Metrotec Service

Tecnologie per sistemi di sicurezza e telecomunicazioni

Biometria: i lettori di impronta digitale sono veramente sicuri?

Quanto sono sicuri i lettori biometrici di impronta digitale? E’ ovvio che un professionista serio dovrebbe rispondere che essi non sono perfetti, ma il motivo non sempre viene rivelato. I fabbricanti sono consapevoli che un lettore di impronta non è uno strumento infallibile perchè in qualche raro caso potrebbe convalidare per buona un’impronta non valida, mentre un pò più spesso, accade che il lettore non accetti un’impronta valida. Il primo è un caso di falsa accettazione, con un valore statistico estremamente basso, mentre il secondo è un caso di falsa reiezione, con un valore statistico che è solitamente più elevato. Ma è possibile ingannare di proposito un lettore di impronta inducendolo a commettere un errore di falsa accettazione? I sistemi biometrici vengono utilizzati per avere la garanzia assoluta che colui che si autentica sia veramente chi afferma di essere. Il fatto che un lettore biometrico possa essere ingannato potrebbe rappresentare un grave problema di affidabilità.

Ha suscitato un certo scalpore la notizia che il professor Tsutomu Matsumoto, associato all’Università giapponese Yokohama National, ha realizzato alcune tecniche che evidenziano come sia possibile, con un investimento minimo, clonare un’ impronta digitale. Il professore ha realizzato un calco di un dito utilizzando una comune resina di tipo plastico, reperibile in qualsiasi negozio di prodotti artistici. Dopodichè egli ha versato della gelatina liquida nel calco e lasciato che essa solidificasse. La gelatina è quella di tipo alimentare che viene venduta in sfoglie e che viene utilizzata in cucina per la realizzazione di torte e crostate. Il professor Matsumoto ha preso in esame undici lettori di impronte digitali tra i più diffusi sul mercato ed è riuscito ad ingannare ben otto di essi, semplicemente utilizzando la copia di gelatina al posto del dito originale. Ovviamente questi esperimenti sono stati effettuati con la connivenza del soggetto coinvolto.

Le cose potrebbero complicarsi un pò quando l’impronta da clonare deve essere catturata all’insaputa del soggetto, ma le cronache ci confermano che anche questa impresa è stata clamorosamente realizzata qualche tempo fa, dallo storico gruppo di hackers Chaos Computer Club. Il ministro dell’interno tedesco Wolfgang Schauble aveva proposto di inserire le impronte digitali nei passaporti dei tedeschi ma il gruppo di hackers, clonando l’impronta del ministro, ha dimostrato che non si trattava di una buona idea. La copia dell’impronta è stata poi diffusa in 4mila copie tramite la rivista Die Datenshleuder.
Come sarebbero riusciti a realizzare questa impresa? Non sembra sia stato poi molto difficile. Si sono procurati un’impronta digitale portandosi via un bicchiere dal quale il ministro aveva bevuto dell’acqua.
L’impronta è stata poi trattata con dei fumi di cianoacrilato, ossia uno dei principali componenti delle comuni colle istantanee. I vapori della colla, reagendo con il residuo di grasso e sudore di cui è composta un’impronta, hanno creato un rilievo bianco e solido che riproduceva fedelmente l’impronta presente sul bicchiere.

Questa è stata successivamente fotografata con una macchina fotografica digitale ed elaborata con un programma di fotoritocco per aumentare il contrasto e rendere l’immagine più precisa. L’immagine è stata poi pubblicata in due versioni: una cartacea tradizionale, l’altra invece è stata stampata su un foglio di plastica trasparente del tipo usato per le diapositive, in modo da riprodurre anche il rilievo tridimensionale dell’impronta. Su questa pellicola sarebbe stato sufficiente spalmare un sottile strato di colla vinilica che una volta solidificata ed attaccata su un qualsiasi dito, avrebbe potuto sostituire il polpastrello del ministro.

Queste vicende tuttavia, non dovrebbero indurre a gettare nel cestino un intero sistema di rilevamento biometrico di impronte digitali, ma di prestare molta attenzione nel valutare l’adeguatezza del sistema in rapporto al grado di sicurezza che si richiede.