Loweel

Clubhouse e la biometria.

Di pubblicato mercoledì, Febbraio 17, 2021

Clubhouse e la biometria.

Amici che si chiedono se clubhouse sia sicuro o meno stanno cercando letteratura in giro, e sinora sono arrivati a capire che si, Clubhouse lascia metadati qui e li’. Questa sembra essere di fatto la loro preoccupazione, ma dimenticano che Clubhouse manda in giro anche dati di un altro tipo. Dati biometrici.

Immaginate che un social network vi chieda di lasciare le vostre impronte digitali per avere un account. Sino a quel momento non c’e’ nulla di male: dopotutto e’ come una firma, o addirittura possiamo immaginare di un social network che vi chieda di lasciare la vostra firma mano (scandita) allo scopo di lasciarvi entrare.

Sareste molto perplessi , immagino: con una firma si possono fare molte cose. Si possono firmare assegni, firmare contratti, si possono verificare carte di credito , eccetera. Quindi, un social che chiedesse immagini ad alta risoluzione della vostra firma non vi piacerebbe affatto. La firma e’ una cosa seria, giusto?

Allora, parliamo di biometria.

La biometria e’ tutto quell’insieme di tecniche o tecnologie che consentono di associare la vostra identita’ ad un qualsiasi tratto unico (almeno statisticamente) del vostro corpo biologico. Per esempio:

  • DNA-PCR
  • Riconoscimento facciale.
  • Impronte digitali.
  • Scansione della retina.
  • Riconoscimento vocale.
  • Firma su carta.

Ora, ci sono alcune considerazioni da fare su questi metodi. E la considerazione che vorrei fare riguarda il Social Engineering, o attacco informatico sul “layer 8”.

Supponete che io chiami al telefono la mia team assistant, chiedendo se per caso mi potrebbe girare per email un certo documento che si trova sulla intranet, nella quale per motivi misteriosi non riesco ad accedere (es: ho solo il cell ma non un laptop con me , e la intranet non onsente accesso dai cellulari).

Allora la mia eroica team assistant (il covid lo ha confermato: e’ eroica) cosa fara’?

  • Mi riconoscera’ usando la voce.
  • Mi mandera’ il file.

Molto bene. Anzi, molto male, perche’ abbiamo appena visto un attacco sul cosiddetto “layer 8”. O meglio: no. La team assistant e’ assolutamente autorizzata a darmi quel file, a patto di potermi riconoscere a voce.

Ecco, il problema e’ questo: sta usando un sistema di riconoscimento vocale.

Avrete capito il punto: che il problema viene quando qualcuno puo’ imitare la mia voce. Andiamo per gradi, e facciamo una statistica di pericolosita’. Chiediamoci quanto danno possa fare chi e’ in grado di contraffare la vostra identita’.

  • Firma su carta. (la piu’ pericolosa perche’ e’ accettata per i contratti di ogni tipo).
  • Riconoscimento vocale. (esistono i contratti telefonici, anche se per poche cose).
  • Riconoscimento facciale.(il guardiano di uno stabile vi riconosce dal viso).
  • Impronte digitali. (qui entriamo nel campo del criminologico)
  • DNA-PCR . (sempre nel caso del criminologico)
  • Scansione della retina. (non conosco molte applicazioni commerciali che usino la retina come ID)

Se ci basiamo su questo, e’ chiaro che un attacco sul “layer 8” sia molto piu’ pericoloso se emula la vostra firma, e al secondo posto metterei il riconoscimento vocale perche’ copre tutto quello che potete fare con una telefonata nella quale venite riconosciuti. Il riconoscimento facciale e’ anch’esso pericoloso, ma richiede la presenza fisica, quindi richiede di imitare il corpo intero. E’ vero che una videochiamata puo’ limitarsi al volto, ma in una videochiamata dovrete anche imitare la voce.

Chiaramente la maniera piu’ esplosiva e’ la firma, ma di solito la firma si mette in presenza, e quindi richiederebbe di imitare anche il volto e la voce, e spesso il corpo intero.

il riconoscimento vocale e’ un punto debole tremendo nel mondo degli attacchi sul layer 8. La voce e’, anche se non ci pensiamo tanto, lo strumento piu’ usato di riconoscimento a distanza.

Gli attacchi informatici sul “layer 8” indica quegli attacchi a sistemi informatici che non sono basati sul fatto di usare la rete (layer da 1 a 7) ma di accedere ai sistemi assalendo le persone che li amministrano.

Ed e’ un problema, si.

Guardate questi video:

Questi sono due esempi di “attacco sul layer 8”, e il primo e’ notevole perche’ non e’ informatico quasi per nulla: mettere un bambino che piange in sottofondo e’ servito ad aumentare il senso di empatia e la pressione sull’operatrice telefonica.

E il problema cresce:

Adesso, credo, avete tutti i pezzi per capire una cosa: che dare in giro la propria voce oggi e’ pericoloso. Darla a sconosciuti e’ pericoloso: unendo dei dati che possono dedurre da voi , dati che trovano su internet e altro, possono chiamare portinai di aziende “posso mandare mia moglie a ritirare il pacco arrivato per me?” , e tutto quanto riesce.

Adesso torniamo indietro: quanto e’ facile imitare una voce quando la si e’ sentita?

Avrete sentito parlare di tecniche come deepfake, ma esse agiscono sulle immagini. Esistono anche deepfake sulla voce?
Si, ci sono

E come sentite, sono anche piu’ efficaci. Ma specialmente, si possono fare in tempo reale perche’ la quantita’ di informazione del suono e’ molto inferiore a quella di un video.

E questi sistemi sono gia’ in circolazione:

per questo motivo guardo a ClubHouse come ad un sistema molto pericoloso. Esso mette insieme due cose pericolosissime:

  • la possibilita’ di sentire cose pronunciate da me.
  • la possibilita’ di estrarre dati sulla mia persona durante un dialogo.

Per esempio, anche un podcast potrebbe essere usato allo scopo: ma nel podcast nessuno dice a quale banca si appoggia, o chi sia il suo medico di base (attaccarlo per estrarre informazioni ), o dove lavori di preciso (onde chiamare la portineria a suo nome), o quale compagnia telefonica uso, il mio numero di casa, eccetera.

Invece, in un ambiente altamente interattivo, e’ possibile chiedere tutte queste informazioni. E quindi si fornisce tutto quello che serve ad un attacco sul layer 8.

Queste informazioni SONO pericolose, perche’ appunto il riconoscimento vocale tramite un telefono e’ il sistema di riconoscimento da remoto piu’ utilizzato. Puo’ essere usato per costruire (o distruggere) alibi, e molto altro.

Quindi, non date la vostra voce a sconosciuti.

Mai. La quantita’ di truffe possibili e’ inimmaginabile.

rischiate di far crescere le truffe telefoniche a livello mostruoso.

E’ vero che anche su Whatsapp date la vostra voce, ma la date normalmente a persone che conoscete. Su un sistema che praticamente e’ pubblico, cambia tutto. Quando uno sconosciuto ha la vostra voce, siete nella merda.

Basta che vi abbia chiesto: ah, sei di Düsseldorf, io sto cercando una buona banca per aprire un conto, quali mi consigli? Ci vuole poco a dire che , anche se magari darete due o tre nomi, uno di questi sara’ la vostra banca. E il tipo ha la vostra voce. Da domani puo’ chiamare la vostra banca con la vostra voce.

Quindi NO, NO, NO: non si da’ la propria voce agli sconosciuti, tantomeno su un social.

0
Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *