Chaos Computer Club, il gruppo di hacker più grande d’Europa da oltre 25 anni, ha dimostrato, durante una trasmissione sul canale televisivo WDR, alla vigilia dell’imminente introduzione della nuova carta di identità elettronica multifunzione tedesca, che è molto facile violarla e impossessarsi così dell’identità altrui.

    Registrazione del “Berichts aus Brüssel” del 22/09/2010 sul canale WDR, dove viene presentato un attacco alla nuova ID card tedesca dal Chaos Computer Club (il servizio è in lingua tedesca, ma rende bene, e drammaticamente, l’idea).

    Secondo il Deutsche Welle, il portale internazionale dei media tedesco, la nuova carta di identità elettronica multifunzione è stata facilmente violata da normali “computer nerds”.

    I fatti

    A partire da novembre 2010, i cittadini tedeschi, che chiederanno di rinnovare le loro carte di identità nazionali, riceveranno ID card  ricche di funzionalità, in grado di memorizzare dati e statistiche biometriche. Le nuove ID card, delle dimensioni di una carta di credito standard, permetteranno ai possessori di fare operazioni finanziarie con le autorità statali tramite Internet.

    Le card high-tech sono pensate per fornire alti livelli di sicurezza per gli acquisti online, ma un gruppo di hacker ne ha facilmente decifrato il codice PIN.

    Il Chaos Computer Club, ha dimostrato, utilizzando un modello di test della nuova ID card,  per il programma televisivo “Berichts aus Brüssel” della rete WDR, che il numero di identificazione personale (PIN) è facilmente crackabile.

    Business rischioso

    Una volta che un hacker è entrato in possesso del PIN, può spacciarsi per il titolare della carta e fare acquisti su Internet. Sempre lo stesso hacker può facilmente cambiare il PIN della carta.

    “Ciò significa, per il titolare della carta, che non sarà nemmeno in grado di accedere ai dati delle propria carta – non avrà più il PIN”, così racconta Constanze Kurz, membro del Chaos Computer Club alla WDR.

    L’Ufficio Federale per la Sicurezza Informatica (BSI) ha riconosciuto che è possibile utilizzare i cosiddetti malware trojan per violare/copiare il PIN allorquando l’utente utilizzi la versione base del lettore di schede, nel momento in cui, preliminarmente al momento di effettuare gli acquisti da un computer a casa, il titolare della card la inserisce nel lettore (ID card reader) per la necessaria verifica di identità. Lo schema è simile al software di registrazione di “battitura”, che registra ogni carattere digitato su una tastiera.

    Errore costoso

    Il governo tedesco ha già speso circa 24 milioni di euro per l’acquisto di circa un milione di lettori nella loro versione base. L’Ufficio Federale per la Sicurezza Informatica, che ha sviluppato le carte, ha sottolineato che nonostante le debolezze del lettore di base siano note, il processo di autenticazione permane molto più sicuro di una semplice combinazione userid e password, facendo notare che la tecnica utilizzata dai membri del Chaos Computer Club (keylogging) è simile a quella utilizzata dagli hacker di tutto il mondo per rubare le credenziali degli utenti.

    “La ID card sarà introdotta secondo i piani, non ci sono ulteriori misure di sicurezza previste, alla luce delle discussioni in corso”, ha detto Tim Griese dell’Ufficio federale per la Sicurezza Informatica a Deutsche Welle.

    La vicenda evidenzia come strati di sicurezza molto robusti (possesso e smart card) sono del tutto inutili allorquando si appoggiano su componenti presenti sul Pc degli utenti del tutto insicuri (lettori di smart card), che si rivelano come l’anello debole dell’intero sistema, rendendo possibile, a dei normali “computer nerds”, caricare un malware, in grado di memorizzare e rubare il PIN, e di metterlo a disposizione di terzi.

    Soluzione possibile

    Per aggirare eventuali trojan “succhia dati”, e sventare così potenziali attacchi da parte degli hacker, gli esperti raccomandano l’utilizzo di lettori di alta qualità, che hanno la loro propria tastiera per l’inserimento del PIN, oppure fare ricorso alla buona “vecchia” One Time Password e i token OTP, generatori di PIN dinamici.