Banche e pagamenti online

La notizia ha attraversato i giornali ed i telegiornali nei giorni scorsi tra il disinteresse generale: siamo ultimi in occidente per uso della carta di credito e per volume di affari sui siti di e-commerce. La ragione è ben nota: il terrore che l’utente italiano ha sempre avuto nei confronti dei mezzi di pagamento virtuali (carte di credito e cose simili). Ovviamente, questo terrore atavico ha impedito all’Italia di avere quello sviluppo economico che invece ha baciato altri paesi. In un momento di crisi come questo, la mancanza di questo giro di affari “virtuale” si fa sentire in modo ancora più drammatico.

Ma il terrore degli utenti è fondato? Le carte di credito sono davvero così facili da clonare? Ed è davvero così facile finire sul lastrico a causa di un “acquisto incauto” su Internet?

Qui di seguito trovate una panoramica dei sistemi esistenti di autenticazione (identificazione degli utenti) e di controllo degli accessi. Alla fine della lettura, potreste avere le idee più chiare su questo nostro strano mondo digitale.

Come duplicare una carta di credito tradizionale

Le carte di credito tradizionali (quelle con la striscia magnetica sul retro), sono identificate univocamente da questi sei elementi:

  1. Un numero che identifica la carta. Questo numero viene generato in maniera pseudo-casuale da chi produce la carta ed è stampato (spesso in rilievo) sul fronte della carta.

  2. Un secondo numero chiamato “Credit Card Verification Code” o “Credit Card Security Code”. Questo codice di tre cifre è stampato sul retro della carta.

  3. Il nome del titolare stampato (spesso in rilievo) sul fronte della carta.

  4. Una data di scadenza stampata (spesso in rilievo) sul fronte della carta.

  5. Una strip magnetica posta sul retro della carta. Questa strip contiene un codice di identificazione univoco e/o le stesse quattro informazioni che abbiamo appena citato qui sopra.

  6. La firma del titolare apposta a penna sul retro della carta. Nelle transazioni online (distributori automatici di benzina, Internet, etc.) spesso (ma non sempre) viene utilizzato un apposito PIN di 5 cifre in sostituzione della firma autografa.

Nelle transazioni “a vista”, le Carte di Credito tradizionali di solito NON richiedono l’uso del PIN (Personal Identification Number) per la verifica e si basano invece sulla firma autografa del titolare come segno di accettazione dell’addebito. La firma andrebbe sempre confrontata con quella apposta sul retro della carta per verificare che chi presenta la carta sia anche il legittimo titolare della stessa.

Basta riflettere un attimo su queste caratteristiche delle carte per capire come vengono abitualmente perpetrate le frodi. Il modo più semplice è questo (noto come “skimming”):

  1. Voi andate al ristorante e decidete di pagare con la vostra carta di credito. La consegnate al cameriere e lasciate che la faccia sparire alla vostra vista anche solo per pochi secondi.

  2. Il cameriere, non visto, fa passare la carta in uno “skimmer” e/o fotografa entrambi i lati della vostra carta (ad esempio con il suo telefono cellulare di seconda o terza generazione).

  3. Voi tornate a casa tranquilli. Il cameriere “vende” le informazioni che ha raccolto ad un complice. Il complice può usare queste informazioni sia per duplicare la vostra carta, usando una “carta in bianco”, sia per effettuare acquisti che non richiedono la presentazione fisica della carta.

  4. Voi vi accorgete del problema solo due mesi dopo, al momento della ricezione dell’estratto conto della banca.

  5. A quel punto, fate denuncia e, in tre casi su quattro, la banca si accolla il costo della frode che avete subito. Questa perdita viene messa in conto da parte delle banche.

Per chi non lo sapesse, lo “skimmer” è un lettore di strisce magnetiche collegato ad un normale computer. La striscia magnetica che si trova sul retro delle carte di credito non è protetta in nessun modo e può essere facilmente copiata passandola attraverso un lettore di strisce magnetiche ed usando un banale programma.

