RSA smonta gli RFID: pericolosi

Un gruppo di ricercatori dimostra, test alla mano, che certi impieghi degli RFID potrebbero rivelarsi un disastro per gli utenti. Tra RFID nel braccio e tag nelle banconote c'è di che stare in guardia

RSA smonta gli RFID: pericolosiRoma - Poche tecnologie promettenti ed interessanti come i radiochip RFID hanno riscosso un così grande interesse e così forti timori per la privacy degli utenti. Ora gli RFID sono di nuovo nel mirino, dopoché un autorevole team di scienziati sembra aver dimostrato la poca sicurezza di alcune importanti applicazioni.

Ricercatori di RSA Security e della Johns Hopkins University hanno infatti impiegato un piccolo apparecchio per "aggredire" RFID contenuti in dispositivi di pagamento automatici. In questo caso si parla di strumenti pensati per agevolare gli utenti di pompe di benzina.

Ai ricercatori ci sono voluti meno di 15 minuti per riuscire a craccare uno dei sistemi più diffusi al mondo in questo settore, il Registration and Identification System di Texas Instruments, uno dei principali produttori RFID che, tra l'altro, offre alcuni degli RFID più sicuri disponibili sul mercato. Stando a quanto dichiarato dai ricercatori (qui lo studio), agendo via wireless da una distanza minima, sono riusciti a ottenere dal tag inserito nella card di pagamento le informazioni che legano quella card al proprietario. In questo modo è stato possibile realizzare un altro tag con cui far credere al sistema che a pagare sia stata la "vittima".
Questo attacco, che implica un cracking "attivo", può anche essere portato in modo "passivo". Trovandosi ad una distanza non troppo remota da dove avviene la comunicazione tra radiochip e sistema di rilevazione è stato infatti possibile intercettare quei dati, che possono poi essere utilizzati per craccare il tag contenuto in un dispositivo di pagamento.

Ben lungi dal voler dissuadere all'uso dei chip, che come ben sanno i lettori di Punto Informatico hanno molte importanti applicazioni in tanti diversi settori, gli scienziati hanno in effetti soltanto sperimentato cose di cui da tempo si parla nell'ambiente. E non è certo la prima volta che qualcuno cracca RFID. Ma le conseguenze di maggiori e approfondite analisi sulla sicurezza di questi sistemi potrebbero rivelarsi davvero importanti vista la loro attuale diffusione. Arj Juels, uno dei ricercatori RSA che hanno lavorato sul progetto, ha spiegato che lo scopo della ricerca è "svelare questo genere di debolezze nei sistemi RFID prima che si diffondano e diventino quindi un problema di prima grandezza".

In particolare, hanno sottolineato gli scienziati, ci sono applicazioni assai specifiche, come i tag infilati nelle chiavi delle automobili come supporto all'antifurto, che richiedono una più approfondita analisi delle potenziali implicazioni dell'uso degli RFID. Secondo Avi Rubin, del team universitario, il problema centrale non sono gli RFID in sé quanto il fatto che vengano utilizzati sistemi di cifratura carenti. "Questo - ha spiegato Rubin - porta indietro di dieci anni la sicurezza dei veicoli. Un aggressore che violi la chiave segreta di un tag RFID può poi bypassare le procedure di sicurezza e ingannare i lettori sia nelle automobili che presso i distributori".

Juels ha spiegato che soltanto il sistema di Texas è diffuso in almeno 150 milioni di chiavi di automobili nel mondo realizzate dai maggiori costruttori. E sono infilati anche in almeno 6 milioni di dispositivi di pagamento veloce per i distributori. Ed è per questo che TI è stata immediatamente avvertita del problema. Secondo Jules, TI sta procedendo sulla strada giusta, implementando cioè sistemi di cifratura, che risultano però ancora poco efficaci. "Nelle automobili così come nel commercio, RFID sta diventando una chiave di volta della sicurezza nella vita di tutti i giorni. È importante che i dispositivi RFID offrano un livello di sicurezza adeguato al valore di ciò che sono chiamati a proteggere".

Sebbene gli scienziati abbiano analizzato soltanto i sistemi di pagamento nel settore automobilistico, i chip RFID come noto sono sempre più spinti verso altri settori, compresa la gestione di dati sanitari, informazioni sensibili che vanno naturalmente tutelate. Moltissime poi le applicazioni industriali, come quelle annunciate in questi giorni da alcune importanti case farmaceutiche. "Vogliamo affermare - ha spiegato Jules - che ciò che serve ora sono standard di sicurezza per gli RFID, visto che entrano nei passaporti e nei dispositivi dell'elettronica di consumo". Una prima idea, citata dagli scienziati, potrebbe essere quella di realizzare supporti per i tag che possano essere mascherati con protezioni isolanti in modo tale da rendere impossibile l'attacco, quantomeno quando il tag non viene utilizzato.

A proposito di RFID, continua a far rumore l'orientamento espresso dalla Banca Centrale Europea di inserire i chippetti nelle banconote dell'euro. Sebbene ci sia chi sostiene che gli RFID già si trovino nelle banconote, le prime analisi effettuate da Punto Informatico su alcune di esse non hanno rilevato chip di sorta. Il metodo consigliato per i test delle banconote è infilarle in un microonde a massima potenza per qualche secondo... A rischio e pericolo delle banconote, naturalmente. L'indagine continua.
25 Commenti alla Notizia RSA smonta gli RFID: pericolosi
Ordina
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 9 discussioni)