Vulnerabilità delle Smartcard RFID

Leggi la domanda Come accedere al controllo RFID in quanto vi sono alcuni link molto utili lì.

Le schede contactless e le schede RFID sono solo un piccolo core di elaborazione con alcune funzionalità limitate e un ricetrasmettitore radio che non solo alimenta la scheda quando è presente un segnale radio, ma riceve e trasmette anche dati entro un intervallo ristretto.

La differenza principale è che l'RFID è solitamente usato per riferirsi a una carta che si identificherà quando interrogata, mentre la parola Contactless Card di solito si riferisce a una RFID con una memoria di bordo per piccoli pagamenti senza dover inserire una carta in una macchina o digitare un pin, ad esempio carte Oyster per i pagamenti di viaggio sulla metropolitana di Londra.

I rischi legati alla clonazione sono in gran parte attenuati dal motore crittografico sulla carta - e il team di Ross Anderson a Cambridge continua trovare nuovi attacchi in laboratorio , ma il rischio principale sulle carte che devono essere inserite è che un utente malintenzionato deve solo trovarsi nelle vicinanze e non ha bisogno di rubare carta, riducendo la difficoltà di attacco. La distanza, pur supponendo che sia molto breve, può essere aumentata dagli attaccanti che usano apparecchiature di potenza superiore e antenne con guadagno più elevato.

La nuova ondata di funzionalità Contactless Card, che consente di effettuare pagamenti con carte di credito / debito, aumenta ulteriormente questo rischio aumentando la quantità di fondi a cui è possibile accedere.

C'è un (lungo) parlare di dati biometrici e RFID che ha una discussione di alcuni dei problemi con le schede RFID, compresi i meccanismi di sicurezza deboli / guasti, i meccanismi di sicurezza che non lo sono (cioè che si dice siano presenti dal fornitore ma non lo sono) e il fatto che l'interfaccia contactless introduce nuovi metodi di attacco che non è presente nelle schede di contatto.

Nel complesso però dipende da cosa vuoi usarli. Le carte contactless, come la biometria, sono principalmente per comodità e non per sicurezza.

In genere per i sistemi di vendita automatica e senza contanti, i fondi reali risiedono su un server o un database di archiviazione IT e fanno semplicemente riferimento al saldo del denaro su un conto collegato al numero della carta, in questo modo se una carta viene smarrita o rubata, la carta può essere semplicemente ritirata e bloccata e viene emessa una carta sostitutiva che sarà quindi collegata al conto monetario esistente anziché avere i fondi fisici memorizzati sulle carte.

Le aree ad alto rischio dovrebbero essere protette con l'autenticazione a più fattori, che si tratti di una carta RFID / contactless per identificare con Fingerprint / PIN Number o altri meccanismi secondari per verificare che la persona che cerca di entrare sia il legittimo proprietario della carta.

Con qualsiasi tipo di metodo di identificazione fisica, le procedure relative all'emissione e alla gestione delle carte sono più critiche della tecnologia come generalmente, gli attacchi sono opportunistici o attraverso scappatoie come le carte disattivate in modo errato.

Lavoro per un produttore di controllo accessi, ci integriamo anche con un'appliance di rete logica di sicurezza per impedire alle persone di accedere a un PC o server nell'edificio a meno che non abbiano utilizzato il sistema di controllo accessi per entrare nell'edificio, tuttavia questo è efficace se esistono metodi come l'anti-pass back e le barriere single turn per forzare tutti a presentare una carta per entrare / uscire dall'edificio.