Se il malvivente riesce ad ottenere tutte e cinque le informazioni contenute nella vostra carta (la firma non lo interessa, per motivi che capirete subito), ne può creare un duplicato usando una cosiddetta “carta in bianco”. Le carte in bianco sono normali carte di credito prive di serigrafie e di dati memorizzati sulla strip magnetica. Si comprano su Internet a 10 o 12 euro al pacco. Una carta “bianca” di questo tipo però NON può essere usata per pagare il conto di un ristorante (a meno che il titolare del ristorante non sia un complice del malvivente) perchè risulterebbe palesemente diversa da una normale carta di credito. Il fatto di disporre anche della firma del titolare è quindi inutile. Questa carta NON può nemmeno essere usata per fare il pieno di benzina dai distributori automatici perchè, in questo caso, verrebbe chiesto il PIN di autorizzazione della carta al posto della firma autografa. Come potete immaginare, “catturare” il PIN è decisamente più difficile che catturare le altre informazioni. Il PIN, infatti, NON è memorizzato nella strip magnetica e risiede SOLO sul server della banca. Di conseguenza, è necessario indurre il cliente a digitarlo in presenza di una telecamera nascosta che registra la pressione dei tasti. Per queste ragioni le carte duplicate “in bianco” di solito non sono il vero obiettivo dei malviventi.

Ad un malvivente “normale” basta invece avere accesso alle sole prime quattro informazioni della serie (numero della carta, nome del titolare, data di scadenza e security code) per poter usare la vostra carta per fare acquisti che NON richiedono la presentazione fisica della carta, ad esempio al telefono o su Internet. Questo è il vero rischio. In molti casi, infatti, chi copia carte e le usa per acquisti su Internet od al telefono è in combutta con il venditore e si spartisce i guadagni con esso. Entrambi contano sul fatto di potersi arricchire e di riuscire a sparire prima che la polizia riesca ad intervenire. Questo può sembrare aleatorio ma non lo è: molti di questo operatori disonesti risiedono in paesi lontani, in cui la polizia non è in grado di intervenire in modo tempestivo. Questa è anche la ragione per cui certe attività di e-commerce compaiono e spariscono in tempi così brevi. I loro clienti, infatti, non sono quasi mai clienti “volontari” e l’intera attività di commercio di questi siti è semplicemente una copertura ad una attività di frode a danno delle banche.

I Bancomat (Debit Card)

Le carte Bancomat (che in tutto il resto del mondo si chiamano “Debit Card”) differiscono dalle normali carte di credito (quasi) solo per il fatto che è sempre necessario digitare il PIN per autorizzare un addebito. Di conseguenza, il malvivente deve necessariamente piazzare una telecamera nascosta per riprendere le vostre dita mentre digitate il codice.

Per ragioni tecniche che sarebbe troppo lungo spiegare in questa sede, intercettare il traffico dati tra la vostra carta Bancomat, il lettore (“PIN Pad”), il computer a cui è collegato il lettore ed il server della banca, è quasi impossibile. Questo traffico è pesantamente crittografato nel tratto compreso tra il lettore ed il server della banca. Per questa ragione, bisogna proprio riuscire a leggere sia la striscia magnetica che si trova sul retro del Bancomat sia riuscire a “catturare” il PIN con una telecamera. Il solo possesso della carta Bancomat e/o dei suoi dati identificativi, senza il PIN, è inutile.

Per questa ragione i Bancomat sono effettivamente molto più sicuri delle normali carte di credito e, giustamente, gli utenti si fidano di essi come non farebbero mai con una carta di credito.

Le carte prepagate

Le cosiddette “carte di credito prepagate” sono, in realtà ed a tutti gli effetti pratici, dei “Bancomat”, cioè delle carte di debito (“Debit Card”). L’unica differenza è che si appoggiano ad un conto corrente “temporaneo” (a volte anche anonimo) invece che ad un conto corrente tradizionale. Di conseguenza, queste carte condividono con i Bancomat tutti i soliti pregi (tanti) ed i soliti difetti (quasi nessuno). Ai pregi si aggiunge il fatto che le prepagate hanno un limite di spesa assoluto e predeterminato (il valore della “ricarica”). Come difetto, va rilevato il fatto che, a differenza delle carte Bancomat, non richiedono l’immissione del PIN per accettare l’addebito.

In questo momento, le prepagate sono le carte preferite per le transazioni “a rischio” (Su Internet, al telefono o durante viaggi in paesi “rischiosi”).

