Lo scorso 14 settembre con la scadenza del termine ultimo per adeguarsi alle direttive della PSD2 è tornato molto in auge il tema dell’utilizzo della biometria e dei dati biometrici per aggiunger un altro layer di difesa per i clienti degli istituiti finanziari.
Per dati biometrici, naturalmente, parliamo principalmente di riconoscimento delle impronte digitali e riconoscimento facciale: di fatto, stiamo parlando di aggiungere una terza dimensione alla sicurezza informatica.
Apparentemente un bel passo avanti rispetto al classico SMS di conferma o alla vecchia e cara password. Ma è tutt’altro che un paradigma insormontabile e inespugnabile.
Indice degli argomenti
La biometria può essere sfruttata dai criminal hacker
Senza mettere in discussione che innovare è categoricamente uno degli elementi che definiscono l’essere umano come tale, spesso questo ha un effetto quasi inebriante sui provider prima e sul mercato dopo.
La terza dimensione, che non comprende solo l’utilizzo dei dati biometrici come sistema di sicurezza in ambito finanziario, ma anche in altri contesti – con un grosso focus sull’utilizzo del video – può essere sfruttata dai criminal hacker.
È stato infatti già ampiamente dimostrato come video e audio possono essere utilizzati come porta d’ingresso per malware e gli algoritmi utilizzati per i deep fake stanno diventando sempre più avanzati e convincenti. Una prospettiva che mette più di qualche punto di domanda attorno a quei sistemi che hanno incominciato a implementare massicciamente sistemi di Video Confirmation come misura di sicurezza.
Non è neppure un concetto nuovo: DeepLocker, uno dei primi AI powered Malware Attack, era un proof of concept della IBM Research che riusciva a rimanere silente attivandosi solo quando raggiunge la vittima designata. Il sistema di Intelligenza Artificiale, di fatto, attivava il “detonatore” nel momento in cui l’AI identifica il bersaglio attraverso parametri di natura biometrica.
Un approccio completamente opposto al modello “spray and pray”. Una sorta di “malware intelligente” che riusciva a nascondersi e rimanere sotto i “radar” degli strumenti Security attivandosi solo quanto riconosceva l’obiettivo.
DeepLocker ha, di fatto, cambiato le tecniche di evasione adottate dai malware tradizionali riuscendo a nascondersi in software trust come quello di videoconferenza.
Si tratta anche di una questione di velocità: oggi nel mondo del Cyber Crime as a service, il tempo impiegato da un nuovo sistema di criminal hacking per passare dai gruppi più avanzati alla ”ultima ruota del carro” si sta accorciando drasticamente.
Questo non significa che adottare sistemi basati sulla biometrica sia sbagliato, è il nuovo che avanza e che migliora l’user experience, ma non dobbiamo illuderci: nessuna soluzione nel campo della cyber security è una vera soluzione.
Ma per quanto riguarda i sistemi più in voga (impronte e riconoscimento facciale) al momento, quali sono le criticità emergenti?
Biometria: la questione impronte
Una cosa che è fermamente scolpita nella nostra mente sin dalla nostra infanzia è l’unicità delle nostre impronte digitali, il che le rende un candidato logico per renderle parte di un sistema identificativo di sicurezza.
Ma, come direbbero gli anglosassoni where there’s a will there’s a way, e non c’è voluto molto ai ricercatori di cyber security per mostrare come questa misura sia facilmente bypassabile.
Prendendo come spunto una foto di rito, un esperto è riuscito a replicare l’impronta del Presidente della Commissione europea Ursula von der Leyen utilizzando l’applicazione VeriFinger.
Dobbiamo anche tenere in considerazione come a differenza di password, carte di credito o altri record, non è possibile sostituire gli identificatori biometrici. Se qualcuno ha le foto della tua iride, non puoi avere un altro occhio.
Ovvio, si tratta di casi più limite rispetto a quelli di una password sottratta, visto il diverso livello di skill e commitment necessario a effettuare un simile lavoro, ma comunque da tenere bene a mente.
Le impronte, tra l’altro, non si ottengono solamente da una foto particolarmente dettagliata: il PSD2 – e non solo – ha dato il via, di fatto, alla creazione di enormi database contenenti queste informazioni. E, come testimonia la cronaca di tutti i giorni, questi sono tutt’altro che Fort Knox.
Ma ci sono stati ulteriori sviluppi su questo fronte: un gruppo di ricercatori della New York University e della Michigan State University ha recentemente pubblicato i risultati di uno studio che suggerirebbe che gli smartphone possono essere facilmente ingannati da impronte digitali “finte” che vengono digitalmente composte combinando le molte caratteristiche comuni trovate nelle impronte digitali di tutti. Nelle loro simulazioni, i ricercatori sono stati in grado di sviluppare artificialmente una serie di “impronte digitali master” in grado di ingannare i sensori presenti sulla maggior parte degli smartphone.
Come già accennato, anche se non esistono due impronte digitali identiche e le impronte complete sono difficili da contraffare, gli scanner sugli smartphone sono così piccoli che in realtà leggono solo impronte digitali parziali. Quando un utente imposta la sicurezza delle impronte digitali su un telefono cellulare, il dispositivo in genere prende da otto a 10 immagini di un dito per rendere più facile fare una corrispondenza. Questo deve corrispondere a una sola immagine memorizzata per sbloccare il telefono, e ciò rende il sistema vulnerabile ai falsi positivi.
Gli stessi produttori di telefoni hanno riconosciuto che i sensori di impronte digitali non sono perfetti e i risultati dello studio hanno solo sollevato ulteriori dubbi sull’efficacia della sicurezza delle impronte digitali sugli smartphone.
Gli smartphone attuali non utilizzano strumenti di biometria della stessa caratura di quelli sviluppati – per esempio – dal settore militare. Il fatto che questi lettori – tutt’altro che a prova di proiettile –siano sempre più utilizzati per le transazioni finanziarie, che richiedono un elevato livello di sicurezza, di certo non ci fa dormire sonni tranquilli.
Di certo il mercato non rimane fermo, i produttori di dispositivi esploreranno sempre più a fondo il tema dell’autenticazione multifattoriale per avvicinarsi a metodi di verifica sempre più sicuri.
La fase di “novità” della biometria nei dispositivi mobile è superata, adesso è in carico ai fornitori l’onere di continuare ad esplorare metodi di sicurezza più avanzati come sensori di impronte digitali più grandi o ad alta risoluzione per ridurre il rischio di hacking biometrico.
Samsung e Google Pixel: due casi a confronto
Un esempio delle potenziali vulnerabilità di questi sistemi è quanto successo qualche settimana fa a due dei prodotti di punta di Samsung, il Galaxy Note 10 e lo smartphone S10.
Il bug consentiva a qualcuno con un’impronta digitale non registrata di sbloccare il telefono. Questo accadeva a causa delle interferenze provocate da alcune cover di silicone che disturbavano lo scanner di impronte digitali ad ultrasuoni dei telefoni. Il sistema riconosceva erroneamente i pattern o le forme geometriche delle cover come le impronte del proprietario sbloccando il telefono al primo tocco da parte di chiunque.
La vulnerabilità è stata considerata così potenzialmente disruptive da obbligare Samsung a diffondere un comunicato che consigliava ai propri clienti di rimuovere del tutto le cover dai propri cellulari in attesa di una patch (che è stata diffusa circa 24-48 ore dopo).
Nel frattempo, però, molti istituti di credito si erano visti costretti a bloccare l’accesso all’home banking a tutti i propri clienti in possesso dei device interessati, di fatto bloccando l’unico – o comunque il più utilizzato – strumento di interfaccia di moltissimi utenti con i propri conti correnti.
Questo episodio è la testimonianza di quanto potrebbe essere impattante la scoperta di una vulnerabilità in questi sistemi biometrici.
C’è anche chi ha deciso di abbandonare già del tutto la tecnologia di scansione delle impronte digitali come Google che ha scelto per il suo ultimo Pixel Smartphone di omettere questa feature, decidendo di contro di scommettere tutto sulla tecnologia di riconoscimento facciale affidandosi alla tecnologia radar Soli per offrire un sistema di riconoscimento facciale progettato per rilevare e avviare il processo di sblocco dal momento in cui si prende in mano il telefono.
Ma anche su questa tecnologia ci sono delle ombre.
Questa funzione basta su Soli si attiva anche quando gli occhi dell’utente sono chiusi. Significa che un threat actor potrebbe potenzialmente sbloccare un dispositivo semplicemente, per esempio, puntandolo verso la faccia di un utente ignaro quando dorme.
