I cyber criminali stanno puntano a raccogliere grandi volumi di dati biometrici al fine di utilizzarli per scopi illeciti in futuro

Gli hacker attaccano i marker biometrici

A cura di David Higgins, EMEA Technical Director in CyberArk

Il fermento circa l’autenticazione biometrica e il suo ruolo in ambito cybersecurity continua a crescere. Una volta relegati ai film di fantascienza, i lettori di impronte digitali, i sistemi di riconoscimento facciale, gli scanner della retina e così via si sono dimostrati, negli ultimi anni, efficaci per autenticare i dispositivi consumer. Questo successo ha convinto molte imprese a esplorare questa tecnologia come modo per proteggere i propri dati sensibili. Alcuni esperti di sicurezza ritengono che la biometria costituisca il futuro della sicurezza digitale, mentre altri sollevano perplessità legate alla questione della privacy. Prima di valutarne rischi e vantaggi, vediamo di che cosa si tratta.

Al fine di essere utili per scopi di identificazione e controllo degli accessi, i marker biometrici di un individuo devono essere unici, permanenti e registrabili. Esempi di dati biometrici comprendono la struttura del viso, l’iride che circonda la pupilla, le creste dell’impronta digitale, le onde sonore della voce di una persona (o “voiceprint”), la geometria di una mano o il modo in cui un individuo interagisce con il computer (la cadenza della battitura, l’uso del mouse, della tastiera, ecc.) Queste ‘identità umane’ uniche vengono raccolte, archiviate e confrontate in un database, offrendo un modo sicuro affinché gli utenti si connettano a device o sistemi senza dover impiegare (o doversi ricordare) molteplici password.

Il dilemma dell’autenticazione biometrica nella cybersecurity

Quando si parla di autenticazione biometrica, le perplessità relative a sicurezza e privacy sono innumerevoli. Anzitutto per via della natura permanente di questi identificativi che rende la posta in gioco molto più alta e i rischi più elevati. Poiché non si possono modificare i connotati, la struttura delle vene della mano o le impronte digitali come si cambia invece una password tradizionale, se qualcuno ruba e utilizza o duplica la tua identità biometrica non c’è molto da fare, lasciando device e account vulnerabili ed esposti. Inoltre, l’inalterabilità dell’autenticazione biometrica potrebbe facilmente indurre singoli e aziende a divenire fin troppo sicuri della tecnologia e tralasciare best practice quali le policy legate a strong password e autenticazione multi-fattore (MFA).

I malintenzionati lo sanno e per questo motivo hanno disegnato un’ondata di nuovi attacchi mirati a questi marker biometrici.

Ecco alcuni esempi di come gli hacker stanno prendendo di mira queste identità per raccogliere grandi volumi di dati biometrici al fine di utilizzarli per scopi illeciti in futuro:

  • Microchip sotto pelle. Secondo la società di biohacking Dangerous Things, sono tra 50.000 e 100.000 le persone che oggi hanno un microchip sotto pelle che utilizzano per aprire la porta dell’ufficio, accedere alla palestra, pagare il pranzo e semplificare i trasferimenti. Tuttavia, un certo numero di ricercatori ha dimostrato che è possibile accedere a questi impianti – infettando il chip con un virus tramite un attacco SQL injection oppure conducendo un attacco URL su una vulnerabilità del browser su chip NFC.
  • Servizi genetici. Se avete mai effettuato un test del DNA casalingo, probabilmente le vostre informazioni genetiche sono in mano a un’organizzazione di cui molto probabilmente sapete poco o nulla. Lo scorso giugno, il servizio di genealogia MyHeritage ha rivelato che 92 milioni di account sono stati trovati su un server privato. E anche se i DNA personali non sono stati compromessi, questo dimostra il potenziale dannoso nel caso in cui un attacco vada a buon fine.
  • Negozi biometrici. A mano a mano che l’adozione dell’autenticazione biometrica aumenta, la quantità di dati sensibili che viene raccolta, archiviata on-premise e nel cloud, elaborata e resa disponibile senza protezione è smisurata. I cyber attacker continuano a bersagliare i data store all’interno delle aziende, consapevoli che molte non hanno implementato le misure tecniche e organizzative adeguate per salvaguardare i dati sensibili.

Purtroppo, la tecnologia di autenticazione biometrica inviolabile è ancora fantascienza. E, nonostante il futuro delle password tradizionali non brilli, c’è ancora molto da fare in termini di normativa di cybersecurity e privacy prima che le organizzazioni possano adottare un approccio autenticazione futuristico con fiducia.