Le Smart Card

Le prepagate sono anche state le prime ad utilizzare, in alcuni casi, la tecnologia delle Smart Card (le “carte con il chip”). Queste carte contengono un piccolo chip ed una piccola quantità di memoria statica in cui possono memorizzare delle informazioni. Nel caso delle carte prepagate, questa tecnologia è stata scelta perchè rende possibile usarle come un vero “portafogli digitale” (“electronic wallet”). La carta può essere caricata in banca (o dal terminale del Bancomat) e può poi essere lentamente svuotata facendo acquisti in giro, senza mai avere bisogno di collegarsi al server della banca, in modo “offline”. Tutte le informazioni necessarie vengono conservate al sicuro nella piccola memoria statica della carta, ben protette dal chip che ne gestisce l’accesso. Questa modalità di utilizzo offline è stata la ragione per cui le Smart Card sono state inventate, negli anni ’70.

A partire dall’anno scorso, tuttavia, tutte le banche europee stanno lentamente passando a questa tecnologia anche per le normali Carte di Credito e le normali Carte di Debito, non solo le carte prepagate. Secondo gli accordi, il passaggio dovrà essere completato entro il 2009 e dal 2011 non dovranno più essere utilizzate le carte tradizionali per nessuna applicazione. Questa decisione è stata presa soprattutto per accontentare i clienti europei, tradizionalmente molto più diffidenti degli americani nei confronti della “Plastic Money”. I maggiori costi della carte (da uno a tre euro al pezzo, invece di 10 – 50 centesimi) e dell’infrastuttura, infatti, non sono completamente giustificati dall’aumento della sicurezza. Anche le vecchie carte tradizionali avrebbero permesso un normale (purchè “consapevole”) utilizzo quotidiano con un rapporto costi/benefici più che accettabile per le banche e per gli utenti. Le vecchie carte, però, non hanno mai conquistato la fiducia degli utenti e questo ha forzato le banche alla transizione.

In ogni caso, le Smart Card NON sono duplicabili in nessun modo. Per accettare un addebito è sempre necessario digitare il PIN, per cui non è possibile perpetrare frodi come quelle che affliggono il mondo delle carte tradizionali. Da questo punto di vista, le Smart Card somigliano molto agli attuali Bancomat. Rispetto ai Bancomat, tuttavia, hanno un elemento di sicurezza in più: i dati di controllo non sono memorizzati su una striscia magnetica priva di qualunque protezione e risiedono invece all’interno della carta, in un’area di memoria statica che è accessibile solo attraverso il chip di controllo. Per accedere a questi dati è necessario avviare ed intrattenere una complessa “conversazione” crittografica con questo chip durante la quale il titolare deve dimostrare di essere a conoscenza del PIN. Intercettare questo traffico tra la carta ed il computer “ospite” è quasi impossibile. La tecnica crittografica utilizzata per proteggere questo canale è una delle più robuste attualmente in uso.

Come ho già detto, le Smart Card sono state progettate proprio per consentire operazioni in modo “offline” (“disconnesso”), senza avere più la necessità di contattare il server della banca. Tuttavia, negli accordi attuali non è previsto che le Smart Card possano essere utilizzate in questo modo. Tutte le transazioni dovranno essere comunque effettuate sul server della banca.

Come duplicare un generatore di password usa&getta (OTP)

I generatori di password usa&getta (“One Time Password”, cioè OTP, anche noti come “Token”) sono quei “giochini” che fanno apparire una password diversa ogni 30 secondi e che vengono usati per accedere ai sistemi di home banking e di trading online. Uno dei più famosi è lo SecurID di RSA.

I generatori OTP vengono usati come terzo elemento di prova della propria identità in molte applicazioni critiche. L’utente deve quindi digitare:

  1. Il proprio username

  2. La propria password personale

  3. La password generata dal sistema OTP, che cambia ogni 30 o 60 secondi.

Ovviamente, sul server della banca c’è un generatore OTP uguale a quello che tenete in mano e che genera la stessa sequenza di numeri.

Altrettanto ovviamente, la reale sicurezza di questi aggeggi dipende dal fatto che questa sequenza di numeri non possa essere “indovinata” o “duplicata” in nessun modo. E qui, troppo spesso, casca l’asino…

Se avete un amico che fa uso della vostra stessa banca, e che ha quindi un generatore OTP uguale al vostro, provate a controllare se i due OTP generano sequenze di numeri diverse. Basta metterli uno a fianco dell’altro e confrontare le password che generano. Se la sequenza di numeri è la stessa, allora il vostro OTP non serve assolutamente a nulla. Chiunque può presentarsi (magari con dei documenti falsi) ad uno sportello della vostra banca, creare un conto corrente con 100 euro, farsi dare un OTP come il vostro ed usarlo per i propri scopi contro di voi o contro uno qualunque degli altri utenti della stessa banca.

