Sempre più spesso i fabbricanti di dispositivi biometrici tentano di spacciare le proprio soluzioni come l’arma finale per debellare gli accessi indesiderati. Ciò vale per i dispositivi d’accesso a stanze, aereoporti ma anche computers, i quali sempre più spesso presentano lettori in grado di identificare il proprio padrone e consentirgli l’accesso. Ma è proprio così? Tempo fa Punto Informatico pubblicò un articolo in cui si raccontava che il gruppo di hacker Chaos Computer Club era riuscito ad entrare in possesso dell’impronta del’indice destro di Wolfgang Schauble, ministro dell’Interno tedesco, che è uno dei più convinti sostenitori della biometria come sistema di sicurezza. L’impronta era poi stata pubblicata sulla rivista Die Datenschleuder, sia in formato cartaceo, che come sottile pellicola da applicare al proprio indice, allo scopo di lasciare l’impronta del ministro ovunque. Qualche giorno fa, si è tenuta la Black Hat, la conferenza di hackers più famosa al mondo. Ad essa intervengono personalità di rilievo del mondo hacker, ma anche ricercatori, giornalisti, managers in cerca di cervelloni. Proprio dall’ambiente universitario è giunta una ricerca che ha dimostrato l’inefficacia dei metodi biometrici facciali proposti come soluzione da alcune aziente per i propri notebooks dotati di webcam. Nguyen Minh Duc della Hanoi University of Technology, ha raccontato di essere riuscito ad hackare i softwares Veriface III di Lenovo, SmartLogon V1.0.0005 di Asus, e Face Recognition 2.0.2.32 di Toshiba, che servono appunto al riconoscimento del volto. Come ciò sia stato possibile, è presto detto: è bastato mettere la foto del proprietario dinnanzi alla webcam, magari cambiando l’angolatura della luce o della fotografia, ed il sistema è stato gabbato. Il ricercatore ha poi messo a punto altri sistemi, come un attacco brute force che forniva fotografie casuali di volti alla webcam. Come è stato dimostrato, la biometria, anche quella facciale, è tutt’altro che sicura. E’ una tecnica intrinsecamente debole, perché oggigiorno, essa funziona potremmo dire, per approsimazione. Pensiamo a quando nel telefilm CSI viene effettuato un confronto delle impronte digitali: in realtà non viene presa un’impronta e sovrapposta a tutte quelle in archivio, come viene fatto vedere in tv, ma dall’impronta si estrapolano alcuni punti-linee caratteristiche, che poi si confrontano con quelle dell’archivio. Ne consegue che, per quanto improbabile, non è del tutto impossibile che le linee guida di due individui siano uguali. Analogamente, i volti vengono dal computer ridisegnati, digitalizzati. Potete pensare ad una cosa come la faccia di Max Headrom in 2D. Successivamente si effettua un’approssimazione di linee e punti. Questa approssimazione potrebbe essere anche ottenuta con la fotografia di un individuo con un volto differente, a cui sia stato operato un po’ di fotoritocco per far collimare le linee guida con quelle in possesso del computer. Fantascienza? Come abbiamo appena visto no. Perciò se sentite qualcuno magnificare le doti della biometria, sentitevi liberi di ridergli in faccia.
Qui l’articolo di Punto Informatico sull’evento.