RFID, autenticazione crackata

Due ricercatori tedeschi individuano e studiano un exploit di una diffusissima scheda RFID per l'autenticazione a distanza. Quelle schede sono in dismissione e i rischi sono pochi, ribatte la società produttrice

Roma – Lo studio di David Oswald e Christof Paar prende di mira le schede Mifare “DESfire” MF3ICD40, “smart card” dotate di chip RFID e cifratura basata su protocollo DES. I due ricercatori tedeschi hanno individuato un exploit all’interno delle smart card, potenzialmente sfruttabile per ottenere la chiave che protegge le comunicazioni tra scheda e postazione di accesso/autenticazione.

Oswald e Paar hanno presentato il loro lavoro in occasione del Workshop on Cryptographic Hardware and Embedded Systems tenutosi recentemente in Giappone: le smart card Mifare prodotte da NXP (sussidiaria di Philips Electronics) sono vulnerabili ad attacchi di tipo “side channel”, e un malintenzionato con sufficiente determinazione può facilmente recuperare la chiave individuale archiviata direttamente all’interno del chip RFID.

L’occorrente per la messa in atto dell’attacco comprende il possesso della scheda da “crackare”, un lettore RFID e una sonda radio, un setup che ha permesso ai ricercatori teutonici di recuperare l’intera “chiave” segreta a 112-bit presente sulla scheda usata nei test. Il problema è di quelli potenzialmente molto gravi , visto che di schede di autenticazione DESfire ne esistono oltre 3 miliardi e sono usate da organizzazioni in cui la sicurezza è fondamentale come NASA e Dipartimento degli Interni (DoI) USA.

A gettare acqua sul fuoco è (prevedibilmente) la società produttrice NXP, che sottolinea come le smart card affette dal problema non saranno più in vendita a partire dall’inizio del 2012. Gli utenti sono invitati a fare uso delle più sicure schede DESFire EV1 (basate su protocollo AES), dice NXP, mentre i rischi concreti che l’exploit individuato dai ricercatori teutonici venga sfruttato da malintenzionati è basso: per recuperare la chiave crittografica occorrono diverse ore di lavoro in laboratorio e apparecchiature specifiche, sostiene la società, e in caso di furto di una smart card è sempre possibile bloccare il funzionamento del singolo chip RFID.

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • bubba scrive:
    divertente
    nell'articolo ci sono 2-3 notizie, relative a come samsung sia costretta a uscire dalla melma inventata da Apple e di come apple stia rinvigorendo la guerra. POI c'e' una notizia di gossip da parrucchiera sulle file al negozio. Indovinare gli appletroll cosa commentano? gh.
  • bertuccia scrive:
    hahahahahahahahahahahaha
    <i
    "Samsung Galaxy SII a due dollari per i primi dieci della fila davanti ai suoi negozi, ogni giorno per una settimana. Si sarebbe addirittura spinta fino a chiedere ai suoi commerciali di avvicinare gli acquirenti in fila per l'esordio del nuovo melafonino cercando di convincerli a cambiar coda." </i
    (rotfl)
    • cippalippa scrive:
      Re: hahahahahahahahahahahaha
      in Italia questo porterebbe a omicidi. al 100%.
      • Michele ENERGIA scrive:
        Re: hahahahahahahahahahahaha
        - Scritto da: cippalippa
        in Italia questo porterebbe a omicidi. al 100%.In Italia non si fanno le file :-)
    • Ego scrive:
      Re: hahahahahahahahahahahaha
      sono d'accordissimo con te, samsung non ha capito proprio nulla dei clienti apple, come chiedere ad un vescovo di diventare ateo, uno non cambia fede da un giorno all'altro
    • TheOriginalFanboy scrive:
      Re: hahahahahahahahahahahaha
      - Scritto da: bertuccia
      <i
      "Samsung Galaxy SII a due dollari per
      i primi dieci della fila davanti ai suoi negozi,
      ogni giorno per una settimana. Si sarebbe
      addirittura spinta fino a chiedere ai suoi
      commerciali di avvicinare gli acquirenti in fila
      per l'esordio del nuovo melafonino cercando di
      convincerli a cambiar coda." </i



      (rotfl)SONO ALLA FRUTTA!patetici.. possono solo fare la gara dei clock delle cpu per spingere i propri prodotti (nel cestino..) e per di più solo tra di loro! rubandosi a vicenda lo share del mercato.se provi l'iphone non lo lasci più. apple avrà sempre 'quella' fetta e 'quella' tipologia di utenti.(apple)
      • A s d f scrive:
        Re: hahahahahahahahahahahaha
        Non sono d'accordo.Sono stato un soddisfatto utente iPhone (3gs) per un annetto.L'ho acquistato ricondizionato a 200 (il suo valore) e utilizzato in tutte le sue funzionalità. Ho acquistato musica e applicazioni, l'ho sfruttato per allenarmi e per trovare luoghi.Poi l'ho venduto e ho acquistato un nokia da 100 euro che telefona e manda messaggini (e basta).Riconosco che iPhone sia uno strumento eccezionale.Riconosco che una persona può accorgersi di non averne bisogno e desiderare di passare ad altro.Non è vero che "once you pop you cant stop", non sono le pringles.
        • TheOriginalFanboy scrive:
          Re: hahahahahahahahahahahaha
          - Scritto da: A s d f
          Non sono d'accordo.
          Sono stato un soddisfatto utente iPhone (3gs) per
          un
          annetto.
          L'ho acquistato ricondizionato a 200 (il suo
          valore) e utilizzato in tutte le sue
          funzionalità. Ho acquistato musica e
          applicazioni, l'ho sfruttato per allenarmi e per
          trovare
          luoghi.

          Poi l'ho venduto e ho acquistato un nokia da 100
          euro che telefona e manda messaggini (e
          basta).

          Riconosco che iPhone sia uno strumento
          eccezionale.
          Riconosco che una persona può accorgersi di non
          averne bisogno e desiderare di passare ad
          altro.

          Non è vero che "once you pop you cant stop", non
          sono le
          pringles.b'è avrai esigenze più basilari di altri.quando avevi l'iphone potevi fare più cose, che poi per scelta tua condivisibilissima, hai ritenuto superflue, e quindi hai fatto uno step indietro.le eccezioni ci sono sempre. anche chi passa da iphone ad android, ma anche il contrario
Chiudi i commenti