RFID e carte di credito: un binomio che fa la felicità degli hacker

Negli ultimi tempi abbiamo parlato spesso di che cosa siano i tag RFID e di come possano essere utilizzati. Si tratta di una realtà solida, consolidata e versatile. Una tecnologia matura che potrebbe davvero trovare ancora più spazio nella realtà di tutti i giorni. E oggi ci occupiamo di una di queste applicazioni nonché delle sue problematiche derivate: i tag RFID nelle carte di credito. E poichè il malaffare è sempre in agguato, viene lanciato l'allarme.

Un tag RFID all'interno di una carta di credito può essere il modo per creare un dispositivo in grado di permettere all'utente di pagare senza necessità di portarsi in tasca denaro contante. Immaginate, quindi, stazioni di distribuzione del carburante, teatri, bar, ipermercati ma anche negozi di ottica e di vestiti all'interno dei quali non sia addirittura più necessario "strisciare" la carta di credito ma basta solamente "passare" in cassa. Un semplice lettore automatico potrebbe prendere in carico l'operazione di pagamento senza necessità che si faccia altro.

Qualcosa di simile a questo l'abbiamo già visto e descritto quando abbiamo parlato di Near Field Communication.

Peraltro, chi sostiene questo metodo di pagamento pensa che le carte di credito RFID possano essere un sistema che concorre in maniera importante con i sistemi di pagamento basati su smartphone. Si sente sempre più spesso dire che "i pagamenti ed i conti correnti saranno presto tutti basati su applicazioni che funzionano tramite cellulare" (leggasi smartphone e quindi tablet et similia). Ed è proprio in questo scenario, per certi versi futurista, che le NFC si fanno largo e, presto, la faranno da padrone. Tranne, a quanto pare, su di un importante esponente della categoria: l'iPhone 5.

La convenienza dello shopping fatto con RFID, però, sembra avere dei grossi inconvenienti. Il punto è, infatti, che questo meccanismo fa molta gola ad alcuni criminali.

Tirar fuori la carta di credito dal portafogli dopo aver tirato fuori il portafogli dalla tasca, rappresenta un'operazione fatta in piena coscienza. L'acquirente ha girato il negozio, ha scelto il prodotto che preferisce, si è recato in cassa, ha accettato il prezzo da pagare e si accinge a farlo. Tutto abbastanza banale. Lo vediamo tutti i giorni.

L'idea che genera preoccupazioni è la seguente: esiste il rischio concreto che queste carte di credito, nonostante i meccanismi di protezione, possano "stimolare" i peggiori istinti degli hacker. Come? Semplice: con un lettore portatile che "passi" semplicemente vicino alle carte.

Questo "stratagemma" porterebbe “ricariche” su conti non conosciuti e che non sono state autorizzate dal proprietario della tessera. La possibilità di questi erronei "acquisti" spaventa, a ragione diremmo, tutti!

E qui si chiarisce come si possa risolvere il problema: a differenza di quanto accade per le tradizionali tessere magnetiche, che contengono un codice di autenticazione statico composto da tre cifre e noto con l'acronimo CVV, le carte di credito con RFID generano un nuovo codice di autenticazione per ciascuna transazione.

Sebbene questa sembri un'ottima misura di sicurezza, specialmente considerando che le tessere implementano meccanismi di protezione con codifica a 128 bit, sembra non essere sufficiente e la prova del fatto che questa non è una misura di sicurezza del tutto affidabile viene da una notizia comparsa su Forbes poco tempo fa. I dispositivi di cui si tratta in questo articolo possono addirittura essere comprati su eBay.

Stando a quanto sostiene la Smart Card Association, in circolazione esisterebbero circa 100 milioni di carte di credito dotate di RFID. Una diffusione simile suggerirebbe che il sistema sia effettivamente affidabile ma l'idea che esista una falla nella sicurezza tale per cui chiunque, semplicemente passando accanto al proprietario di un lettore di questo tipo, possa essere così facilmente "alleggerito" spaventa e non poco.

Tuttavia, nuovi meccanismi di protezione potrebbero essere disponibili a breve. I ricercatori dell'università di Pittsburgh hanno messo a punto un sistema grazie al quale i proprietari del tag RFID potranno decidere se il dispositivo sarà acceso o spento rendendolo, di fatto, non leggibile per i ladri che abbiano dispositivi o scanner portatili.

Grazie a questa nuova tecnologia, i consumatori potranno semplicemente "posizionare" le loro tessere in un'area ben delineata, ad esempio un apposito luogo, mentre effettuano la transazione. Fintanto che l'interruttore sarà "chiuso", la carta sarà "accesa" e la transazione potrà effettivamente avere luogo. La tessera sarà anche in grado di spegnersi automaticamente in maniera tale da non permettere intrusioni di nessun tipo.

Marlin Mickle, docente di ingegneria presso l'Università di Pittsburgh, ha dichiarato: "I tag RFID e le carte di credito NFC sono attualmente in grado di operare non appena siano posizionati all'interno del campo elettromagnetico. Il nostro nuovo progetto integra un'antenna, oltre ad altra circuiteria, che può essere spenta con un semplice interruttore come se si decidesse di spegnere la luce a casa o in ufficio."

Ed è proprio sulla semplicità di questo sistema che si sta puntando, in modo tale da garantire che, per l'utente, sia molto semplice abituarsi. Così "il tag sarà disabilitato se si trova in tasca oppure se si trova su una superficie qualunque" in modo tale da non poter essere letto da dispositivi portatili.

Questo sistema è già stato brevettato ma il suo utilizzo propone una serie di problematiche sulle quali, in particolare su Internet, il dibattito è davvero fervente.

C'è chi giustamente sostiene che lo sviluppo di un sistema, qualunque sia il suo scopo e comunque esso sia conformato, deve necessariamente sempre essere oggetto di un brainstorming e di uno studio di fattibilità preliminare che punti ad eliminare ogni problema prima che si verifichi. La realizzazione del sistema dovrebbe, quindi, già partire dalla risoluzione di tutti quei problemi che possono essere immaginati prima di cominciare a commercializzare o a divulgare il progetto stesso come prodotto finito.

D'altronde, è comunque sempre difficile immaginare ogni genere di "intrusione" possibile.

E voi, cosa ne pensate?

Scarica subito una copia gratis
Tags:

2 Commenti

  1. Avatar photo Boris L. 12 Novembre 2012
  2. Avatar photo Piero Boccadoro 13 Novembre 2012

Scrivi un commento

Seguici anche sul tuo Social Network preferito!

Send this to a friend