Roma – Poche tecnologie promettenti ed interessanti come i radiochip RFID hanno riscosso un così grande interesse e così forti timori per la privacy degli utenti . Ora gli RFID sono di nuovo nel mirino, dopoché un autorevole team di scienziati sembra aver dimostrato la poca sicurezza di alcune importanti applicazioni.
Ricercatori di RSA Security e della Johns Hopkins University hanno infatti impiegato un piccolo apparecchio per “aggredire” RFID contenuti in dispositivi di pagamento automatici . In questo caso si parla di strumenti pensati per agevolare gli utenti di pompe di benzina.
Ai ricercatori ci sono voluti meno di 15 minuti per riuscire a craccare uno dei sistemi più diffusi al mondo in questo settore, il Registration and Identification System di Texas Instruments , uno dei principali produttori RFID che, tra l’altro, offre alcuni degli RFID più sicuri disponibili sul mercato. Stando a quanto dichiarato dai ricercatori ( qui lo studio ), agendo via wireless da una distanza minima, sono riusciti a ottenere dal tag inserito nella card di pagamento le informazioni che legano quella card al proprietario. In questo modo è stato possibile realizzare un altro tag con cui far credere al sistema che a pagare sia stata la “vittima” .
Questo attacco, che implica un cracking “attivo”, può anche essere portato in modo “passivo”. Trovandosi ad una distanza non troppo remota da dove avviene la comunicazione tra radiochip e sistema di rilevazione è stato infatti possibile intercettare quei dati , che possono poi essere utilizzati per craccare il tag contenuto in un dispositivo di pagamento.
Ben lungi dal voler dissuadere all’uso dei chip, che come ben sanno i lettori di Punto Informatico hanno molte importanti applicazioni in tanti diversi settori , gli scienziati hanno in effetti soltanto sperimentato cose di cui da tempo si parla nell’ambiente. E non è certo la prima volta che qualcuno cracca RFID . Ma le conseguenze di maggiori e approfondite analisi sulla sicurezza di questi sistemi potrebbero rivelarsi davvero importanti vista la loro attuale diffusione. Arj Juels , uno dei ricercatori RSA che hanno lavorato sul progetto, ha spiegato che lo scopo della ricerca è “svelare questo genere di debolezze nei sistemi RFID prima che si diffondano e diventino quindi un problema di prima grandezza”.
In particolare, hanno sottolineato gli scienziati, ci sono applicazioni assai specifiche, come i tag infilati nelle chiavi delle automobili come supporto all’antifurto, che richiedono una più approfondita analisi delle potenziali implicazioni dell’uso degli RFID. Secondo Avi Rubin , del team universitario, il problema centrale non sono gli RFID in sé quanto il fatto che vengano utilizzati sistemi di cifratura carenti. “Questo – ha spiegato Rubin – porta indietro di dieci anni la sicurezza dei veicoli. Un aggressore che violi la chiave segreta di un tag RFID può poi bypassare le procedure di sicurezza e ingannare i lettori sia nelle automobili che presso i distributori”.
Juels ha spiegato che soltanto il sistema di Texas è diffuso in almeno 150 milioni di chiavi di automobili nel mondo realizzate dai maggiori costruttori. E sono infilati anche in almeno 6 milioni di dispositivi di pagamento veloce per i distributori. Ed è per questo che TI è stata immediatamente avvertita del problema. Secondo Jules, TI sta procedendo sulla strada giusta, implementando cioè sistemi di cifratura, che risultano però ancora poco efficaci . “Nelle automobili così come nel commercio, RFID sta diventando una chiave di volta della sicurezza nella vita di tutti i giorni. È importante che i dispositivi RFID offrano un livello di sicurezza adeguato al valore di ciò che sono chiamati a proteggere”.
Sebbene gli scienziati abbiano analizzato soltanto i sistemi di pagamento nel settore automobilistico, i chip RFID come noto sono sempre più spinti verso altri settori, compresa la gestione di dati sanitari , informazioni sensibili che vanno naturalmente tutelate. Moltissime poi le applicazioni industriali, come quelle annunciate in questi giorni da alcune importanti case farmaceutiche. “Vogliamo affermare – ha spiegato Jules – che ciò che serve ora sono standard di sicurezza per gli RFID, visto che entrano nei passaporti e nei dispositivi dell’elettronica di consumo”. Una prima idea, citata dagli scienziati, potrebbe essere quella di realizzare supporti per i tag che possano essere mascherati con protezioni isolanti in modo tale da rendere impossibile l’attacco, quantomeno quando il tag non viene utilizzato.
A proposito di RFID, continua a far rumore l’orientamento espresso dalla Banca Centrale Europea di inserire i chippetti nelle banconote dell’euro. Sebbene ci sia chi sostiene che gli RFID già si trovino nelle banconote , le prime analisi effettuate da Punto Informatico su alcune di esse non hanno rilevato chip di sorta. Il metodo consigliato per i test delle banconote è infilarle in un microonde a massima potenza per qualche secondo… A rischio e pericolo delle banconote, naturalmente. L’indagine continua.
Ti potrebbe interessare
2 feb 2005