Questa situazione, purtroppo, è più comune di quello che si potrebbe pensare. La tecnologia permette di avere dei generatori OTP che usano lo stesso algoritmo ma “semi” diversi per generare sequenze di numeri diverse tra loro. Lo stesso può fare il software di confronto che gira sul server. Tuttavia, per ragioni di semplicità amministrativa, alcune banche preferiscono usare lo stesso algoritmo e lo stesso seme per tutti i loro utenti, vanificando i vantaggi di questo sistema.

Quando viene usato correttamente dalla banca (sequenze di password diverse per ogni utente) il generatore OTP aumenta in modo significativo la sicurezza del sistema perchè impone ai malviventi una “finestra temporale” di soli 30 secondi entro la quale compiere le loro malefatte digitali. Scaduti i 30 secondi, è necessaria una nuova password e tutto il lavoro deve essere rifatto da zero.

In questi 30 secondi, di solito, il malvivente deve riuscire a “calcolare” l’altra password dell’utente, quella personale (lo username è solitamente noto). Non è facile riuscirci in così poco tempo, nemmeno facendo uso di potenti computer e di dizionari di password preconfezionati.

Le password ed i tentativi

Questo discorso ci porta dritti-dritti ad un altro problema: la robustezza delle password.

Nessun malvivente digitale è così stupido da tentare di indovinare la vostra password “a mano”, digitandola sulla tastiera. Per indovinare le password vengono usati degli appositi programmi, a volte ospitati da vere batterie di computer (da 2 a 2000 computer collegati in rete). Questi sistemi di “password cracking” sono in grado di esaminare milioni di password al secondo, sfruttando anche intere biblioteche che contengono centinaia di dizionari di termini in varie lingue.

Per fortuna, questi sistemi possono essere usati con profitto solo contro password che, pur cifrate, sono comunque memorizzate su un supporto passivo e sono comunque accessibili al malviventi, come le password ospitate dal file /etc/passwd di Unix/Linux e le password che Windows memorizza sull’hard disk del PC. Se il malvivente riesce ad entrare in possesso di queste password cifrate, grazie ad un virus o ad un altro sistema, le può sottoporre ad analisi con tutto comodo, fino a decifrarle.

Le password che vengono usate per accedere ad un qualunque sistema attivo, come un sito web (home banking), un terminale Bancomat o persino un PC acceso, NON possono essere decifrate in questo modo perchè il sistema (di solito) limita il numero di tentativi che possono essere effettuati, dopo di che blocca l’utenza. Questo è quello che avviene, ad esempio, con i bancomat: dopo tre tentativi di accesso falliti, la carta viene “inghiottita” dal terminale e consegnata alla banca che l’ha emessa per i controlli del caso. Lo stesso avviene con i PIN delle SIM telefoniche: dopo tre tentativi, la SIM viene bloccata ed è necessario il PUK (Personal Unlocking Key) per sbloccarla.

Questo però non toglie che le password debbano essere robuste. Se qualcuno riesce a mettere le mani sul file che conserva le vostre password all’interno del browser web, per esempio, le può sottoporre ad analisi con tutta calma. Se tra di esse c’è anche quella del sistema di home banking, sono guai seri.

Questa è la ragione per cui è una pessima idea memorizzare nel browser web le password che usate per accedere ai server web dei servizi bancari o ad altri servizi critici.

Gli ID-Token

Gli ID Token sono delle piccole “chiavi USB” o “penne USB” che contengono un identificatore personale (di solito un numero casuale di grandi dimensioni). Basta infilarle nella porta USB quando il software ci chiede di farlo. Uno dei più famosi e diffusi è l’ eToken di Aladdin.

La loro utilità consiste nel fatto che rappresentano un secondo fattore di identificazione. Il primo fattore è “qualcosa che sai” (“something you know”), cioè la solita coppia username/password od il solito PIN. Il secondo elemento è, per l’appunto, “qualcosa che hai” (“something you own”), cioè l’ID Token. Questa tecnica viene chiamata “autenticazione a due fattori” (“two-factor authentication”) ed è, ovviamente, molto più robusta di quelle abituali.

In ambienti veramente critici (installazioni militari, centri di calcolo che si occupano di finanza, centri di controllo della telefonia e della rete elettrica, etc.) vengono addirittura usati degli schemi di autenticazione a tre fattori:

  1. Something you know

  2. Something you own

  3. Something you are (“qualcosa che sei”), cioè un elemento identificativo e facilmente rilevabile del vostro corpo, come le impronte digitali, il tono di voce, il disegno dell’iride e via dicendo. In altri termini, qualche elemento di biometria utile ad identificare in modo univoco l’utente.

