PIN-sec: assessment of Personal Identification Numbers security to side – channel attacks
Il progetto di ricerca PIN-sec, nato dalla collaborazione tra GFT Italia con l’Università di Padova, lo SPRITZ Security and Privacy Research Group, il New York Institute of Technology, la Delft University of Technology e la University of California Irvine, sviluppa un toolkit per la verifica della sicurezza dei dispositivi di autenticazione PIN-based su ATM.
PIN-sec mira a verificare la resistenza dei dispositivi di input (PIN-pad) ad attacchi di tipo side-channel, nei quali i criminali recuperano informazioni all’insaputa delle vittime senza che i sistemi vengano manomessi (es. emissioni sonore, tracce termiche, video registrati da telecamere nascoste).
La Automatic Teller Machines Industry Association stima che nel mondo siano presenti più di 300 milioni di sportelli ATM. Solo in Europa nel 2019, sono state effettuate oltre 11 miliardi di operazioni di prelievo e versamento secondo i dati della BCE [1].
Gli ATM sono ormai diventati una parte indispensabile dell’ecosistema bancario self-service ed è essenziale che la sicurezza di questi dispositivi resti elevata.
Per quanto riguarda il processo di autenticazione, il metodo attualmente più diffuso è la cosiddetta 2-Factor Authentcation (2FA), costituita tipicamente dalla verifica di un dispositivo fisico posseduto dall’utente (es. carta di credito) e di un segreto conosciuto solo dall’utente (es. PIN). La combinazione carta e PIN rimane ad oggi il binomio più comune per l’autenticazione negli sportelli ATM.
Perché un 2FA sia trustable, entrambi i fattori autenticativi devono essere sicuri. Mentre dal lato fisico è stato fatto molto negli ultimi anni per mettere in sicurezza le carte, tramite la diffusione dello standard EMV, al contrario, PIN e PIN-pad non hanno subito variazioni significative.
Nuove minacce da attacchi basati sull’AI
PIN-sec si basa su modelli machine learning e di intelligenza artificiale prevedendo una serie di casi d’uso volti a fornire una panoramica a 360° sulle possibili minacce di sicurezza a sistemi di autenticazione PIN-based.
Sebbene i PIN a 5 cifre siano particolarmente resistenti ad attacchi di tipo brute-force, bloccando la carta dopo tre tentativi errati (la possibilità di successo di questo attacco è solo dello 0.03%), è stato dimostrato come il panorama cambi quando il criminale può sfruttare altre informazioni.
Basti pensare che se un attaccante ha accesso a registrazioni video di utenti che digitano il PIN coprendo il tastierino con la mano che non digita, PIN-sec è in grado di ricostruire correttamente oltre il 30% dei PIN a 5 cifre e il 41% dei PIN a 4 cifre entro tre tentativi. Performance ancora più elevate si ottengono se il criminale riesce ad ottenere la traccia sonora dei tasti premuti. In questo scenario PIN-sec può arrivare a ricostruire correttamente oltre il 95% dei PIN a 5 cifre entro 3 tentativi.
Outcomes
PIN-sec è frutto di studi validati dalla comunità scientifica che hanno portato a diverse pubblicazioni in giornali e conferenze top-calss nel panorama della cybersecurity [2,3,4]. E’ inoltre in corso un processo per il deposito di un brevetto congiunto tra GFT Italia e l’Università di Padova.

Ricostruzione del PIN 73633 inserito da un utente che copre il PIN-pad. PIN-sec suggerisce 73632 come il PIN più probabile (probabilità = 21,32%), 73633 come secondo PIN più probabile (probabilità = 20,43%), e 73636 come terzo PIN più probabile (probabilità = 11,96%). L’algoritmo è in grado di predirre il PIN corretto al secondo tentativo.
Reference
[1] ECB Number of cash withdrawals and loading/unloading transaction https://sdw.ecb.europa.eu/reports.do?node=1000001407 [2] Balagani, K., Cardaioli, M., Conti, M., Gasti, P., Georgiev, M., Gurtler, T., … & Wu, L. (2019). Pilot: Password and pin information leakage from obfuscated typing videos. Journal of Computer Security, 27(4), 405-425. [3] Cardaioli, M., Conti, M., Balagani, K., & Gasti, P. (2020, September). Your PIN Sounds Good! Augmentation of PIN Guessing Strategies via Audio Leakage. In European Symposium on Research in Computer Security (pp. 720-735). Springer, Cham. [4] Cardaioli, M., Cecconello, S., Conti, M., Milani, S., Picek, S., & Saraci, E. (2021). Hand Me Your PIN! Inferring ATM PINs of Users Typing with a Covered Hand. In proceedings of the 31st USENIX Security Symposium (UNESIX Security 2022), in press