I Sistemi Biometrici Sono Sicuri? Dita Artificiali, Master Key e Deep Master Prints

I sistemi biometrici vengono utilizzati come sistemi di sicurezza per bloccare ad esempio gli smartphone (ma non solo ovviamente). In questo caso c'è una sorte di soglia di tolleranza dei lettori, altrimenti lo sblocco potrebbe essere difficoltoso (ad esempio mani sporche, fredde, umidi, etc).
Proprio per questi motivi il sistema è facilmente hackerabile con calchi delle dita, dita artificiali o master key (cioè molte parti d'impronte di dite umane).
I primi sensori erano ingannati semplicemente da impronte artificiali create con la cera di una candela.
Anche i più moderni lettori ad ultrasuoni pare che siano stati ingannati da stampe 3D di impronte.
Va citato anche il "Deep Master Prints": una chiave biometrica ottenuta combinando le impronte contenute in un database utilizzata per superare i sensori.
Sostanzialmente si tratta di una rete neurale usata per generare impronte digitali artificiali.
Le impronte digitali false, generate dal sistema, potrebbero replicare almeno una delle cinque impronte digitali reali in un sistema di identificazione biometrica.
Il documento suggerisce che questa tecnica potrebbe essere utilizzata come un attacco di dizionario (un metodo per trovare una password provando tutte le parole nel dizionario). Ma invece di password, uno strumento ispirato a Deep Master Prints potrebbe testare diverse impronte digitali false attraverso un sistema per vedere se le corrispondenze sono reali.
Deep Master Prints sfrutta il fatto che la maggior parte degli scanner di impronte digitali non legge l’intero dito, ma una parte del dito che tocca lo scanner.
Inoltre alcune caratteristiche delle impronte digitali sono più comuni di altre. Ciò significa che un’impronta digitale finta che contiene molte caratteristiche comuni è più probabile che corrisponda ad altre impronte digitali di quelle suggerite casualmente.
Sulla base di queste idee, utilizzando una tecnica di machine learning comune, chiamata rete di confronto generativo, sono state create artificialmente nuove impronte digitali che corrispondessero al maggior numero possibile di impronte digitali reali.

Head Of Vulnerability Research Group conserva nel suo database 27,8 milioni di record, pari a circa 23 GB di dati riguardanti i dipendenti di 5.700 organizzazioni di 83 Paesi. Fra gli altri dati confidenziali, il database contiene circa un milione di record relativi a impronte digitali, oltre a informazioni relative al riconoscimento facciale.
Pare che invece di salvare un’hash dell’impronta (del quale non sarebbe possibile effettuare il reverse-engineering) BioStar2 ha salvato i dati completi dell’impronta, che quindi possono essere sottratti per scopi illegali.
Come si sa, i dati biometrici sono ovviamente legati al corpo della persona da autenticare. Quindi, nel caso che un’impronta digitale venga rubata da un database, non ci sarà modo per l’utente derubato di sostituire l’impronta, come si fa normalmente quando a essere sottratta è una password.
Dunque se ad una persona viene rubata l’impronta digitale, essa non potrà più utilizzare in sicurezza quel metodo di autenticazione per tutta la vita.
Esistono anche malware che svolgono funzioni di raccolta, trattamento e memorizzazione di dati biometrici.
Un’altra fonte di rischio è costituita dal fatto che molto spesso i database dei dati biometrici sono memorizzati su server applicativi condivisi con altre macchine, invece che su computer dedicati. Ergo se un hacker riesce a entrare per esempio in un server di posta che usa un sistema di autenticazione biometrico, egli molto probabilmente si impadronirà anche dello stesso database biometrico.
Anche la stessa fotocamera dello smartphone (tramite app a cui si è dato l'accesso) può catturare i nostri dati biometrici facciali e associarli alla nostra identità.