31 Ottobre 2019
Evviva la sicurezza! Sarà stato probabilmente questo il primo pensiero che ci è passato per la testa leggendo il titolo di questa notizia secondo cui Biostar 2, un sistema di biometria sviluppato dalla società di sicurezza Suprema ed utilizzato da banche, polizia britannica e società di difesa, ha subito una grave violazione dei dati, rivelando le impronte digitali di oltre un milione di persone, nonché password non crittografate, informazioni sul riconoscimento facciale e altri dati personali.
La “falla” di sicurezza è stata scoperta dai ricercatori israeliani Noam Rotem e Ran Locar, entrambi appartenenti alla vpnmentor, servizio di revisione VPN, durante una scansione di rete di routine condotta la scorsa settimana. I ricercatori hanno scoperto che il database del sistema era disponibile pubblicamente e che manipolando i criteri di ricerca degli URL era possibile accedere a quasi 28 milioni di record e 23 GB di dati, tra cui impronte digitali, dati di riconoscimento facciale, password e informazioni sul nulla osta di sicurezza.
Tramite questa falla, inoltre, era anche possibile la modifica dei dati e l’aggiunta di nuovi utenti. In tal modo, sarebbe stato possibile aggiungere la propria impronta digitale al sistema per accedere illegalmente a strutture protette. Biostar 2 è utilizzato in 1,5 milioni di location in tutto il mondo ed utilizza le impronte digitali ed una tecnologia di riconoscimento facciale per consentire l’accesso agli edifici. Il mese scorso la piattaforma è stata integrata in un altro sistema di accesso - AEOS - utilizzato da 5.700 organizzazioni in 83 paesi, tra cui la polizia metropolitana britannica.
Noam Rotem ha dichiarato che il team di ricerca ha provato diverse volte a contattare, senza successo, la società Suprema prima di rendere pubblica questa scoperta. Successivamente alla pubblicazione della notizia su The Guardian, un portavoce della società ha affermato che sarebbe stata effettuata una "valutazione approfondita" e che sarebbe stata fatta una comunicazione ai clienti qualora esistesse una minaccia. Nel frattempo, la “falla” è stata chiusa.
Sebbene questo caso sia emblematico e di maggior impatto rispetto ad altri avvenuti in passato, è notizia di febbraio che una vulnerabilità nei sistemi di e-ticketing (servizio biglietteria via internet) di diverse compagnie aeree di tutto il mondo, era stata potenzialmente in grado di esporre tutti i dati sensibili degli utenti, un rischio non da poco per la privacy. La natura di questa perdita di questi dati biometrici, tuttavia, potrebbe avere delle conseguenze importanti: una password può essere cambiata ma non un’impronta digitale.
Lo smartphone più completo? Samsung Galaxy S23 Ultra, in offerta oggi da smartapp a 872 euro oppure da eBay a 957 euro.
Commenti
Una vulnerabilità sconosciuta agli sviluppatori e quindi imprevedibile è ben diversa da una implementazione scadente che viola ogni best practice conosciuta. In questo caso siamo nella seconda ipotesi: password e impronte salvate in chiaro? Operazioni CRUD non protette da autenticazione ma accessibili tramite semplice url manipulation? Qui siamo oltre l'incompetenza, sono errori che non dovrebbe fare neanche lo studentello fresco di itis. Ingiustificabile.
Vengono violate banche dati ovunque. Vorrai forse dirmi che tutti gli sviluppatori sono cialtroni?
No, semplicemente basta un mino bug, e l’esperienza ci insegna che software privi di bug non ne esistono, a fare il patatrac.
E può anche essere un bug lato client, sul protocollo di comunicazione, lato server...
i guanti puoi sfilarli quando vuoi, ma provaci con un dito trapiantato...
