Il network Clubhouse e la biometria (non concedete la vostra voce agli sconosciuti, soprattutto sui social)

Keinpfush

Alcuni amici stanno chiedendosi se Clubhouse sia o meno sicuro e sinora sono arrivati a capire che sì, Clubhouse lascia metadati in giro, qua e là.

Questa, di fatto, sembra essere la loro sola preoccupazione ma dimenticano che Clubhouse manda in giro anche dati di un altro tipo. I dati biometrici.

Immaginate che un social network vi chieda di lasciare le vostre impronte digitali per avere un account.

Fino a quel momento non c’é nulla di male: dopotutto è come una firma.

O immaginate un social network che vi chieda addirittura di lasciare la vostra firma a mano (scandita) allo scopo di lasciarvi entrare.

Sareste molto perplessi, immagino: con una firma si possono fare molte cose.

Si possono firmare assegni, contratti, verificare carte di credito, eccetera.

Quindi, un social che chiedesse immagini ad alta risoluzione della vostra firma non vi piacerebbe affatto. La firma e’ una cosa seria, giusto?

Allora, parliamo di biometria.

La biometria e’ tutto quell’insieme di tecniche o tecnologie che consentono di associare la vostra identità ad un qualsiasi tratto unico (almeno statisticamente) del vostro corpo biologico. Ad esempio:

  • DNA-PCR
  • Riconoscimento facciale.
  • Impronte digitali.
  • Scansione della retina.
  • Riconoscimento vocale.
  • Firma su carta.

Ora, ci sono alcune considerazioni da fare su questi metodi, in particolare il Social Engineering, o attacco informatico sul “layer 8”.

Supponete che io chiami al telefono la mia team assistant, chiedendole di girarmi via e-mail un certo documento che si trova sull’Intranet in cui per un qualche motivo non riesco ad accedere (es: ho solo il cell ma non ho con me un laptop e Intranet non consente l’accesso dai cellulari).

Allora la mia eroica team assistant (il covid lo ha confermato: è eroica) cosa fara’?

  • Mi riconoscerà usando la voce.
  • Mi manderà il file.

Molto bene. Anzi, molto male … perche’ abbiamo appena visto un attacco sul cosiddetto “layer 8”.

O meglio: no. La team assistant e’ assolutamente autorizzata a darmi quel file, a patto di potermi riconoscere dalla voce.

Ecco, il problema è questo: sta usando un sistema di riconoscimento vocale.

Avrete capito il punto: il problema viene quando qualcuno può imitare la mia voce.

Andiamo per gradi e facciamo una statistica di pericolosità. Chiediamoci quanto danno possa fare chi e’ in grado di contraffare la vostra identità.

  • Firma su carta (la piu’ pericolosa perche’ e’ accettata per i contratti di ogni tipo).
  • Riconoscimento vocale (esistono i contratti telefonici, anche se per poche cose).
  • Riconoscimento facciale (il guardiano di uno stabile vi riconosce dal viso).
  • Impronte digitali (qui entriamo nel campo della criminologia)
  • DNA-PCR (siamo sempre nel caso della criminologia)
  • Scansione della retina (non conosco molte applicazioni commerciali che usino la retina come ID).

Se ci basiamo su questo, è chiaro che un attacco sul “layer 8” sia molto più pericoloso se emula la vostra firma e, al secondo posto, metterei il riconoscimento vocale perché copre tutto quello che potete fare con una telefonata.

Il riconoscimento facciale è anch’esso pericoloso ma richiede la presenza fisica, quindi richiede di imitare il corpo intero.

E’ vero che una videochiamata può limitarsi al volto, ma in una videochiamata dovrete anche imitare la voce.

Chiaramente la maniera più esplosiva è la firma ma, di solito, la firma si mette in presenza e quindi richiederebbe di imitare anche il volto e la voce e, spesso, il corpo intero.

Il riconoscimento vocale è un punto debole tremendo nel mondo degli attacchi sul “layer 8”. La voce è lo strumento più usato di riconoscimento a distanza, anche se non ci pensiamo tanto.

Gli attacchi informatici sul “layer 8” indica quegli attacchi a sistemi informatici che non sono basati sul fatto di usare la rete (layer da 1 a 7), ma di accedere ai sistemi assalendo le persone che li amministrano.

Ed è un grosso problema. Guardate questi video:

Questi sono due esempi di “attacco sul layer 8”.

Il primo e’ notevole perche’ non e’ informatico quasi per nulla: mettere un bambino che piange in sottofondo e’ servito ad aumentare il senso di empatia e la pressione sull’operatrice telefonica.

E il problema cresce:

Adesso, credo, avete tutti i pezzi per capire una cosa: che concedere la propria voce oggi e’ pericoloso.

Concederla a sconosciuti e’ pericoloso: unendo altri vostri dati che possono essere facilmente dedotti, visto che si trovano su Internet, possono chiamare portinai di aziende — “posso mandare mia moglie a ritirare il pacco arrivato per me?” — e il gioco riesce.

Adesso torniamo indietro: quant’è facile imitare una voce quando la si è sentita?

Avrete sentito parlare di tecniche come deepfake, ma esse agiscono sulle immagini. Esistono anche deepfake sulla voce? Si, ci sono

E, come sentirete, sono anche più efficaci.

Ma, specialmente, si possono fare in tempo reale perché la quantità d’informazioni del suono é molto inferiore a quella di un video.

E questi sistemi sono gia’ in circolazione:

Per questo motivo guardo a ClubHouse come a un sistema molto pericoloso. Esso mette insieme due cose pericolosissime:

  • la possibilità di sentire cose pronunciate da me stesso.
  • la possibilità di estrarre dati sulla mia persona durante un dialogo.

Ad esempio, anche un podcast potrebbe essere usato allo scopo: ma nel podcast nessuno dice a quale banca si appoggia, o chi sia il suo medico di base (attaccarlo per estrarre informazioni ), o dove lavori di preciso (onde chiamare la portineria a suo nome), o quale compagnia telefonica uso, il mio numero di casa, eccetera.

Invece, in un ambiente altamente interattivo, é possibile chiedere tutte queste informazioni. E quindi si fornisce tutto quello che serve ad un attacco sul “layer 8”.

Queste informazioni SONO pericolose, perché il riconoscimento vocale tramite un telefono é il sistema di riconoscimento da remoto più utilizzato.

Può essere usato per costruire (o distruggere) alibi e molto altro.

Quindi, non concedete la vostra voce a sconosciuti. Mai. La quantità di truffe possibili è inimmaginabile.

Rischiate di far crescere le truffe telefoniche a livello mostruoso.

E’ vero che anche su Whatsapp concedete la vostra voce, ma la fate normalmente a persone che conoscete.

Su un sistema che praticamente è pubblico, cambia tutto.

Quando uno sconosciuto ha la vostra voce, siete nella merda. Avete idea di cosa possono fare se vi registrano mentre dite “Si’, lo accetto”?

Basta che qualcuno vi abbia chiesto: “ah, sei di Düsseldorf, io sto cercando una buona Banca per aprire un conto, quale mi consigli?”

Ci vuole poco a dire che, anche se magari darete due o tre nomi, uno di questi sarà la vostra banca. E il tipo ha la vostra voce. Da domani può chiamare la vostra banca con la vostra voce.

Quindi NO, NO, NO: non si concede la propria voce agli sconosciuti, tantomeno su un social.

*****

Link Originale: https://keinpfusch.net/loweel/

Scelto e pubblicato da Franco