Gli hacker (cioè pirati etici) tedeschi del Chaos Computer Club hanno dato una lezione di sicurezza al governo, a proposito dell’imminente introduzione della nuova Carta di Identità Elettronica (CIE). A differenza del documento che circola più o meno clandestinamente in Italia, la nuova CIE tedesca contiene anche una firma digitale da utilizzare nelle transazioni finanziarie on line con la Pubblica Amministrazione. Il documento dovrebbe dunque essere più sicuro di Fort Knox, ma gli hacker del CCC hanno dimostrato pubblicamente, durante una trasmissione televisiva, che è molto facile violarlo e impossessarsi così dell’altrui identità.
La nuova Carta di Identità Elettronica tedesca, in distribuzione da novembre.
Come? Sfruttando i limiti di sicurezza del lettore di carta di identità da collegare al computer tramite la porta USB, il cosiddetto Smart Card Reader. Un pirata cattivo – cioè un cracker – può impadronirsi del PIN della carta di identità sfruttando un banale trojan, codice maligno installato sul computer dell’utente a sua insaputa. Il possessore della Carta di Identità Elettronica digita sulla tastiera del computer il proprio PIN e il codice viene rubato e trasmesso a chi ha messo il cavallo di Troia nel PC.
Gli hacker del Chaos Computer Club hanno indicato proprio nel lettore di Smart Card l’anello debole dell’intero sistema. Non è sufficiente, dunque, che la Carta di Identità Elettronica sia ben realizzata. E’ necessario che anche il suo utilizzo sia ben protetto.
Lettore di Smart Card USB
La Germania ha già speso 24 milioni di euro per acquistare il primo milione di Smart Card Reader da distribuire ai cittadini, ma gli esperti sottolineano che non è stata una buona idea. Ci vorrebbero lettori muniti di tastiera, per aggirare eventuali trojan succhia dati. Oppure si dovrebbero adottare sistemi già usati per l’internet banking, cioè i Security Token che generano PIN dinamici.
Security Tokens adottati per l'Internet Banking
Una brutta gatta da pelare, per le autorità tedesche.
Quanto alla Carta di Identità Elettronica italiana, nessun problema. E’ predisposta per funzionare anche in rete, ma nessuna amministrazione ha ancora deciso cosa farci veramente e quale servizio on line attivare.
C’è qualche parlamentare – ad esempio il senatore Paolo Giaretta, qualche giorno fa – che chiede conto dei ritardi e dei soldi spesi….