La tecnologia NFC (Near Field Communication), quella implementata nelle cosiddette “carte di prossimità”, dette anche “contactless”, promette di sveltire le transazioni e semplificare la vita dei consumatori oltre che quella dei venditori. Prima di tutto, l’aggettivo “nuovo” non è il più indicato per questa tecnologia dato che è stata presentata già alcuni anni fa (in Italia la sperimentazione è iniziata nel 2008) e che subito sono stati pubblicati i primi risultati degli studi condotti dai ricercatori di sicurezza informatica (come ad esempio i lavori presentati alla BlackHat Conf del 2013).
Si tratta di una tecnologia RFID basata sul trasferimento via radiofrequenza di informazioni fra un chip residente sulla carta di credito ed un apparato detto reader.
Avvicinando la carta ad un reader vengono letti i dati della carta (intestatario, numero della carta, scadenza) che, se la chiave crittografica residente sulla carta viene riconosciuta come valida, consentono l’autorizzazione della transazione quindi il trasferimento di denaro senza necessità di digitare il PIN o firmare ricevute.
Sono equipaggiati con reader NFC bancomat, POS, pompe di benzina, ecc. E’ da notare che in Italia la cifra massima per singola transazione è di 25 euro, in altri Paesi questa cifra può variare.
La distanza fra carta e reader per attivare la transazione varia in base al tipo di reader e può raggiungere i 10 cm. In realtà, anche se le specifiche parlano di un massimo di 20 centimetri, la distanza utile è molto minore ed è stata ridotta per motivi di sicurezza.
Quali motivi? E’ presto detto.
Mi è capitato di avere la possibilità di testare un reader NFC USB e, dato che la mia banca mi ha gentilmente omaggiato (si fa per dire) di una nuova carta dotata della tecnologia nfc, è stato facile fare qualche prova.
L’oggetto in questione è a tutti gli effetti un reader a 13,56 Mhz, la frequenza RFID delle carte di credito ed assomiglia in tutto e per tutto ad una normale penna USB.
Per farla funzionare è bastato installare le librerie open source libnfc rilasciate da nfc-tools e presenti sui vari repositori.
Già con i vari programmi di esempio a corredo il reader riconosce correttamente la mia carta di credito e mostra alcuni dati relativi al tipo di protocollo ed altre informazioni tecniche.
Ma con una piccola ricerca è stato possibile individuare il codice sorgente (scritto in linguaggio C) di programmi in grado di fare molto di più. Di cosa parliamo?
Dopo qualche problema iniziale dovuto alla compatibilità delle librerie (quelle installate sulla mia macchina erano troppo nuove!), sono riuscito a compilare il programma in C in grado di utilizzare il reader NFC USB.
Questo che segue è lo screenshot, opportunamente ripulito dai dati che ovviamente preferisco non divulgare, del test effettuato sulla mia carta di credito.
Come potete vedere, si può leggere il tipo carta, (VISA), il titolare (Cardholder name), il PAN (Primary Account Number) ovvero il numero della carta di credito, la Expiration Date, ovvero la data di scadenza e le chiavi crittografiche.
Con questi dati posso fare diverse cose, nessuna delle quali legali, come clonare la carta od effettuare acquisti online.
Si perché su alcuni siti di e-commerce, anche di importanza mondiale, i soli dati richiesti per effettuare un acquisto con carta di credito sono: il titolare, il numero della carta, la data di scadenza, il circuito; sono tutti dati che come visto è possibile acquisire senza troppo sforzo con una spesa di poche decine di euro per l’acquisto del reader.
Vi faccio notare che se per una transazione effettuata con tecnologia NFC esiste un limite di spesa per singola transazione abbastanza basso, per una transazione effettuata con il metodo tradizionale, ovvero comunicando il numero della carta ed altri dati, questo limite non esiste.
C’è di che essere preoccupati.
Immaginate uno scenario nel quale un criminale si doti di un reader USB e con una prolunga lo colleghi ad un pc portatile, nascondendo il reader nella mano.
Immaginate adesso che il nostro criminale passeggi in un centro commerciale, salga su un autobus o metropolitana affollata. Basterà accostare la mano con il reader alla borsa della signora, alla tasca posteriore dei pantaloni, ecc. per raccogliere dati. Ovviamente non farà sempre centro ma immagino che in capo a qualche ora si possa fare un buon raccolto di dati di carte di credito.
Non mi sono inventato nulla, anche il cinema, la televisione, le università hanno giocato e lavorato su questa minaccia.
Ad esempio in questo video, tratto dalla serie televisiva NCIS, si vede come potrebbe essere possibile fare il trucchetto. Ah, la puntata in questione si intitola “Enemy foreign” ed è del 2010!
Questo per arrivare a una conclusione: considerata la facilità con cui oggi malintenzionati possono utilizzare gli strumenti digitali di cui i sistemi NFC sono un esempio, è necessario che le imprese che erogano servizi e prodotti agli utenti pongano sempre più la sicurezza al centro delle loro strategie. Affinchè sistemi, protocolli e metodologie ad hoc garantiscano la miglior protezione possibile.
Facebook Comments