Sistemi a tre fattori sono in via di adozione anche da parte di alcune banche per alcuni tipi di operazioni. Questo però ha delle conseguenze assai spiacevoli per i funzionari addetti alla sicurezza, come vedremo tra poco.

Tornando ai sistemi a due fattori ed agli ID Token, va detto che questi oggetti sono solitamente impossibili da duplicare, anche potendo accedere fisicamente ad essi per qualche tempo con gli opportuni strumenti di copia. Gli ID Token, infatti, sono quasi sempre delle vere Smart Card dotate di chip e quindi difficilissime da duplicare. Questi aggeggi differiscono dalle Smart Card tradizionali solo per la forma (sono quasi sempre delle “chiavette USB” che non richiedono l’uso di un lettore apposito) e per il loro contenuto. Al loro interno, infatti, quasi sempre c’è solo il codice identificativo. Si tratta quindi di “chiavi digitali” a tutti gli effetti. Peraltro, sono identici alle chiavi digitali usate da molte automobili di classe medio/alta.

Gli ID Token sono semplicissimi da usare, forniscono un livello di sicurezza decisamente elevato e possono essere usati sia per applicazioni locali, ad esempio per accedere al proprio PC, che remote, cioè per accedere al proprio conto corrente bancario online e ad altri servizi simili.

Gli RFID

Gli RFID (Radio Frequency IDentifiers) sono dei parenti stretti degli ID Token. Possono essere usati nello stesso modo e garantiscono più o meno lo stesso livello di sicurezza. Di fatto, molto spesso gli ID Token sono degli RFID. Gli RFID, a loro volta, sono delle Smart Card ridotte all’essenziale ed usate solo per memorizzare un codice numerico univoco.

La principale differenza è che spesso sono di tipo contactless: non devono essere infilati nel lettore per usarli ma solo avvicinati ad esso, come i badge che si usano per entrare in azienda od in alcune reti metropolitane. I badge, d’altra parte, sono appunto degli RFID contactless.

Gli RFID vengono usati, tra l’altro come chiavi digitali per le automobili. Sono anche stati proposti qualche anno fa come dispositivo di blocco intelligente per le pistole semiautomatiche sotto il nome di “Smart Gun”. Queste armi sparano solo se impugnate dal legittimo proprietario.

Nonostante la loro versatilità, gli RFID non sono ancora stati utilizzati come secondo elemento di autenticazione (“qualcosa che hai”) in applicazioni bancarie. Vengono invece largamente usati dalle catene di distributori di benzina per le loro “fidelity card”.

I PIN di conferma alle operazioni

Molte banche usano una o più password ausiliarie per controllare l’accesso a delle operazioni particolarmente critiche, come i bonifici. Spesso queste password sono dei PIN di 5 o 6 cifre. In ogni caso, devono essere digitate per autorizzare le operazioni che comportano il trasferimento di denaro.

Queste password ausiliarie sono una buona idea per proteggere certe operazioni critiche da errori dell’utente o per proteggerle da eventuali malintenzionati “occasionali” (come potrebbe essere il figlio irresponsabile del titolare del conto) ma non servono a niente nei confronti di un malintenzionato professionale.

Le stesse tecniche usate per “catturare” le password principali possono infatti essere usate per catturare anche queste password ausiliarie.

Worm, Key Logger e attacchi TEMPEST

Per catturare le password (ed ogni altra informazione) da un PC si possono usare sostanzialmente tre tecniche:

  1. Un worm (od un virus) che si installa sul PC ed intercetta il traffico dati tra la tastiera ed il PC o tra il PC ed il display (il traffico tra il PC ed il server remoto è solitamente cifrato e non può essere intercettato).

  2. Un dispositico hardware che fa questo stesso mestiere, cioè un “Key logger” (“registratore di tasti”). Di solito si tratta di un “coso di plastica” infilato tra tastiera e PC.

  3. Un dispositivo in grado di “leggere” a distanza ciò che si digita sulla tastiera o ciò che viene visualizzato (dietro gli asterischi) sul display. Questo tipo di attacchi è noto come “attacco TEMPEST” ed è reso possibile dal fatto che tutti i dispositivi elettronici irradiano attorno a sé stessi qualche informazione critica sotto forma di onde radio.

