Un’indagine di Kaspersky mostra che 4 computer su 10 deputati ad archiviare queste informazioni sensibili sono finiti nel mirino
Dati biometrici sotto attacco: quattro computer su dieci, fra quelli usati per elaborare i fattori di autenticazione fisica, sono stati recentemente presi di mira da malware. Lo dice una recente ricerca di Kaspersky, secondo cui il 40% circa dei server e postazioni di lavoro che raccolgono tali dati ha subito almeno un tentativo di infezione veicolato da trojan per accesso remoto, trojan bancari e ransomware nei primi 9 mesi del 2019. Lo scopo delle aggressioni: sottrarre impronte digitali, geometrie di mani o volti, la voce stessa o l’iride di ignari utenti.
I precedenti
I casi eclatanti non sono mancati, in giro per il mondo. In agosto i ricercatori della compagnia di cybersecurity Vpn Mentor hanno scoperto che le impronte digitali di oltre un milione di persone si trovavano su un database accessibile al pubblico, il tool Biostar2 utilizzato anche dalla polizia metropolitana del Regno Unito, dagli appaltatori della difesa e dalle banche per controllare diversi sistemi d’accesso.
Oltre alle impronte digitali vi si trovavano fotografie di volti, dati di riconoscimento facciale, nomi, indirizzi, password, la storia lavorativa e i registri degli ingressi nelle aree di sicurezza. Il tutto, per un totale di 23 gigabyte di dati sugli impiegati di 5.700 organizzazioni di 83 Paesi. Nel 2015 la stessa Casa Bianca dovette ammettere che l’hackeraggio dell’Office of Personnel Management (Opm) causò la perdita di 5,6 milioni di impronte digitali (invece dell’iniziale stima di 1,1 milione) di persone correlate al governo.
PublicDomainPictures da Pixabay” width=”1050″ height=”590″ />Tipologie di attacco
La sicurezza dei sistemi informatici che dovrebbero proteggere queste chiavi d’accesso, sempre più diffuse come alternativa agli amati-odiati pin e password, diventa quindi un problema urgente. Se lo sono posto gli autori della ricerca Threats for biometric data processing and storage systems, svolta da Kaspersky monitorando l’attività dei propri prodotti installati sui sistemi. Sebbene la percentuale dei computer attaccati sia scesa dal 43,6% a inizio anno al 37% nel terzo trimestre 2019, la quota resta comunque alta. Nel 14,4% dei casi internet è risultata essere la principale fonte delle minacce, bloccate su siti malevoli e di phishing, nonché sui servizi di posta elettronica basati sul web.
I supporti rimovibili (come le chiavette usb) sono la seconda fonte di minaccia (8%), tra i più utilizzati per distribuire worm che, dopo aver infettato un computer, scaricano spyware, trojan di accesso remoto e ransomware per estendersi ai sistemi che elaborano dati biometrici. Al terzo posto (6,1%) ci sono le minacce bloccate nei client di posta elettronica, spesso e-mail di phishing (come messaggi falsi sulla consegna di beni e servizi, sul pagamento di fatture, ecc.) con link a siti web dannosi o allegati che contengono documenti aziendali con codice infetto incorporato.
Cosa fare?
Come rendere quindi più sicuri i sistemi che gestiscono questi dati? Passare da cybersecurity a cyberimmunity (ossia sistemi progettati e costruiti sin dall’inizio in modo immune alle minacce), impedire l’interoperabilità dei sistemi di codifica fra diverse agenzie, l’uso di reti air-gapped per conservare le biometrie sono solo alcune delle ipotesi.
“La possibilità di custodire il dato biometrico crittografato su un token o una card, inserendo quindi uno ‘strato’ aggiuntivo volto a mediare il passaggio dall’utente fisico al database digitale, è una delle ipotesi più praticabili” – spiega Fabio Scotti, professore di Sistemi di biometria dell’università Statale di Milano. “Sarebbe un po’ come già avviene negli e-gate di alcuni aeroporti, dove l’immagine ripresa dalla telecamera va sempre confermata dal chip del passaporto. Quello che conta, in generale, è restare sul piano ‘dell’autenticazione’ e impedire ‘l’identificazione’: fra i due livelli c’è un salto enorme”. E potenzialmente pericoloso.
Nell’impossibilità attuale di poter cedere in modo 100% sicuro i propri dati biometrici a terzi, un esempio-provocazione è l’anello realizzato da Kaspersky in collaborazione con il designer Benjamin Waye. Nel caso in cui i dati venissero persi, il gioiello in argento stampato in 3D e con una pietra in composto di gomma e fibre conduttive, potrebbe essere dotato di un nuovo pattern di dati personali. “L’anello di sicuro non rappresenta la soluzione definitiva, che comporterà invece misure e tecnologie ancora da sviluppare. Lo stato attuale degli studi sulla sicurezza in campo biometrico non è ancora abbastanza maturo. È però importante avviare un dibattito per un approccio collaborativo verso un’efficace protezione di questo tipo di dati”, spiega Marco Preuss, direttore del Global research & analysis team Europa di Kaspersky. Un primo passo, in attesa di sviluppi concreti.
Potrebbe interessarti anche