Italia
Un gruppo di ricercatori della Vrije Universiteit di Amsterdam ha dimostrato come sia possibile inserire un virus nelle tag RFID, che consentono l’identificazione e la lettura a distanza di numerose informazioni contenute in una etichetta grande quanto un francobollo, con microprocessore ed antenna.
Gli apparati RFID sono comparsi sulla scena più di dieci lustri fa e le prime applicazioni civili sono state nella logistica. Grazie ai progressi tecnologici degli ultimi anni, sono le loro funzionalità sono notevolmente migliorate, si sono ridotte drasticamente le dimensioni ma, soprattutto, si sono abbassati in modo considerevole i costi, dando così la stura ad applicazioni sempre più vaste.
In un paper, presentato nell’ambito della Pervasive Computing and Communications Conference in corso a Pisa, il gruppo di ricercatori ha dimostrato come sia possibile infettare una porzione della memoria del chip, che può contenere al massimo 128 caratteri.
Fino a ora, molti esperti in sicurezza avevano sottovalutato la possibilità di utilizzare queste tag per diffondere virus proprio per la minuscola capacità di memoria dei chip, i cui campi di applicazione spaziano dalla logistica all’identificazione degli animali domestici e la cui efficacia in materia di localizzazione e tracciabilità ha sollevato seri interrogativi sulla sicurezza e la privacy oltre che sulla loro interoperabilità tecnica e compatibilità a livello internazionale.
Nel documento – Is Your Cat Infected With a Computer Virus? – il team descrive in che modo la vulnerabilità può essere utilizzata per indebolire una varietà di sistemi di tracciabilità, inclusi i sistemi di scansione degli aeroporti che adotteranno le tecnologie di identificazione a radio frequenza.
I ricercatori hanno riferito che ci sono anche rischi associati alla pubblicazione di vulnerabilità nei sistemi informatici e hanno anche divulgato una serie di contromisure per proteggere i chip RFID da questi attacchi.
Il gruppo – guidato dalla scienziato americano Andrew S. Tanenbaum – darà dimostrazione pratica delle sue affermazioni alla conferenza di sponsorizzata dall’IEEE (Pisa 13-17 marzo), pur specificando che non sono ancora stati effettuati test sui sistemi commerciali attualmente in uso.
“Non abbiamo rilevato falle specifiche nei software commerciali“, ha chiarito Tanenbaum, che sottolinea tuttavia come questi ultimi siano soggetti alle stesse vulnerabilità sfruttate dai virus e da altri codici maliziosi in ambito informatico.
Tra le vulnerabilità a rischi sfruttamento, il cosiddetto ‘buffer overflow’, che si presenta quando una stringa di input è più grande del buffer (memoria) che la dovrà contenere. Questo comporta un trabocco (overflow) che finisce per sovrascrivere porzioni di memoria destinate ad altre istruzioni.
“Bisognerebbe controllare gli input in ogni momento, ma l’esperienza dimostra che questo non sempre avviene”, ha dichiarato Tenebaum.
Alla base dell’eventuale vulnerabilità dei chip RFID, anche il fattore economico: “non deve sorprendere – ha aggiunto il ricercatore Peter Neumann – che un sistema concepito per essere il più economico possibile non sia molto sicuro”
Neumann ha più volte sottolineato i rischi legati ai sistemi RFID e li ha definiti “un disastro prevedibile per la sicurezza informatica”, citando ad esempio l’inadeguatezza dei sistemi di identificazione degli utenti, i rischi potenziali di contraffazione e inabilitazione delle tag e anche il problema della insufficiente codifica dei sistemi di tracking inseriti nei passaporti americani.
Ora si è aggiunte anche il fattore virus e il quadro che ne esce è quanto mai preoccupante.
Certo, gli sviluppi della tecnologia sono ancora agli albori ed esistono molti gruppi specificamente creati per stabilire i parametri di sicurezza e privacy delle etichette che, nelle versioni più sofisticate, includono già caratteristiche di codifica e sicurezza molto elevate.
Ma il team olandese ha avvertito che esistono realmente una gamma di situazioni in cui è possibile alterare le informazioni contenute nelle tag per sovvertire i loro scopi, definendo i virus RFID come un ‘vaso di Pandora’ lasciato a impolverarsi in un angolo di case e aziende sempre più ‘smart.
Tra gli esempi più verosimili, i sistemi RFID implementati dagli aeroporti per il controllo dei bagagli sono quelli più a rischio, così come potrebbe essere possibile contraffare le etichette per creare caos nei sistemi di vendita commerciale.
