Le carte di credito RFID alla sbarra

Un nuovo test su ben 20 tipi di carte di credito diverse ha confermato la facilità di sniffing dei dati: bastano 150 dollari e un po' di competenza. Occhi aperti

Roma - Le carte di credito con tecnologia RFID continuano a dimostrarsi poco sicure. L'ultima conferma proviene dal Dipartimento di Informatica dell'Università del Massachusetts. Tom Heydt-Benjamin, ricercatore dell'ateneo, e il professor Kevin Fu si sono cimentati in un test di sniffing su carte di credito che ha dato risultati sorprendenti.

Grazie ad un dispositivo radio, realizzato con non più di 150 dollari, i due scienziati sono riusciti a catturare dati sensibili contenuti in una carta di credito. La card era stata inserita in una busta di carta, posizionata a sua volta in prossimità dell'unità di sniffing. Ebbene, in poco tempo è stato possibile ottenere il nome del proprietario, il numero della carta e la data di scadenza.

Il test, in questo modo, ha dimostrato per l'ennesima volta i problemi di sicurezza e le falle presenti nelle carte wireless di nuova generazione. E non si tratta di prototipi, perché sul mercato statunitense ormai ne sono state distribuite più di 10 milioni. La maggior parte degli istituti di credito, infatti, hanno investito copiosamente in campagne pubblicitarie per convincere i consumatori al grande passo, vantando sistemi di criptazione evoluti come i "128-bit" di American Express e "il massimo livello permesso dal Governo" millantato da J. P. Morgan Chase.
La triste realtà, però, è che il team del professor Fu dichiara di essere riuscito a violare ben 20 tipi di carte diverse, comprese le "sicurissime" Visa, MasterCard e American Express. Il tutto senza trovare traccia di sistemi di criptazione. E se gli esperti dovessero comunque obiettare che si è trattato di un test di laboratorio in condizioni particolari, Tom Heydt-Benjamin ha sottolineato che questo genere di azioni sarebbe possibile anche con dispositivi portatili grandi come un pacchetto di gomme da masticare. E con un una spesa di 50 dollari.

"Vi sentireste a vostro agio indossando una maglietta con il vostro nome, il numero della vostra carta di credito e la sua data di scadenza?", ha ironicamente affermato Heydt-Benjamin. Già, perché la prova della busta di carta ha dimostrato che lo sniffing può avvenire anche attraverso i vestiti o il portafogli.

"Si è trattato certamente di un test interessante, ma questo pericolo denunciato non sussiste per i consumatori", ha confermato Brian Triplett, dirigente di Visa. Eppure numerose società di consumatori da qualche anno si battono strenuamente per dimostrare la scarsa sicurezza dei sistemi RFID, integrati non solo nelle carte di credito, ma anche nei nuovi passaporti elettronici. Non è solo una questione che riguarda il range di trasmissione delle carte, ma anche l'efficienza dei sistemi di cifratura - che in teoria si dimostrano inviolabili, ma in pratica evidenziano non poche falle.
17 Commenti alla Notizia Le carte di credito RFID alla sbarra
Ordina
  • Adesso quasi tutti hanno il microcip per essere "più sicuri".
    Non è che anche il bancomat si può "captare" e sottrarci quindi il pin quando magari lo si trova smarrito o rubato ???
    non+autenticato
  • - Scritto da:
    > Adesso quasi tutti hanno il microcip per essere
    > "più
    > sicuri".
    > Non è che anche il bancomat si può "captare" e
    > sottrarci quindi il pin quando magari lo si trova
    > smarrito o rubato
    > ???
    Il microchip di cui parli non è un RFID (ossia un chip che dialoga via radiosegnali) ma di norma un comune chip crittografico a contatti.

    Esso, se correttamente implementato, memorizza dati in forma criptata, e procede internamente al processo di verifica di certificati digitali (ha un chip che elabora del codice).
    Lavorando internamente *NON* fa viaggiare i codici criptati all'esterno della card stessa.

    Violarlo a distanza non è sostanzialmente praticabile.
    non+autenticato
  • anche con le carte di credito. Chi ha tanti soldi ce l'ha d'oro e c'ha pure il commercialista che gli controlla i resoconti di banca. La mia è di carta igienica e non controllo un razzo, ma non mi preoccupo, tanto in banca appoggio soltanto il mio stipendio. Finito quello con la carta vado al cesso.
    non+autenticato
  • il problema non è il rfid, ma il protocollo di comunicazione.
    Io posso fare una comunicazione sicura anche con la voce purchè adotti un procotollo sicuro.

    Se non si specifica BENE che la lettura delle carte rfid è stata possibile solo perchè "non c'era traccia di sistemi di criptazione", si rischia di demonizzare una tecnologia che potrebbe aprire nuovi orizzonti per gli sviluppatori.

    l'rfid è un'ottima tecnologia.
    non+autenticato

  • - Scritto da:
    > il problema non è il rfid, ma il
    > protocollo di comunicazione.

    ...e si potrebbe anche essere d'accordo... ma in fin dei conti... cosa offre di più una CC RFID, rispetto ad una con dei bei luccicanti contatti elettrici?

    Se non offre nulla, allora perché aggiungere problemi (anche solo potenziali) dovuti all'estrema facilità di sniffing, MitM, etc... ?
    non+autenticato
  • Verissimo, il problema è appunto l'uso criminale di cui ne fanno le banche.
    Vedi le carte di credito, ma vi pare mai possibile che per fare un acquisto possa bastare il numero della carta (stampigliato in bella evidenza ed in rilievo (cosi che ti possano fregare anche i non vedenti) e la sua data di scadenza?
    Da qualche anno però hanno aumentato la sicurezza, molte transazioni elettroniche richiedono anche un pin di tre numeri (TRE), che si trova stampigliato un pò meno evidente sul retro della carta!
    Ma aggiungere un pin segreto tipo bancomat era troppo difficile?

