Vulnerabilità e sicurezza della tecnologia RFID

Vulnerabilità e sicurezza della tecnologia RFID

Tecnologia RFID

Il desiderio di vedere questa tecnologia al massimo del suo splendore ha offuscato un pò il pensiero che possano svilupparsi virus per l’RFID. Inoltre, gli exploits dell’RFID non sono ancora conosciuti palesemente, quindi le persone immaginano che ogni installazione o applicazione dell’RFID non sia vulnerabile a possibili attacchi.

Sfortunatamente questo punto di vista è solamente un utopia molto lontana; le implementazioni dell’RFID hanno svariate caratteristiche che fanno si che questa sia l’ennesima possibile candidata ad essere sfruttata dai malware.

Alcune peculiarità che ci possono far riflettere sono le seguenti:

  1. Mole notevole di codice sorgente
  2. Protocolli e infrastrutture comuni
  3. Database dei tags
  4. I tags contengono dati interessanti
  5. Sicurezza apparente

Vulnerabilità e sicurezza della tecnologia RFID

Mole notevole di codice sorgente

I tags RFID hanno dei vincoli ferrei che limitano intrinsecamente la loro complessità stessa, ma nel back-end dei sistemi middleware Rfid ci potrebbero essere migliaia se non milioni di righe di codice sorgente. Se pensiamo che i bug presenti in un software in media sono tra i 6 e i 16 ogni 1000 linee di codice, nelle strutture middleware dell’Rfid è come se avessimo una mole infinita di falle sfruttabili. Al contrario, in un sistema middleware di dimensioni minori si possono avere meno linee di codice ma, nella maggior parte dei casi, potrebbe soffrire di un insufficente testing e quindi della possibilità di essere vulnerabile.

Protocolli e infrastrutture comuni

Basandosi sulle infrastrutture Internet, la tecnologia RFID è una soluzione scalabile, e a basso costo anche per lo sviluppo di sistemi middleware RFID. Il problema è che, adottando i protocolli Internet, l’RFID viene affiancato anche dal problema della sicurezza dei protocolli e delle loro vulnerabilità note.

Database dei tags

L’essenza dell’RFID è la raccolta di dati automatizzata, quindi i dati dei tags devono essere collezionati in database i quali poi dovranno rispondere a query di svariate entità a seconda dello uso che ne verrà fatto. I databases sono una delle parti a rischio dell’RFID, anche se la buona notizia è che i tradizionali fornitori di database come SAP e Oracle, si sono messi al lavoro con lo sviluppo commerciale di middleware RFID. La cattiva notizia è che i database sono comunque suscettibili a possibili violazioni della sicurezza. Peggio ancora, essi hanno delle loro proprie classi di attacchi ben determinate come, da non sottovalutare, l’Sql Injection.

I tags contengono dati interessanti

I sistemi RFID sono un target goloso per il criminali informatici. I dati possono contenere informazioni personali o finanziarie, e questo è sempre un punto importante in termini di sicurezza (ad esempio la protezione dei dati dei passaporti digitali). Nel caso l’RFID venisse colpito da un malware, potrebbero verificarsi molti più danni di quanti ne potrebbe fare lo stesso su un normale PC, perchè un malware per RFID ha un vero mondo a parte e oltre al rischio di danneggiare i back-end dei sistemi informatici, potrebbe compromettere qualsiasi oggetto contrassegnato nel mondo reale.

Sicurezza tecnologia RFID

La maggior parte degli attacchi hacker colpisce bersagli facili e i sistemi Rfid come abbiamo detto, possono essere abbastanza vulnerabili perchè nessuno si aspetterebbe un malware RFID, specie se si parla di un sistema non connesso alla rete. Gli sviluppatori di sistemi di comunicazione con tecnologia RFID devono mettere in conto di dover prendere delle misure di sicurezza per proteggere i propri sistemi, e più avanti vedremo quali contromisure potrebbero essere prese per evitare possibili attacchi malevoli.

Pubblicato da Vito Lavecchia

Lavecchia Vito Ingegnere Informatico (Politecnico di Bari) Email: [email protected] Sito Web: https://vitolavecchia.altervista.org

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *