sabato 2 ottobre 2010

La CIE tedesca scatena il Chaos

Fonte Deutsche Welle
La Carta d'Identità Elettronica (CIE) tedesca che deve (o forse sarebbe meglio dire "doveva") essere distribuita da novembre è stata violata dagli hacker del "Chaos Computer Club" (CCC), una delle più grandi e autorevoli comunità hacker del mondo.

Ma veniamo ai dettagli della notizia...

Infosecurity ha pubblicato un articolo (citando una notizia di Deutsche Welle) nel quale si riporta che la nuova carta di identità elettronica multifunzione tedesca in grado di memorizzare anche i dati biometrici è stata pubblicamente "craccata" in TV da alcuni hacker del CCC.

Gli hacker hanno violato il PIN di sistema sulle carte e quindi hanno potuto utilizzare le nuove carte impersonando il titolare della carta. Ovviamente questa pubblica dimostrazione ha creato molto imbarazzo negli ambienti governativi che avevano puntato (e investito...) molto sulla distribuzione di queste nuove carte.

L'Ufficio Federale per la Sicurezza Informatica tedesco (BSI), ha ammesso che il PIN della carta può essere carpito utilizzando un Trojan, ha però anche fatto notare che la tecnica utilizzata (keylogging) è simile a quella utilizzata dagli hacker di tutto il mondo per rubare le credenziali degli utenti.

Questa notizia deve far riflettere sull'approccio adottato in questo tipo di situazioni in cui vengono utilizzati strati di sicurezza molto robusti (le carte multifunzione) appoggiandosi però su componenti del tutto insicuri quali i PC degli utenti. Problematiche analoghe, anche se non del tutto simili, si sono presentate anche da noi in Italia con l'utilizzo delle carte per la firma digitale. E' del tutto evidente che l'anello debole di tutta la catena è il PC sul quale si utilizza la carta sul quale appunto è possibile caricare un malware in grado di memorizzare il PIN e di metterlo quindi a disposizione di terzi. 

Tim Griese, portavoce del BSI ha comunque fatto sapere che la robustezza di questi dispositivi di autenticazione è superiore a quella che si avrebbe con il semplice utilizzo di user-id e password e che, al momento, non ci sono progetti di adozione per nuove misure di sicurezza aggiuntive per le carte.

Di certo, una carta che racchiude un grande insieme di informazioni critiche per il titolare, compresi i dati biometrici meriterebbe un livello di sicurezza al di sopra di ogni possibile illazione perché... come diceva l'Uomo Ragno: "Da un grande potere derivano grandi responsabilità!".

E se ci sono arrivati gli autori dei fumetti...

Nessun commento:

Posta un commento

http://www.wikio.it