La sicurezza nell’utilizzo dell’identificazione a radio frequenza deve tenere presente cosa è realmente un tag: un archiviatore.
In questo spazio (Techne – Con parole mie) i protagonisti della tecnologia raccontano e si raccontano, portando alla luce la miscela virtuosa di tecnica ed esperienza al servizio delle esigenze dell’utenza. Parlano sulla base della conoscenza, evitando di fare riferimento alla propria produzione, bensì portando il discorso su un piano generale e fruibile da tutti.
Nelle ultime settimane abbiamo assistito a un certo timore relativamente alle minacce per la sicurezza poste dalla tecnologia Rfid che trasmette tramite radio frequenza, o meglio, a come questo sistema potrebbe diventare un ulteriore vettore di attacco di cui i responsabili It dovrebbero seriamente preoccuparsi.
Per inquadrare brevemente l’argomento, l’identificazione tramite radio frequenza è un metodo di identificazione automatico basato sulla memorizzazione e il richiamo a distanza dei dati utilizzando dispositivi wireless denominati tag Rfid, tipicamente piccoli oggetti che possono essere allegati ai prodotti (o anche persone e animali) e che contengono i chip di silicio e l’antenna che consentono loro di ricevere e rispondere alle richieste inoltrate dal trasmettitore Rfid.
Attualmente l’utilizzo di tale tecnologia è molto ampio, vario e in crescita. Ad esempio, sono utilizzati per rintracciare i libri nelle biblioteche, identificare il bestiame, tracciare i pallet, per il pagamento automatico dei pedaggi autostradali, l’identificazione dei bagagli nelle linee aeree, e così via. L’Rfid ben si adatta a qualsiasi attività che tragga beneficio dalla raccolta automatica dei dati di grossi volumi di merci (o altro). Tale metodo infatti consente di eliminare la necessità di sistemi di tracciamento dei beni più onerosi in termini di tempo, come, ad esempio, l’elaborazione di codici a barre.
In sintesi, si tratta di dispositivi per l’archiviazione dei dati. E, come per qualsiasi dispositivo di archiviazione dati, possono essere un ricettacolo per i virus che da qui possono potenzialmente diffondersi sui sistemi che leggono da quei dispositivi.
Rivenditori al dettaglio o altre strutture che utilizzano le tag Rfid sulle merci o per l’inventario, potrebbero venire infettati e l’infezione potrebbe poi diffondersi ai sistemi che li gestiscono. Per esempio, un sistema di scansione dell’inventario potrebbe essere attaccato da un virus che blocca completamente il sistema di controllo dell’inventario.
O peggio ancora, potrebbe essere creato un virus specificamente studiato per questa tecnologia in grado di installare dei rootkit (un insieme di software che permette di ottenere il controllo di un computer da locale o da remoto) sul sistema oggetto dell’attacco per sfruttarli in modo dannoso in seguito. In tal caso l’Rfid potrebbe diventare un ulteriore veicolo di attacco da parte dei malintenzionati.
Il recente clamore sulla sicurezza delle tag Rfid è stato sollevato quando un team di ricercatori della Vrije University in Olanda ha creato un virus “proof-of-concept” di piccole dimensioni (127 byte), dimostrando così alle catene di vendita al dettaglio e gli altri settori che potrebbero essere interessati ad utilizzare questa tecnologia molto utile che, prima di adottarla, dovrebbero porsi una serie di domande relativamente ai produttori di tag, lettori e middleware: sono in grado di assicurare che ciò che forniscono può essere reso sicuro? È stato preso in considerazione il potenziale rischio di attacco? E che garanzie possono essere offerte ai clienti?
I dati semplici che risiedono nei tag Rfid vengono estratti dai lettori e inviati sulle reti aziendali. Ora, prima di decidere l’acquisto di una soluzione Rfid, va valutato anche questo aspetto, ovvero come questi dati potenzialmente infetti o corrotti vengano trattati quando arrivano sui database di rete.
(*)Senior Vice President Global
Threats, direttore di McAfee Avert Labs
