RSA smonta gli RFID: pericolosi

Un gruppo di ricercatori dimostra, test alla mano, che certi impieghi degli RFID potrebbero rivelarsi un disastro per gli utenti. Tra RFID nel braccio e tag nelle banconote c'è di che stare in guardia


Roma – Poche tecnologie promettenti ed interessanti come i radiochip RFID hanno riscosso un così grande interesse e così forti timori per la privacy degli utenti . Ora gli RFID sono di nuovo nel mirino, dopoché un autorevole team di scienziati sembra aver dimostrato la poca sicurezza di alcune importanti applicazioni.

Ricercatori di RSA Security e della Johns Hopkins University hanno infatti impiegato un piccolo apparecchio per “aggredire” RFID contenuti in dispositivi di pagamento automatici . In questo caso si parla di strumenti pensati per agevolare gli utenti di pompe di benzina.

Ai ricercatori ci sono voluti meno di 15 minuti per riuscire a craccare uno dei sistemi più diffusi al mondo in questo settore, il Registration and Identification System di Texas Instruments , uno dei principali produttori RFID che, tra l’altro, offre alcuni degli RFID più sicuri disponibili sul mercato. Stando a quanto dichiarato dai ricercatori ( qui lo studio ), agendo via wireless da una distanza minima, sono riusciti a ottenere dal tag inserito nella card di pagamento le informazioni che legano quella card al proprietario. In questo modo è stato possibile realizzare un altro tag con cui far credere al sistema che a pagare sia stata la “vittima” .

Questo attacco, che implica un cracking “attivo”, può anche essere portato in modo “passivo”. Trovandosi ad una distanza non troppo remota da dove avviene la comunicazione tra radiochip e sistema di rilevazione è stato infatti possibile intercettare quei dati , che possono poi essere utilizzati per craccare il tag contenuto in un dispositivo di pagamento.

Ben lungi dal voler dissuadere all’uso dei chip, che come ben sanno i lettori di Punto Informatico hanno molte importanti applicazioni in tanti diversi settori , gli scienziati hanno in effetti soltanto sperimentato cose di cui da tempo si parla nell’ambiente. E non è certo la prima volta che qualcuno cracca RFID . Ma le conseguenze di maggiori e approfondite analisi sulla sicurezza di questi sistemi potrebbero rivelarsi davvero importanti vista la loro attuale diffusione. Arj Juels , uno dei ricercatori RSA che hanno lavorato sul progetto, ha spiegato che lo scopo della ricerca è “svelare questo genere di debolezze nei sistemi RFID prima che si diffondano e diventino quindi un problema di prima grandezza”.

In particolare, hanno sottolineato gli scienziati, ci sono applicazioni assai specifiche, come i tag infilati nelle chiavi delle automobili come supporto all’antifurto, che richiedono una più approfondita analisi delle potenziali implicazioni dell’uso degli RFID. Secondo Avi Rubin , del team universitario, il problema centrale non sono gli RFID in sé quanto il fatto che vengano utilizzati sistemi di cifratura carenti. “Questo – ha spiegato Rubin – porta indietro di dieci anni la sicurezza dei veicoli. Un aggressore che violi la chiave segreta di un tag RFID può poi bypassare le procedure di sicurezza e ingannare i lettori sia nelle automobili che presso i distributori”.

Juels ha spiegato che soltanto il sistema di Texas è diffuso in almeno 150 milioni di chiavi di automobili nel mondo realizzate dai maggiori costruttori. E sono infilati anche in almeno 6 milioni di dispositivi di pagamento veloce per i distributori. Ed è per questo che TI è stata immediatamente avvertita del problema. Secondo Jules, TI sta procedendo sulla strada giusta, implementando cioè sistemi di cifratura, che risultano però ancora poco efficaci . “Nelle automobili così come nel commercio, RFID sta diventando una chiave di volta della sicurezza nella vita di tutti i giorni. È importante che i dispositivi RFID offrano un livello di sicurezza adeguato al valore di ciò che sono chiamati a proteggere”.

Sebbene gli scienziati abbiano analizzato soltanto i sistemi di pagamento nel settore automobilistico, i chip RFID come noto sono sempre più spinti verso altri settori, compresa la gestione di dati sanitari , informazioni sensibili che vanno naturalmente tutelate. Moltissime poi le applicazioni industriali, come quelle annunciate in questi giorni da alcune importanti case farmaceutiche. “Vogliamo affermare – ha spiegato Jules – che ciò che serve ora sono standard di sicurezza per gli RFID, visto che entrano nei passaporti e nei dispositivi dell’elettronica di consumo”. Una prima idea, citata dagli scienziati, potrebbe essere quella di realizzare supporti per i tag che possano essere mascherati con protezioni isolanti in modo tale da rendere impossibile l’attacco, quantomeno quando il tag non viene utilizzato.

A proposito di RFID, continua a far rumore l’orientamento espresso dalla Banca Centrale Europea di inserire i chippetti nelle banconote dell’euro. Sebbene ci sia chi sostiene che gli RFID già si trovino nelle banconote , le prime analisi effettuate da Punto Informatico su alcune di esse non hanno rilevato chip di sorta. Il metodo consigliato per i test delle banconote è infilarle in un microonde a massima potenza per qualche secondo… A rischio e pericolo delle banconote, naturalmente. L’indagine continua.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Anonimo scrive:
    Re: chissà chi
    Mi trovo anch'io nella tua stessa identica situazione.Fammi sapere cosa intendi fare.Ciao,Eugenio
  • Anonimo scrive:
    Re: chissà chi
    salve, sto cercando altri utenti di planet rimasti fregati dalla chiusura del servizio. Io consultavo la posta dall'ufficio via planetmail e la scaricavo una volta ogni tanto,. ho perso due mesi di email tra cui alcune davvero importanti. Vi chiedo, ma hano almeno avvertito che potevano esserci problemi nel servizio? Io sto meditando di rivolgermi ad un legale. Saluti, Filippo
  • Anonimo scrive:
    Re: chissà chi
    daoc.it docet :(
  • Anonimo scrive:
    Re: chissà chi

    chissà se è così anche
    qui ... BOH!!!!Piu' semplciemente, Planet era una societa' del gruppo CTO, che e' fallito :-(
  • Anonimo scrive:
    chissà chi
    mi viene in mente quel che faceva il mio vecchio capo...forse è lo stesso:io imprenditore offro servizio al clientemi servo di un altro servizio da fornitore Xfornitore X non me lo fornisce correttamente e io ho problemi con i clientiallora smetto di pagare X finchè non me li sistemano, non diventano seri o non mi cagano quando li chiamoquesti X non migliorano, quindi io imprenditore non pago, dato che i miei clienti si lamentano e non aumentano, addirittura diminuiscono o mi tocca rimborsarlie così X smette di darmi servizi (del tutto) perchè non pagoinvece di fare bene il lavorochissà se è così anche qui ... BOH!!!!
  • Anonimo scrive:
    Re: Planet o e-planet?
    Planet. Son due societa' diverseCiao!
  • The Raptus scrive:
    Planet o e-planet?
    ..Perchè se è la compagnia telefonica che qualche annetto fa si pubblicizzava sulle varie reti ... Mi ci sono già scornato: pretendevano dopo 2 anni delle bollette arretrate.Sono ricorsi pure a società di recupero crediti, poi più nulla (è bastato fare un po' la voce grossa ... e chiedere i tabulati di quanto non avrei pagato!).Se questa è la stessa cosa, apriti cielo!
Chiudi i commenti