Li contattano e non rispondono. Si svegliano solo quando la notizia finisce sul Guardian e sono costretti a fornire una spiegazione. Cialtroni fino in fondo
"O è tutto a circuito chiuso, e quindi per definizione inviolabile se non in loco, oppure queste cose diventeranno all’ordine del giorno"
Ma non è vero... le tecnologie e le best practices per una sicurezza efficace ci sono. Il problema è che, come in questo caso, spesso ci sono sviluppatori cialtroni che non le applicano. Qui sono state violate più o meno tutte le buone norme per sviluppare un sistema del genere, ovvio che poi succedono queste cose
Hai mai sentito parlare del software wireshark? per farla breve analizza i dati scambiati dalla rete che metti in scansione, ti restituisce un log in cui jai tutti i movimenti e gli indirizzi IP che si sono collegati alla tua rete, tramite tale espediente che stavo guardando a scopo didattico ho scansionato la mia rete domestica, nel momento in cui l'ho fatto, il mio PC Linux non stava facendo niente, niente email aperte o browser internet aperto, avevo solo il programma in azione. Ebbene mentre studiavo i dati raccolti in una scansione che mi restituisce una lunga serie di dati in cui vengono specificati il volume dei dati, gli indiri IP di partenza e di destinazione. Mentre scorrevo le righe colorate randomicamente dal programma mi cade l'occhio su una serie di righe nere e rosse, ripeto il colore è casuale ma 4 righe avevano un risalto particolare, dai dati raccolti il mio PC Linux stava scambiando dati con i server di Amazon, piccoli dati ma ripetuti. Ora non sono una persona che ha titoli di studio in merito quindi se qualcuno ne sa più di quanto se so io ben vengano delle delucidazioni. Per finire mi ricollego al commento, nella mia scansione ho trovato dei dati che destano sospetto, aggiungo anche che nelle scansioni ripetute nei giorni successivi il feisbuk non compare mai, piuttosto Amazon si è ripetuta più e più volte, sarà il caso di porsi delle domande?
Dopo staxnet non credo vi sia una soluzione che garantisce la sicirezza, vuoi che i tuoi dati siano sicuri, scrivili su in foglio e poi brucialo.
Niente sostituirà mai una buona password alfanumerica.
Il problema dei dati biometrici è proprio questo. Quelli che ti cucchi alla nascita te li tieni finché non crepi e proprio questo a mio avviso li rende poco sicuri per proteggere info importanti
Il sarcasmo non è il tuo forte vero?
Tanto bisogna mettersi il cuore in pace.
O è tutto a circuito chiuso, e quindi per definizione inviolabile se non in loco, oppure queste cose diventeranno all’ordine del giorno, con conseguenze via via più gravi a mano a mano che l’uomo si divertirà a farsi sostituire da macchine anche per scaccolarsi al semaforo.
La questione della sicurezza digitale è un po’ come quella climatica. Finché non si vedranno gli effetti devastanti dei palesi problemi, nessuno farà niente a proposito.
Ma quando gli effetti si paleseranno sarà troppo tardi per mettere una pezza.
Quello si dice a chi si sente spiato da feisbuk, contesto sbagliatissimo.
ti fai trapiantare un dito da un deceduto
É stato anche difficile contattari? Io farei cadere molte teste in quell'azienda!
Tra l'altro immagino che per motivi di sicurezza era obbligatorio per i dipendenti usare questo riconoscimento. Danno incredibile.
Suprema - una società con un nome del genere, da tanta sicurezza
Ancora peggio: gente che memorizza le impronte digitali anziché degli hash delle stesse... follia pure, a questi criminali andrebbe vietato l'uso del PC a vita
per sicurezza consiglio a tutti di cambiare immediatamente le impronte digitali.
Siamo nel 2019 e ancora esiste gente che memorizza password non crittografate.
Siamo ancora indietro, i governi dovrebbero tutelare meglio cose così delicate.
Il GDPR fa anche questo.
Che problema c'è, io non faccio nulla di male e non ho nulla da nascondere. Cit.
Nel era tecnologica, niente è al sicuro, troppi si fidano in modo incondizionato ai sistemi, bisogna essere più diffidenti, vigilare sempre, riflettere e non agire d’impulso.
e comunque gli utenti scelgono sempre impronte a facce semplici, rendendo il lavoro facile agli hacker!
Ottimo, considerando che c'è chi vorrebbe trasferire on line qualsiasi cosa, anche la democrazia
" a causa di una violazione dei nostri sistemi la preghiamo di cambiare le sue impronte" ah...
Guanti con impronte stampate? Hanno perso la possibilità di usare le loro impronte, secondo me è un delitto molto grave quello che hanno subito!
"manipolando i criteri di ricerca degli URL"
Questo tipo di "attacco" si fa dagli anni 90.
Quindi niente, evidentemente con le buone non impareranno mai.
Occorre stabilire regole ferree:
-lasci DB privato accessibile dell'internet? --> multone proporzionale alla quantità e ai possibili danni per gli utenti
-conservi password o dati biometrici in chiaro? --> galera, non puoi cascare dal pero su questo aspetto
Idem per la backdoor non esplicitamente dichiarate tipo le password di amministrazione fisse nei firmware che i produttori si "dimenticano" dentro anche dopo la finalizzazione del prodotto.
il tempo degli strafalcioni, volontari o meno, deve finire.
aspetti di morire, così i dati che hanno diventano obsoleti :D:D
https://uploads.disquscdn.c...
LOL
Bene, adesso cosa dovrebbero fare, cambiare le dita o la faccia?