DIFESI DA UNO «SPRITZ»

Gli anti hacker di Mauro Conti: «Così rubano il pin dalle impronte. Anche senza telecamera»

Serenella Bettin

Chiamateli geni del sistema informatico. Quasi geni del crimine. Chiamateli come volete, sono quelli che ci salvano dagli attacchi informatici. Dai pirati. Dai terroristi. Dai criminali. Passano ore e ore a fare ricerca. Notte e giorno. Giorno e notte. Immaginano l'attacco, lo mettono a punto, lo sperimentano e poi studiano l'antidoto per disegnare un mondo migliore. Lui è Mauro Conti, 41 anni, professore ordinario di Sicurezza informatica all'Università degli Studi di Padova, a 39 anni era nella lista dei venti professori ordinari più giovani d'Italia, nonché professore associato all'Università di Washington, collabora con gli istituti universitari di tutto il mondo e nella città patavina, ha fondato un gruppo di ricerca. Si chiama Spritz. Security and Privacy Research Group. Un nome che a Padova non è nuovo. Voleva qualcosa che contraddistinguesse la città e che unisse le parole Security and privacy. Ne è nato Spritz dove le ultime due consonanti stanno per throught the zeal attraverso lo zelo.

L'ultima domanda, delle trecentocinquanta milioni di domande che ogni giorno rimbalzano nei loro cervelli, è: «È possibile rubare il pin dei bancomat senza usare la telecamera?». Sì è possibile. Molti fuorilegge usano la telecamerina. La posizionano sopra al dispositivo dove si prelevano i soldi ed è fatta. Ma loro hanno fatto di più. Hanno realizzato l'ipotesi in cui qualcuno si metta dietro alla persona che preleva e senza telecamera rubi il codice. Come? Facciamo un esempio. «Io sto dietro a una persona che preleva spiega Conti al Giornale - non installo nessuna telecamera, ma faccio un video col telefonino. Non riesco a riprendere la tastiera, ma riprendo lo schermo. Ottengo le immagini della digitazione, gli asterischi e l'audio dei tasti. Da queste informazioni noi possiamo ricostruire la distanza temporale tra un tasto e l'altro. Se uno ha dei tasti più vicini andrà più veloce, se uno li ha lontani, ci metterà di più». E poi? «Poi abbiamo creato una macchina software e dei sistemi di digitazione». Un mostro che mangia e mastica codici e ti dice che codice è. «Questa macchina ha imparato, abbiamo immagazzinato il software di dati, codici e pin e gli abbiamo detto: ora prova a vedere se becchi il pin». E infatti. Beccato.

Hanno provato loro. Con un esperimento. E con un bancomat che hanno in ufficio. Perché loro sono quelli che in base a come digiti i tasti sulla tastiera e in base a quanto tempo ci metti, registrando il suono, sono in grado di dirti cos'hai digitato. Come? Provare per credere. «Il rumore dei tasti per noi umani è indistinguibile - spiega Conti - noi riusciamo a distinguere una barra spaziatrice da altri tasti, ma applicando tecniche di machine learning, cioè dando al computer dati da imparare e immagazzinare, per esempio collezionando centinaia di pressioni del tasto A e centinania di pressioni del tasto B, gli abbiamo insegnato a riconoscere i dati di una tastiera, Tutti questi campionamenti li abbiamo dati in pasto al computer. La macchina ha imparato ed è in grado di dire che parola hai digitato». Ma non solo. Il gruppo di ricerca coordinato da Conti, che parla di computer come fossero umani, usa anche le telecamere termiche. Quasi un Ris dell'informatica. «Se tu tocchi una cosa con le dita e ci metti la telecamera, la parte che tu hai toccato la vedi più calda, io potrei stare dietro di te, prelevare e usare la telecamera termica per vedere quali tasti hai usato. Un terzo dei pin comunemente assegnati dalle banche li indoviniamo in tre tentativi». Noi del Giornale ci abbiamo provato. Pin beccato. Ma perché tutto questo? «Se un sistema informatico ha una vulnerabilità è responsabilità nostra dirlo spiega Conti attacchi di questo tipo accadono. Fare ricerca sulla sicurezza informatica, significa disegnare un futuro più sicuro. In italiano per la sicurezza dei dati e per quella fisica si usa lo stesso termine, nel mondo anglosassone si usano security e safety, ma sono terribilmente correlati. Pensiamo a un aereo. Comprometterne il sistema informatico, causerebbe una strage».