Un’evenienza prevista dal competitor Apple con il suo sistema Face ID sull’iPhone: la società di Cupertino, infatti, ha sviluppato una funzione “attention aware” che può dire se un utente sta effettivamente guardando un determinato dispositivo.
L’omissione di tale funzione dai più recenti telefoni di punta di Google è alquanto sconcertante, dato che voci di corridoio hanno suggerito che il software del Pixel 4 includeva inizialmente nelle sue impostazioni l’opzione “Richiedi occhi aperti”.
Ovviamente c’è già una soluzione disponibile per gli utenti. Una modalità “lockdown” disabilita il riconoscimento facciale per l’autenticazione, consentendo presumibilmente all’utente di accedere al dispositivo con un PIN.
Ma il punto dell’autenticazione biometrica è che è più sicura di una password o di un PIN.
Biometria: il riconoscimento facciale
Ma quali sono i vantaggi introdotti dal riconoscimento facciale che hanno convinto Google ad abbandonare la scansione delle impronte e il pericolo è legato solo alla funzione “occhi chiusi”?
Come per il primo caso, questi dati biometrici hanno il vantaggio di poter essere più facilmente implementabili, sono unici (a meno che non si abbia un gemello identico) e forniscono (per lo più) un servizio in linea con i dettami della Strong Customer Authentication.
Certo, come detto, se correttamente implementati.
Ma, d’altro canto possono essere falsificati o replicati, fornire un falso senso di autenticazione “forte” (l’utente si fida istintivamente più del proprio volto che di un codice alfanumerico) e possono richiedere (a seconda dell’implementazione) la creazione e la memorizzazione di enormi quantità di dati biometrici su database.
Basti pensare al caso di Suprema, società leader nel campo della biometrica che vanta clienti nel settore banking, che ha subito un data breach con la perdita di oltre 28 milioni di volti e d’impronte.
È più facile ottenere una nuova password o un nuovo volto?
Detto questo, non voglio assolutamente dire che la biometria non ha un futuro, anzi, ma l’approccio migliore è ancora quello di permettere all’utente di mantenere il token o simile e di autenticarsi su un dispositivo su cui mantiene il controllo diretto.
Anche se questa non è un’autenticazione biometrica “vera”, è un’autenticazione biometrica assistita è sicuramente meglio di una password (ma quasi tutto è meglio di una password).
La questione privacy
L’utilizzo della biometria per la sicurezza fa comunque da contorno ha un fenomeno in rapida espansione, quello dell’utilizzo sempre più pervasivo di questa tecnologia in vari campi.
Infatti, ai fini della privacy l’aspetto più preoccupante della biometria è la sua accuratezza, ora o in un futuro relativamente prossimo.
In questo momento, molti operatori delle forze dell’ordine utilizzano lettori automatici di targhe (ANPR) per scansionare le auto mentre guidano e per compilare un database non solo delle auto rubate o di quelle i cui proprietari possono avere mandati di arresto.
Facendo questo, di conseguenza raccolgono anche un enorme database di dove si trova ogni auto.
In maniera più preoccupante, in Cina, questo tipo di tecnologia, con le dovute modifiche, viene utilizzata contro le persone.
È stato utilizzato per tenere traccia di manifestanti durante le proteste a Hong Kong o per attirare o premiare clienti fedeli nei negozi.
Negli Stati Uniti, l’FBI utilizza il riconoscimento facciale per identificare i criminali. Accede al DMV (l’equivalente della motorizzazione in Italia) o ad altri database e applica il riconoscimento facciale alle telecamere di videosorveglianza sia fisse che mobili.
L’organizzazione lo utilizza in occasione di eventi sportivi come il Super Bowl senza la conoscenza o il consenso dei partecipanti. Inoltre, l’FBI può (o meno) accedere a siti di social media come Facebook, Twitter, Instagram o altri per accedere al proprio software di riconoscimento facciale o semplicemente scaricare i dati nel proprio database e utilizzare i propri algoritmi.
Il problema del riconoscimento facciale e della privacy non è che non funziona – o non funziona molto bene – ma che potrebbe funzionare – e funzionare molto bene.
Potremmo sapere dove sono e dove erano tutti, con chi erano e cosa stavano facendo. Possiamo applicare protocolli di intelligenza artificiale alle persone di profilo. Si tratta di una sorta di 1984 portato all’estremo.
La biometria è una spada di Damocle, anzi la spada di Damocle per eccellenza.