Gli attacchi TEMPEST sono molto rari. Solitamente solo le polizie ed i servizi segreti sono in grado di effettuare attacchi di questo tipo. Ciò non toglie che siano però perfettamente possibili, come hanno dimostrato recentemente due ricercatori svizzeri: http://lasecwww.epfl.ch/keyboard/ . Potete trovare altre informazioni qui http://www.eskimo.com/~joelm/tempestintro.html e qui http://www.surasoft.com/articles/tempest.php .

I key logger richiedono un accesso fisico alla macchina per cui possono essere usati solo da qualcuno che conoscete bene (moglie, figli, colleghi di lavoro, etc.). Basta non usare MAI il PC dell’ufficio per accedere all’home banking per essere sostanzialmente al sicuro da questo tipo di attacco.

Purtroppo, invece, worm e virus sono presenti su praticamente tutti i computer Windows esistenti (si, anche su quelli con tre o quattro antivirus installati, aggiornati costantemente e perennemente in funzione). Semplicemente, non c’è modo di rendere impenetrabile un computer a tutti i virus esistenti (che sono almeno il doppio dei virus conosciuti). Ad esempio, leggete questi articoli:

http://www.pillolhacking.net/2008/01/13/analisi-del-mbr-rootkit/

http://www.pillolhacking.net/2008/11/03/il-ritorno-del-mbr-rootkit/

L’unico modo di liberarsi dai virus consiste nell’usare un sistema operativo diverso da Windows (Linux, BSD, OpenSolaris, MacOS X) e del software applicativo diverso da quello prodotto da Microsoft (OpenOfficeOrg, ThinkFree Office, Thunderbird, Firefox, Chrome, Opera, etc.).

Se questa vi sembra una affermazione esagerata, fate un giro con Google e leggete cosa ne dicono gli altri specialisti di sicurezza.

La biometria

Da qualche tempo, sono disponibili sul mercato dei lettori portatili di impronte digitali. Alcuni laptop ne hanno addirittura uno integrato nella tastiera. Potete vederne qualche esempio qui: http://secugen.com/products/peripherals.htm . Anche Microsoft vende un fingerprint reader, integrato in un mouse.

I lettori di impronte digitali potrebbero sembrare la risposta definitiva a qualunque problema di autenticazione dell’utente e di sicurezza. Vuoi accedere ad un qualunque servizio? Allora appoggia il dito sul lettore e lasciati riconoscere!

Purtroppo è vero esattamente il contrario: questi “cosi” rischiano di diventare la più grave minaccia alla nostra sicurezza che la specie umana abbia mai conosciuto. La ragione è semplice: per forza di cose, la vostra impronta digitale deve essere confrontata con una sua descrizione numerica che si trova dentro il lettore, dentro il PC o dentro il server remoto. Questa descrizione è ovviamente un piccolo file che contiene dei dati.

Se un malvivente riesce a mettere le mani su questo file, lo può passare al sistema (home banking, PC o quello che è) scavalcando il lettore di impronte digitali e prendendo il vostro posto in modo del tutto invisibile. La vostra identità passa nelle sue mani e non potete più farci nulla.

L’unico modo di impedirgli di usare la vostra identità consiste nel tagliarvi il dito. Anzi: se siete fortunati, basterà il dito. Ci sono anche dei sistemi biometrici che usano come elemento identificativo il disegno dell’iride (la parte colorata dell’occhio), quello dei capillari che scorrono sulla retina e via dicendo. In quel caso, sarete costretti a strapparvi uno o entrambi gli occhi.

Tutto questo senza voler considerare il fatto che il modo più semplice di procurarsi l’impronta digitale del direttore di una filiale di banca consiste appunto nel… tagliarli il dito. In alternativa, si può prendere in ostaggio la moglie per costringerlo a seguirvi in banca insieme al suo prezioso dito.

Insomma: usare una parte del proprio corpo come chiave della cassaforte è una pessima idea. Queste tecniche, infatti, sono usate quasi solo in ambiente militare e quasi solo per applicazioni veramente critiche. Pensate che non vengono usate nemmeno per proteggere i sistemi di lancio dei missili nucleari, proprio per evitare che i terroristi facciano a pezzi gli ufficiali per impadronirsi delle “chiavi” biometriche necessarie.