  • - Scritto da: Enjoy with Us
    > Ma aggiungere un pin segreto tipo bancomat era
    > troppo
    > difficile?
    Le nuove carte, che hanno un chip integrato, hanno anche un PIN, che usi al posto della firma. Non so quanto diffuse siano in Italia (la mia è UK), ma di certo i lettori, anche in Italia, sono già in giro.
    Non che siano sicurissime neanche quelle: qualche mese fa, sempre in UK, dei furbacchioni erano andati in giro travestiti da tecnici a taroccare i lettori delle pompe di benzina con un chip che registrava tutto, ma lì entra come al solito in gioco la poca informazione e fondamentale ingenuità dei gestori...

    Certo, il PIN online non funziona (e non mi fiderei se lo facesse), ma sia MC che VISA hanno dei sistemi di verifica (ad esempio, chiederti un codice impostato da te), ma pochissimi siti lo implementano per ora.
    non+autenticato

  • > Non che siano sicurissime neanche quelle

    No, quelle (se implementate bene) sono sicure.

    > qualche mese fa, sempre in UK, dei furbacchioni erano
    > andati in giro travestiti da tecnici a taroccare
    > i lettori delle pompe di benzina con un chip che
    > registrava tutto

    Registrare non serve a nulla. Tutto quello che puoi fare è effettuare transazioni aggiuntive *mentre* la card è inserita.

    > Certo, il PIN online non funziona (e non mi
    > fiderei se lo facesse)

    Anche questo non è vero, nelle card bene implementate il PIN va da te alla card passando per il PC, non va oltre.

    > ma sia MC che VISA hanno dei sistemi di verifica (ad esempio, chiederti un
    > codice impostato da te), ma pochissimi siti lo implementano per ora.

    Accrocchi mal funzionanti da aziende che di sicurezza capiscono poco o nulla...
    non+autenticato
  • Tutte le volte che faccio un acquisto da MediaWorld cercano regolarmente di rifilarmela.
    Pensavo solo con i finanziamenti ma l'ultima volta anche solo dando i dati per la consegna della lavatrice !!!!!! (pagata sull'unghia).
    Regolarmente la taglio in due e gliela rispedisco.
    Carta di credito: NO GRAZIE, almeno fino a quando saranno gestite con incapacità e leggerezza.
    -----------------------------------------------------------
    Modificato dall' autore il 24 ottobre 2006 07.58
    -----------------------------------------------------------
  • non so dirti se carta aura è buona o meno ma il contante è obsoleto, e andrebbe proibito per me così sparirebbe il pagamento in nero

    uso carte di credito da quasi 20 anni e da più di 10 on line e non ho mai avuto problemi
    non+autenticato

  • - Scritto da:
    > non so dirti se carta aura è buona o meno ma il
    > contante è obsoleto, e andrebbe proibito per me
    > così sparirebbe il pagamento in
    > nero

    sparirebbe anche la tua vita privata, ma chi se ne frega.
    non+autenticato
  • - Scritto da:
    > il
    > contante è obsoleto, e andrebbe proibito per me
    > così sparirebbe il pagamento in
    > nero

    Per me andrebbe proibita la transazione
    elettronica ai dissenzienti.
    non+autenticato

  • - Scritto da: lalla63
    > Tutte le volte che faccio un acquisto da
    > MediaWorld cercano regolarmente di
    > rifilarmela.
    > Pensavo solo con i finanziamenti ma l'ultima
    > volta anche solo dando i dati per la consegna
    > della lavatrice !!!!!! (pagata
    > sull'unghia).
    > Regolarmente la taglio in due e gliela rispedisco.
    > Carta di credito: NO GRAZIE, almeno fino a quando
    > saranno gestite con incapacità e
    > leggerezza.
    > --------------------------------------------------
    > Modificato dall' autore il 24 ottobre 2006 07.58
    > --------------------------------------------------

    Tenendo presente che la carta di credito e' tutelata per le frodi, i contanti no, ti starebbe bene che prima di entrare al Mediaworld ti rubassero il malloppone che tieni in mano tutto felice
    non+autenticato

  • > Tenendo presente che la carta di credito e'
    > tutelata per le frodi, i contanti no, ti
    > starebbe bene che prima di entrare al Mediaworld
    > ti rubassero il malloppone che tieni in mano
    > tutto
    > felice


    hai mai provato a farti rimborsare pagamenti con carta clonata ?
    non+autenticato

  • >
    >
    > hai mai provato a farti rimborsare pagamenti con
    > carta clonata
    > ?

    Si, passa qualche mese ma ti rimborsano , basta disconoscere l'acquisto entro 60 giorni dall'estratto conto.
    (con amex con dire il vero neanche, mi ha fatto l'accredito temporaneo immediato un'ora dopo che ho telefonato per disconoscere l'acquisto)

    Questo per le carte di credito vere, per quelle di debito e quindi anche le prepagate t'arrangi....
    non+autenticato
  • ...in questo caso non dovrebbero esserci chip RFID.
    il vero problema delle carte tipo questa (che chiamiamo "revolving") é che ti rateizzano il rimborso delle spese fatte a interessi intorno al 15%!!!
    Controllate il prospetto e fate i conti
    Poi se ci mettiamo anche il chip RFID sono d'accordo a lasciargliela sul groppone
    non+autenticato

  • > Controllate il prospetto e fate i conti
    > Poi se ci mettiamo anche il chip RFID sono
    > d'accordo a lasciargliela sul
    > groppone

    perchè lasciargliela sul groppone quando c'é l'apposita fessura proprio lì sotto ?Occhiolino
    non+autenticato