, i passaporti biometrici possono essere “scrivibili”. Ovviamente, l’accesso in scrittura è concepito in modo che possa essere usato solo dalle autorità di polizia. L’impiegato della dogana deve presentare delle apposite password per accedere al chip e modificare i dati.
Questo però vuol dire che, in alcuni casi, è teoricamente possibile che un malintenzionato (un ladro od un falsario, ma potrebbe essere anche la CIA od il SISMI) riesca ad accedere al passaporto digitale di un cittadino ed a scrivere al suo interno delle nuove informazioni. Teoricamente è quindi possibile partire da Roma come “Signor Mario Rossi, commercialista incensurato” ed arrivare a New York come “Usama Bin Laden, terrorista ricercato, preferibilmente morto”.
Per fortuna, sembra che finora nessun governo abbia deciso di adottare passaporti di questo tipo. In ogni caso, i passaporti italiani non sono scrivibili. Per aggiornare le informazioni “critiche” bisogna sostituire il documento ed il chip.

Biometria
L’uso di informazioni biometriche come elemento di certificazione dell’identità o come “chiave di accesso” presenta una gravissima vulnerabilità di fondo: se la chiave (l’impronta digitale) viene “compromessa” (cioè entra in possesso di qualche malintenzionato) non può essere sostituita. Se qualcuno riesce ad accedere abusivamente alle impronte digitali memorizzate nel vostro passaporto biometrico, può prendere il vostro posto e voi non avete più nessun modo di impedirglielo. Non potete sostituire le vostre impronte digitali come fareste con una Carta di Credito o con la chiave dell’auto. Un “furto d’identità” di questo tipo ha delle conseguenze gravissime sulla vita personale di un individuo. Questa è una delle ragioni per cui la biometria viene tradizionalmente usata solo quando non è davvero possibile usare nient’altro. La superficialità con cui si è deciso di utilizzare queste tecniche su larga scala, per identificare i cittadini, dovrebbe far riflettere.

IMHO
Le vulnerabilità dei passaporti digitali, soprattutto di quelli inglesi, italiani ed australiani, sono note da tempo e sono state oggetto di spettacolari dimostrazioni negli anni passati (vedi: http://rfidiot.org/ ).
Dato che queste vulnerabilità sono ben note, autorizzare l’uso su larga scala di questi dispositivi per certificare l’identità dei cittadini è un atto gravissimo ed irresponsabile, commesso da una “classe dirigente” europea che si dimostra sempre più incompetente e superficiale ogni volta che tratta temi tecnici.

Se quanto ho appena detto vi sembra grave, eccessivo od altro, vi invito a riflettere. Pensate solo cosa può succedere a voi ed ai vostri figli in occasione del vostro prossimo viaggio/vacanza in paesi come la Thailandia, la Malesia, l’Egitto, gli Stati Uniti, la Cina e via dicendo. Se l’immaginazione non vi aiuta, potete rivedere film come “Fuga di mezzanotte” o “L’angolo rosso”.
Vi piacerebbe partire da Milano come “Signore e Signora Verdi, incensurati e con figli al seguito” ed arrivare a Bangkok come “possibili trafficanti di esseri umani da trapianto, con vittime al seguito, che stanno usando passaporti noti per essere già stati clonati”? Non siete ansiosi di sperimentare l’ospitalità delle carceri tailandesi?
Se non riuscite a capire quale sia il valore della vostra identità, potete sempre rivedere il film ” intrappolata nella rete “. Si tratta di un film di fantascienza del 1995 e, come tutti i film di fantascienza, parla di un futuro remoto ed improbabile. Ma era il futuro remoto ed improbabile del 1995. Ora siamo del 2009 e quel futuro è molto meno improbabile e molto meno remoto di allora.

La soluzione giusta
Se proprio si voleva fare un passo avanti nella sicurezza dei documenti, sarebbe stato necessario usare delle vere Smart Card, del tipo usato per la “strong authentication”, come quelle prodotte da RSA e da Aladdin , in formato “Credit Card” o “USB Stick”.
Queste Smart Card e queste chiavi USB possono contenere tutti i dati necessari (incluse le foto e le impronte digitali) e possono essere lette da un apposito lettore su un normale computer (o, nel caso delle “USB Stick”, infilandole semplicemente nella slot USB). Non ci sarebbe quindi stato il pericolo della lettura a distanza e ad insaputa dell’utente.

Non solo: questi dispositivi possono essere usati solo se il loro proprietario fornisce la sua autorizzazione digitando l’apposito PIN. Non è quindi possibile usare la Smart Card di un’altra persona a sua insaputa. Infine, i codici di autenticazione di queste Smart Card non lasciano mai il chip della Smart Card e non possono quindi essere riutilizzati in nessun modo. Queste Smart Card sono sostanzialmente impossibili da clonare.

Questi dispositivi forniscono lo stesso grado di sicurezza che garantisce la vostra carta di credito di tipo “Smart Card” (quelle col chip) quando accedete al vostro conto corrente per effettuare un pagamento, cioè un livello di sicurezza elevatissimo. Considerando che lo stato pretende circa 120 euro come “diritti di cancelleria” ogni volta che rilascia un passaporto, questo avrebbe dovuto essere il grado di sicurezza minimo con cui proteggere l’identità dei cittadini europei, non quello (risibile) che può fornire un banale RFID.

Alessandro Bottoni
www.alessandrobottoni.it

Tutti i precedenti interventi di A.B. su Punto Informatico sono disponibili a questo indirizzo

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

Chiudi i commenti