Pagare con le carte di credito contactless è rapido e comodo, ma ancora non abbastanza sicuro. Per fortuna, una nuova generazione di carte è già in fase di sviluppo grazie a innovativi materiali che ridurrebbero drasticamente la capacità dei criminali informatici di rubare i nostri dati.
Premessa: tutti i dati che viaggiano nell’aria possono essere intercettati
Avete presente quando per pagare con la vostra carta di credito o bancomat dovete digitarne il pin? Questione di pochi secondi è vero, ma dopo aver “cancellato” il denaro digitalizzandolo si punta ad azzerare anche questa “micro-attesa”. Ogni step viene automatizzato, reso invisibile. Eppure l’invisibile ai nostri occhi è in verità una giungla di dati e segnali che rimbalzano da un dispositivo ad un altro. Messaggi, mail, transazioni, il costo di un caffè acquistato al bar, tutto viaggia nell’etere. Sono dati che chi conosce questo mondo può cogliere, leggere e riusare a scopo malevolo. Come il wi-fi di casa nostra può essere “sniffato” (spesso dal simpatico vicino scroccone), lo stesso vale per le microtransazioni senza contatto. Recentemente abbiamo parlato della possibilità (remota, ma nemmeno tanto) che una persona dotata di un’antenna RFID nascosta possa rubare i dati di una carta anche a metri di stanza, in qualsiasi luogo pubblico e senza la mediazione di un POS tradizionale. Ma il problema si pone anche se vicino alle tradizionali casse (al tabacchino, al supermercato, al bar) venissero posizionati specifici dispositivi per captare lo scambio di segnali tra carta e POS.
Come sono fatti i chip delle contactless
I chip Rfid presenti sulle carte bancarie sono il cuore delle transazioni contactless. Troviamo questi chip nei pos, ma anche sotto forma di Nfc negli smartphone e nei sempre più diffusi wearables, tutti quanti ormai utilizzabili per pagare. La tecnologia Radio-Frequency Identification permette l’identificazione delle informazioni grazie a dati immagazzinati sotto forma di tag, o etichette elettroniche, che vengono interrogati da dispositivi a distanza, i cosiddetti lettori o reader.
Rispetto alle “vecchie” bande magnetiche o ai codici a barre, i dati nel chip possono essere letti, modificati e aggiornati in una frazione di secondo.
Il momento esatto in cui possono fregarci i soldi
Ogni volta che avviciniamo la carta ad un lettore avviene uno scambio di energia per induzione proveniente dal lettore stesso, che va ad alimentare la carta. Durante questa comunicazione tra carta e lettore, un hacker abbastanza bravo ha la possibilità di cogliere segnali utili per estrarre dati sensibili, un attacco noto come side-channel.
Una soluzione implementata negli anni è stata quella di modificare costantemente la chiave segreta di protezione, riducendo (ma non eliminando) la probabilità di furto di dati. Infatti, grazie alla tecnica del power-glitch, interrompendo l’alimentazione è possibile guadagnare tempo per leggere la comunicazione più volte fino a captare la chiave.
Dalla Texas Instruments i nuovi chip anti-attacco
Fortunatamente sono in arrivo importanti novità antifrode. Tra i primi a lavorarci c’è Texas Instruments, che sulla base delle linee guida del Mit, si è attivata per aumentare la sicurezza dei chip Rfid. In questa ottica sono stati presentati diversi prototipi da testare sul campo, dotati di caratteristiche innovative quali un alimentatore e una memoria non volatile per bloccare gli attacchi legati al blackout del chip. Come? Grazie all’impiego di materiali noti come cristalli ferroelettrici in grado sia di immagazzinare informazioni sia energia.
Durante un attacco power-glitch, il chip sarebbe capace di autoalimentarsi in attesa del ripristino del lettore, senza rimanere isolato in balìa dell’attacco. I nuovi dispositivi sono stati presentati da poco alla Solid State Circuits Conference di San Francisco.
«Nell’era della connettività onnipresente, la sicurezza è la più grande sfida con cui confrontarci. Crediamo che questa ricerca sia un passo importante per offrire all’industria di Internet un protocollo di autenticazione robusto, economico e a basso consumo energetico», dice Ahmad Bahai, CTO di Texas Instruments. Il rovescio della medaglia è probabilmente un rallentamento dello scambio dei dati. Staremo a vedere che succede.
Valentino Megale
@Quantic_Maker