Tra l'indice e la firma ...

Una vulnerabilità individuata dai ricercatori di FireEye (PDF) nella raccolta dei dati biometrici in alcuni terminali Android, in particolare nel sistema integrato di acquisizione delle impronte digitali negli apparecchi Samsung Galaxy S5 mi fornisce lo spunto per alcune considerazioni.

Considerazioni di carattere generale, senza entrare nel modo (e nel contro-modo) di compromissione deliberata e malevola dei sistemi di acquisizione di dati, per l'appunto, biometrici.

L'impronta digitale ha una sua caratteristica intrinseca di interesse criminalistico, la sua pressoché certa unicità e permamenza nel tempo.

Permanenza significa che l'impronta non cambia con il tempo (non consideriamo interventi di modifica un po' da Spectre, ma che comunque esistono), che l'impronta è per sempre, come i diamanti De Beers. Bene: e se per un qualche motivo l'impronta di un individuo ai fini autenticativi fosse compromessa? Se fossero acquisite malevolmente le matrici di dati sufficienti a bypassare un sistema di autenticazione?

Una password la si può cambiare in caso di compromissione (ma sarebbe meglio prima, molto prima), ma l'impronta digitale? Analogamente nel caso si faccesse affidamento su altre biometrie, come la lettura dell'iride (su cui già esiste più d'un concept attack). Mica posso tagliarlo, il dito; l'occhio della testa, poi, lo vuole la Gestione Separata dell'INPS.

Resta ancora la firma, sempre intesa come biometria; seppure siano concettualmente possibili attacchi (anche relativamente semplici) al sistema, la firma bene o male la si può cambiare, anzi, la sua variabilità, la sua evoluzione nel tempo sono parte fondamentale (anche se di difficilissima modellabilità fisico-matematica) delle caratteristiche utilizzabili a fini identificativi.

Di questi problemi ne ho parlato, rapidamente e partendo da altra prospettiva (la gestione delle eccezioni) a Mesagne 2014. Riporto qui la slide relativa [tratta da  Heidi Harralson  - Larry S. Miller (Eds.) Developments in Handwriting and Signature Identification in the Digital Age - Anderson Publishing (2012)] - George Washington era una necessità, visto che avevo inziato proprio con le firme autenticamente false e falsamente autentiche del presidente Barack H. Obama e proseguito con il pantografo di Thomas Jefferson e le firme di JFK e di Ronald Reagan all'autopen.