Ecco come ti sniffo l'RFID

Un informatico ha sperimentato l'inaffidabilità dei nuovi documenti elettronici, costruendo un lettore annusa codici con componenti presi da Ebay. Ma le istituzioni non mollano, anzi rilanciano
Un informatico ha sperimentato l'inaffidabilità dei nuovi documenti elettronici, costruendo un lettore annusa codici con componenti presi da Ebay. Ma le istituzioni non mollano, anzi rilanciano

Mentre in tutto il web si discute in maniera accesa circa le numerose proposte tese all’ ammodernamento dei classici documenti personali volti ad identificare un individuo, un informatico statunitense dimostra come, con pochi dollari, sia possibile clonare i nuovi documenti elettronici. Sotto accusa, ancora una volta, i canterini chip RFID , ritenuti da molti poco affidabili a discapito della privacy.

Sono bastati circa 250 dollari spesi su Ebay a Chris Paget per costruire un dispositivo da integrare al suo laptop, trasformato per l’occasione in un vero e proprio sistema sniffa dati. Dopo aver acquistato gli oggetti sul popolare sito di aste online, nella fattispecie un Symbol XR400 RFID reader e un’antenna da montare sulla sua autovettura, entrambi prodotti da Motorola, Paget ha creato nei ritagli di tempo del suo lavoro l’interfaccia software utile a far funzionare il tutto. I risultati parlano chiaro: in appena 20 minuti spesi circolando sulle strade di San Francisco, il sistema è riuscito a clonare i tag dei chip RFID di due passaporti.

Il tutto all’insaputa degli ignari, legittimi, possessori del documento: il sistema effettua una scansione che si estende fino a 10 metri, permettendo così all’eventuale spoofer di agire ad una distanza che non desti sospetti. Il suo funzionamento pare essere abbastanza semplice: l’applicazione installata sul laptop ordina al lettore di RFID di cercare in maniera incessante i segnali radio provenienti dai vari chip. Una volta agganciato uno di essi, il software scarica sul computer i dati associati: a questo punto clonare il documento non è più un’impresa impossibile, nonostante nei vari tag presenti non siano previste informazioni personali di alcun tipo se non il codice identificativo.

La motivazione che si cela dietro questa piccola e semplice dimostrazione, secondo Paget, è quella di mostrare l’inadeguatezza di questa tecnologia, nonché i vari rischi cui si andrà in conto se i parametri di sicurezza non verranno rafforzati: “Un fatto è affermare che una cosa è fattibile, un’altra è vederla realizzata – dichiara – Il mio intento è quello di eliminare le argomentazioni di chi sostiene che una cosa del genere non è possibile da realizzare nel mondo reale, o che non vi siano possibilità di attacchi, se non in maniera ipotetica”. Secondo Paget, se finisse nelle mani sbagliate una tecnologia simile sarebbe molto utile per tracciare i movimenti di una persona. Anche i ladri di identità se ne gioverebbero, così come i vari stalker.

Di diverso avviso, però, sembrano essere le istituzioni statunitensi, del tutto propense al passaggio di consegne tra il cartaceo e il digitale: un chiaro esempio è rappresentato dalla recente promozione della EDL , la Enhanced Driving Licence , il cui prezzo è stato abbassato per promuoverne la diffusione negli stati di Washington e New York. Sulla vicenda da tempo imperversano le critiche delle associazioni dei diritti civili, ma non solo: anche un’associazione di esponenti dell’industria dei trasporti ha espresso il suo disappunto, chiedendo al Governo di sospendere la diffusione dei nuovi dispositivi, almeno sino a quando non ne saranno stati valutati i rischi più concreti.

Il Customs and Border Protection Department statunitense getta acqua sul fuoco: “L’utilizzo dei dispositivi RFID permette agli agenti della dogana di effettuare il proprio lavoro in maniera più rapida, aumentando anche il livello di sicurezza complessiva” spiega la portavoce Kelly Ivahnenko. “Inoltre ogni documento è accompagnato da una speciale custodia che previene il diffondersi dei dati che, anche se fossero in qualche modo rubati, servirebbero a ben poco”. Inoltre la privacy sarebbe al sicuro, questo è il parere dell’ente: “Dal nostro punto di vista il problema della violazione della privacy è stato male interpretato o addirittura ingigantito. Ogni volta che si usa una nuova tecnologia in un modo diverso, si presentano sempre modi di utilizzare le informazioni in maniera nefasta. Tutto quello che noi vogliamo – continua – è che i cittadini siano consapevoli della nuova tecnologia e del suo funzionamento, in maniera da poterne usufruire in tutta tranquillità”.

Vincenzo Gentile

Link copiato negli appunti

Ti potrebbe interessare

02 02 2009
Link copiato negli appunti