Il Blog sta subendo alcuni interventi di manutenzione e aggiornamento, pertanto nei prossimi giorni si potrebbero riscontrare rallentamenti o malfunzionamenti.Ci scusiamo per il disagio.

Sicurezza: la nuova Carta di Identità Elettronica tedesca è facile da violare

Gli hacker (cioè pirati etici) tedeschi del Chaos Computer Club hanno dato una lezione di sicurezza al governo, a proposito dell’imminente introduzione della nuova Carta di Identità Elettronica (CIE). A differenza del documento che circola più o meno clandestinamente in Italia, la nuova CIE tedesca contiene anche una firma digitale da utilizzare nelle transazioni finanziarie on line con la Pubblica Amministrazione. Il documento dovrebbe dunque essere più sicuro di Fort Knox, ma gli hacker del CCC hanno dimostrato pubblicamente, durante una trasmissione televisiva, che è molto facile violarlo e impossessarsi così dell’altrui identità.

La nuova Carta di Identità Elettronica tedesca, in distribuzione da novembre.

Come? Sfruttando i limiti di sicurezza del lettore di carta di identità da collegare al computer tramite la porta USB, il cosiddetto Smart Card Reader. Un pirata cattivo – cioè un cracker – può impadronirsi del PIN della carta di identità sfruttando un banale trojan, codice maligno installato sul computer dell’utente a sua insaputa. Il possessore della Carta di Identità Elettronica digita sulla tastiera del computer il proprio PIN e il codice viene rubato e trasmesso a chi ha messo il cavallo di Troia nel PC.

Gli hacker del Chaos Computer Club hanno indicato proprio nel lettore di Smart Card l’anello debole dell’intero sistema. Non è sufficiente, dunque, che la Carta di Identità Elettronica sia ben realizzata. E’ necessario che anche il suo utilizzo sia ben protetto.

Lettore di Smart Card USB

La Germania ha già speso 24 milioni di euro per acquistare il primo milione di Smart Card Reader da distribuire ai cittadini, ma gli esperti sottolineano che non è stata una buona idea. Ci vorrebbero lettori muniti di tastiera, per aggirare eventuali trojan succhia dati. Oppure si dovrebbero adottare sistemi già usati per l’internet banking, cioè i Security Token che generano PIN dinamici.

Security Tokens adottati per l'Internet Banking

Una brutta gatta da pelare, per le autorità tedesche.

Quanto alla Carta di Identità Elettronica italiana, nessun problema. E’ predisposta per funzionare anche in rete, ma nessuna amministrazione ha ancora deciso cosa farci veramente e quale servizio on line attivare.

C’è qualche parlamentare – ad esempio il senatore Paolo Giaretta, qualche giorno fa – che chiede conto dei ritardi e dei soldi spesi….

Pino Bruno

Scrivo per passione e per dovere, sono direttore di Tom's Hardware Italy, ho fatto il giornalista all'Ansa e alla Rai e scrivo di digital life per Mondadori Informatica e Sperling&Kupfer

Alcune delle mie Pubblicazioni
Stay in Touch

Sono presente anche sui seguenti social networks :

Calendario
Ottobre 2010
L M M G V S D
 123
45678910
11121314151617
18192021222324
25262728293031