Una panoramica sul mondo della Sicurezza Informatica, del Networking, della Virtualizzazione e non solo. Blog particolarmente indicato per i reparti IT che comunque alterna articoli scritti per specialisti con articoli formulati con linguaggio semplice e comprensibile a tutti.

Ogni articolo di questo blog è stato integralmente scritto dall'autore. Il contenuto è completamente originale e la riproduzione, anche parziale, è vietata salvo autorizzazione.

mercoledì 29 giugno 2016

La tecnologia contactless delle nuove carte di credito è sicura?

Ho dovuto rinnovare la mia carta di credito ed ho avuto una "splendida" sorpresa. La mia nuova carta è contactless.

Ho "storto il naso" perchè ricordavo degli articoli di fonti autorevoli (Kaspersky Labs ed altri) che elencavano attacchi proprio su questo tipo di tecnologia. Ed ho provato ad approfondire con tanto di laboratori. Ma andiamo con ordine.


Tecnologia


La tecnologia contactless prevede il pagamento avvicinando la carta sul lettore. Il sistema funziona via NFC a 13.56MHz, una sottoclasse delle tecnologie RDIF. Un'antenna attiva sollecita un tag passivo contenuto nella carta, alimentandolo e leggendone le informazioni. Qualsiasi dispositivo NFC opportunamente dotato di software (nemmeno tanto) specifico può leggere il contenuto del tag.

Ogni transazione carta-pos genera un codice onetime, quindi la lettura della carta diviene utile per una singola transazione.




Limite per transazione


Normalmente il limite delle transazioni contactless è di 25 euro a transazione, superabile inserendo un pin oppure firmando lo scontrino. Ora... non è che per un maleintenzionato lo scontrino sia proprio un deterrente eh...

Dal blog di Kaspersky Labs si apprende che una coppia di ricercatori britannici ha bypassato il limite di transazione mettendo offline il POS e pagando in un'altra valuta, portando la somma erogata ad 1 milione di euro. Limite che comunque la propria banca non erogherebbe (si spera), ma comunque che apre una finesta sulla possibilità che vulnerabilità future possano alterare questa protezione.




Sicurezza


Allo stato attuale e a differenza di quanto affermato da MasterCard e Visa, vi sono diversi studi che dimostrano le fragilità di questo sistema.

Tanto per iniziare, abbiamo detto che dispositivi NFC possono leggere il contenuto della carta di credito. Normalmente il proprio telefono viene spesso appoggiato al portafoglio. Con questa "visione illuminata", due ricercatori hanno dimostrato la possibilità di infettare un dispositivo android (senza necessitare di permessi di root e anche a display bloccato) al fine di recuperarne le informazioni utili a sviluppare una transazione bancaria.


Quando un dispositivo è in grado di leggere il contenuto di una carta, avvisa il maleintenzionato che a sua volta può effettuare una transazione creando un collegamento con il binomio smartphone-carta vittima.



La crittografia, inoltre, è molto più efficace nel momento in cui è basata sull'utilizzo di un codice PIN, cosa che nella tecnologia contactless viene meno.

Lo standard EMV, inoltre, prevede che alcune informazioni come l'ultima transazione o il numero della carta possano essere memorizzate in chiaro senza alcuna crittografia. Facilmente reperibili con una banale app per android.





Diversi si sono occupati dell'argomento:



tra cui anche le nostre Iene in un servizio, tuttavia e come spesso accaduto quando si occupano di temi estremamente tecnici, molto criticato.




Sfatiamo qualche mito


I sostenitori della tecnologia indicano tra i punti più forti a favore della sicurezza, il fatto che una carta contenuta in un portafoglio non può essere "accidentalmente" letta, ma va estratta. Questo non è affatto vero in quanto il tag supera abbondantemente di un paio di centimetri tutti i portafogli testati.

E' possibile, inoltre, sviluppare un'antenna fuori standard ed estendere il raggio di azione a 80 cm http://www.surrey.ac.uk/mediacentre/press/2013/114636_contactless_payment_cards_research_highlights_security_concerns.htm

E' di un anno fa, inoltre, questa notizia http://www.dailymail.co.uk/news/article-3171431/Thieves-use-scanners-steal-account-details-contactless-card-wallet.html in cui si solleva l'argomento e si fa luce sulla relativa facilità con cui operazioni fraudolente potrebbero avvenire.




Conclusione


Tanto per iniziare, sicura o meno che sia questa tecnologia, mi fa rabbrividire che senza una duplice volontà dell'utilizzatore, la carta possa dare l'ok a procedere su una transazione finanziaria. Inoltre non ne trovo assolutamente l'utilità, tanto poggiare la carta, tanto inserirla e far leggere un chip.
Ad ogni modo, giusto per non sbagliare e nulla togliendo ai ricercatori di Visa e Mastercard, "senza saper nè leggere nè scrivere", io ho comprato un portafoglio schermato. E se non volete investire 50 euro per un portafoglio schermato, questi contenitori "RFID STOP" costano pochi euro https://www.amazon.it/KORUMA-Blocco-Contactless-Porta-credito/dp/B018I90WMA ...senza scendere nel dettaglio dei protocolli crittografici utilizzati dal sistema EMV... potrebbe valere comunque la pena adottare sistemi "ignoranti" (certamente i più efficaci) se non si ha la necessità di pagare senza staccare le mani da un mandolino (ve la ricordate la pubblicità, vero?).




Discaimer: Ogni articolo di questo blog è stato integralmente scritto dall'autore. Il contenuto è completamente originale e la riproduzione è vietata salvo autorizzazione.
Pubblicato da
Etichette:
Iscriviti a: Post (Atom)