Le carte di credito con tecnologia RFID continuano a dimostrarsi poco sicure. L’ultima conferma proviene dal Dipartimento di Informatica dell’ Università del Massachusetts . Tom Heydt-Benjamin, ricercatore dell’ateneo, e il professor Kevin Fu si sono cimentati in un test di sniffing su carte di credito che ha dato risultati sorprendenti.
Grazie ad un dispositivo radio, realizzato con non più di 150 dollari, i due scienziati sono riusciti a catturare dati sensibili contenuti in una carta di credito. La card era stata inserita in una busta di carta, posizionata a sua volta in prossimità dell’unità di sniffing. Ebbene, in poco tempo è stato possibile ottenere il nome del proprietario, il numero della carta e la data di scadenza.
Il test, in questo modo, ha dimostrato per l’ennesima volta i problemi di sicurezza e le falle presenti nelle carte wireless di nuova generazione. E non si tratta di prototipi, perché sul mercato statunitense ormai ne sono state distribuite più di 10 milioni . La maggior parte degli istituti di credito, infatti, hanno investito copiosamente in campagne pubblicitarie per convincere i consumatori al grande passo, vantando sistemi di criptazione evoluti come i “128-bit” di American Express e “il massimo livello permesso dal Governo” millantato da J. P. Morgan Chase.
La triste realtà, però, è che il team del professor Fu dichiara di essere riuscito a violare ben 20 tipi di carte diverse, comprese le “sicurissime” Visa, MasterCard e American Express. Il tutto senza trovare traccia di sistemi di criptazione. E se gli esperti dovessero comunque obiettare che si è trattato di un test di laboratorio in condizioni particolari, Tom Heydt-Benjamin ha sottolineato che questo genere di azioni sarebbe possibile anche con dispositivi portatili grandi come un pacchetto di gomme da masticare. E con un una spesa di 50 dollari.
“Vi sentireste a vostro agio indossando una maglietta con il vostro nome, il numero della vostra carta di credito e la sua data di scadenza?”, ha ironicamente affermato Heydt-Benjamin. Già, perché la prova della busta di carta ha dimostrato che lo sniffing può avvenire anche attraverso i vestiti o il portafogli.
“Si è trattato certamente di un test interessante, ma questo pericolo denunciato non sussiste per i consumatori”, ha confermato Brian Triplett, dirigente di Visa. Eppure numerose società di consumatori da qualche anno si battono strenuamente per dimostrare la scarsa sicurezza dei sistemi RFID, integrati non solo nelle carte di credito, ma anche nei nuovi passaporti elettronici . Non è solo una questione che riguarda il range di trasmissione delle carte, ma anche l’efficienza dei sistemi di cifratura – che in teoria si dimostrano inviolabili, ma in pratica evidenziano non poche falle. L’esperimento del professor Fu è stato condotto con la supervisione dei ricercatori del RSA Labs , organo operativo di EMC . Il documento finale, illustrato nelle ultime conferenze di sicurezza informatica, è stato accolto positivamente, come se l’ambiente accademico e della ricerca concordasse a pieno sulle conclusioni finali. “I consumatori si aspettano un certo livello di privacy, ma credo che gli istituti di credito abbiano sorpassato quella linea”, ha dichiarato Aviel D. Rubin, docente di sicurezza informatica presso Johns Hopkins University .
Le aziende del settore, comunque, continuano a difendere la loro posizione sottolineando che 20 carte di credito non sono un campione rappresentativo per l’intero mercato. “Il campione è piccolo. È come se qualcuno accendesse una sigaretta in un teatro e si gridasse al fuoco!”, ha commentato Art Kranzley, dirigente di MasterCard.
Il problema, a detta degli esperti, è che l’adozione di sistemi più evoluti, come la cifratura della trasmissione radio – e non solo quella dei dati, rallenta vistosamente i tempi di transazione e rende l’implementazione dei network più costosa.
“Le informazioni captate, nella maggior parte dei casi, sono inutili. Senza i security token che permettono la verifica, non si può effettuare alcun pagamento”, ha spiegato David Bonalle, vice presidente e general manager del Dipartimento advanced payments di American Express. Heydt-Benjamin concorda con questa affermazione di massima ma secondo le sue rilevazioni moltissime card non utilizzano soluzioni di verifica così avanzate. Tanto più che i dati catturati gli hanno permesso di acquistare liberamente online – ovviamente sui siti dove non veniva richiesto il codice di validazione.
“Il 98% delle nostre card dispone dei massimi standard di sicurezza possibili. Quindi solo una piccola percentuale potrebbe essere stata protagonista delle rilevazioni negative del test”, ha sottolineato Kranzley.
“Certamente il campione era piccolo, ma saremmo felici di poter esaminare le carte più evolute in modo da verificare le nostre considerazioni. Comunque a onor di cronaca tutte le card a nostra disposizione sono state distribuite quest’anno. E tutte violate almeno una volta”, ha concluso il professor Fu.
Dario d’Elia