Anche in campo anagrafico e di polizia, questi sistemi continuano a soffrire dello stesso problema di base: se qualcuno riesce ad accedere al database che contiene il descrittore, può impadronirsi dell’identità di un’altra persona in modo irrimediabile. Può anche “caricare” sull’identità biometrica di un’altra persona il suo “carico” di malefatte agendo su questo stesso database centrale. Insomma: roba da Minority report.

Le tecniche out-of-band

In alcuni paesi si stanno cominciando ad usare le cosidette tecniche “Out-of-band” (“Fuori banda”) per autenticare l’utente e per autorizzare alcune operazioni critiche. L’autenticazione (l’identificazione) dell’utente spesso funziona così:

  1. L’utente si collega al sito web dell’home banking e digita username e password come d’abitudine.

  2. Il server reagisce inviando all’utente un codice di verifica via SMS al cellulare dell’utente (un cellulare preventivamente verificato ed autorizzato a questo compito).

  3. L’utente legge l’SMS e digita il codice di verifica sulla tastiera. Il login viene completato e l’utente può accedere al suo conto corrente online.

In questo modo, per poter accedere ai dati dell’utente è necessario accedere a due canali (Internet e rete GSM) e la password che si riuscirebbe a catturare, in ogni caso, sarebbe comunque valida solo per quella sessione.

La stessa tecnica può essere usata per autorizzare operazioni critiche, come i bonifici.

Tuttavia, questa tecnica non è robusta come sembra: chi ha accesso alla tastiera ed al display, grazie ad un worm o ad un key logger, ha accesso anche ai codici di verifica che vengono ricevuti sul telefono e ridigitati sulla tastiera. Per questa ragione, alcuni servizi usano un sistema di verifica out-of-band che si basa completamente sul telefono e su di un “segreto condiviso”:

  1. L’utente si collega al sito web dell’home banking e digita username e password come d’abitudine.

  1. Il server reagisce inviando all’utente un numero di verifica via SMS al cellulare dell’utente.

  2. A questo punto, però, l’utente deve moltiplicare il numero che ha ricevuto per SMS per un altro numero, concordato in precedenza con la banca, e deve inviare il risultato via SMS al server della banca.

  3. La banca effettua la stessa operazione ed abilita l’utente ad accedere al suo conto corrente.

Ovviamente, le operazioni aritmetiche possono essere diverse (somma, divisione, etc.) e possono essere più d’una. In ogni caso, usando questa tecnica si scavalca completamente il PC e la sua connessione di rete, rendendo invulnerabile il sistema ai key logger ed ai worm. Il fatto di condividere un numero segreto tra la banca e l’utente, ed usarlo per verificare l’SMS, permette di capire se è il legittimo proprietario ad impugnare il cellulare o se è un malvivente che lo ha rubato.

Tecniche come questa sono molto complesse da implementare sul lato server. Occorre avere un gateway SMS ed occorre gestire delle operazioni concorrenti su due diversi canali (HTTP e SMS) in modo sincronizzato. Inoltre, l’utente deve essere adeguatamente preparato ad usare un sistema di questo tipo (tra l’altro, deve autorizzare preventivamente uno o più telefoni a ricevere gli SMS di verifica e deve avere cura di portare sempre con sé uno di questi dispositivi). Per queste ragioni, il loro uso è ancora quasi solo sperimentale.

I cellulari come Smart Card

Le Smart Card sono dei dispositivi fantastici per autenticare gli utenti e sarebbero utilissime per proteggere l’accesso ai sistemi di home banking ed a quelli di trading online. Purtroppo, però, costano parecchio (da uno a tre euro al pezzo, per acquisti di almeno qualche decina di migliaia di carte) e sono una rogna da gestire per il personale tecnico della banca (ordini, magazzinaggio, inizializzazione, revoca, denunce di furto e smarrimento, etc.).

In futuro, quasi certamente, sarà possibile usare la propria Carta di Credito (che sarà anch’essa una Smart Card) a questo scopo. Basterà avere sul PC il necessario lettore.

Nel frattempo, però, c’è chi sta studiando la possibilità di usare la SIM contenuta nel telefono cellulare dell’utente a questo scopo. La SIM, infatti, è anch’essa una Smart Card. Oltrettutto si tratta di una Smart Card firmata e garantita dalla Telco che l’ha emessa ed è legata (per legge) in modo univoco al nome dell’utente. Non esiste niente di meglio per i nostri scopi.

Questa tecnica viene sfruttata, ad esempio, da quei sistemi che usano i telefoni Bluetooth per effettuare il login al PC, come BlueProximity per Linux: la SIM del telefono cellulare viene usata (via Bluetooth) come ID Token per verificare l’identità dell’utente. In questo caso, però, la sicurezza dell’intero sistema dipende in modo critico dalla sicurezza del canale tra il dispositivo Bluetooth ed il PC. Per questa ragione, nessuna banca ha ancora tentato di usare questa tecnica sul campo, anche se gli strumenti tecnici sono già disponibili da tempo.

L’uso di un normale cavetto per collegare i due dispositivi renderebbe l’uso di questi sistemi molto più gradito agli utenti più diffidenti.

I cellulari come sorveglianti

In ogni caso, l’uso più semplice e più intelligente del telefono cellulare, in questi contesti, è come spia. Chi ha un conto corrente FINECO, ad esempio, sa bene che riceverà un SMS di notifica per ogni trasferimento di denaro che viene effettuato con il suo Bancomat e la sua carta di credito. In questo modo, è possibile rilevare immediatamente un utilizzo abusivo dei propri titoli di credito e bloccarli prima che i danni siano eccessivi.

Purtroppo, non tutte le banche implementano questo banale sistema di verifica.

Is it safe?

Ma, insomma, alla fine, c’è da fidarsi? Si può usare la carta di credito per effettuare acquisti su Internet?

Si, ci si può fidare.

In realtà, la vostra carta di credito è molto più al sicuro durante una transazione online di quanto lo sia quando la usate per pagare il conto del ristorante.

Ci si può fidare a gestire il proprio conto corrente da casa, via home banking?

Si, ci si può fidare.

Non fatevi imprigionare nel medioevo dalla vostra paura. Informatevi (o fatevi assistere da qualcuno che ne capisce e di cui vi fidate) ed imparate a fare uso di questi strumenti. I rischi ci sono solo se pretendete di usare questi strumenti senza aver studiato la loro tecnologia per quei 10 o 15 minuti che sono necessari.

Potete iniziare da questo sito: http://www.cartedipagamento.com/ .

Alessandro Bottoni

alessandro.bottoni@infirnito.it

Annunci
Comments
6 Responses to “Banche e pagamenti online”
  1. scardax ha detto:

    Gran bell’articolo, soprattutto la parte sul Tempest che, personalmente, non conoscevo.
    Solo una piccola precisazione: oramai le password non sono più memorizzate in /etc/passwd in Unix, ma in /etc/shadow, un file accessibile solo da root e con maggiori misure di sicurezza in termini di algoritmi di crittografia.

  2. Mauro ha detto:

    Ci si può fidare a gestire il proprio conto corrente da casa, via home banking?

    Risposta seria: no.

    Perché?: perché un qualunque lamer che porti a termine un intrusione informatica può fregarvi i dati della carta, senza troppo faticare con codici, modifiche della banda magnetica e manovre degne del famoso Arsenio…

    Inoltre, il motivo per cui in Italia il commercio elettronico è poco diffuso sta nel fatto che la cultura informatica (alfabetizzazione informatica, se preferite) è poco diffusa e questo per merito di una politica gerontocratica che non sa e non vuole sapere cosa sia la rete e come funziona.

    Ora vi chiedere a che titolo parlo: sto facendo una tesi di laurea sull’argomento, vi assicuro che le statistiche parlano chiaro: l’e-commerce è tanto più diffuso tanto è maggiore l’afabetizzazione informatica, indipendentemente dalla situazione economica nazionale.

    saluti :)

  3. scardax ha detto:

    è poco diffusa e questo per merito di una politica gerontocratica

    Del resto basta vedere come tentano di far passare l’inutile Levi-Prodi, ignoranti del fatto che la stragrande maggioranza dei blogs risiede all’estero, e per i rimanenti passarci é questione di pochi secondi! ;)

  4. emilator ha detto:

    @Mauro

    A me pare che la tua posizione (Risposta seria: no.) sia un po’ troppo “facilitona”. Il problema è che un lamer, come lo definisci tu, non è esattamente tale se riesce a portare a termine un'”intrusione” in barba agli attuali sistemi di sicurezza.

    L’analisi fatta dall’autore del post è più che corretta. Prima di dire che “fregare i dati” è facile, bisogna STUDIARE e PROVARCI.

  5. fidelity card ha detto:

    Con questa pubblicazione mi sono fatto un master!

  6. miko bulo ha detto:

    pagamento bolletta acea spa c/c 238006

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger hanno fatto clic su Mi Piace per questo: