|
As vulnerabilidades de segurança dos chips de RFID MiFare já eram conhecidas há alguns meses, mas novas investigações provaram que é extremamente simples – e barato – conseguir desbloquer um destes chips.
O quase “omnipresente” chip de RFID MiFare Classic é ainda mais fácil de invadir do que se pensava. O alerta foi dado por investigadores de segurança na conferência de criptografia EuroCrypt, em Istambul. Os chips MiFare, fabricados pela NXP Semiconductors, são utilizados diariamente por milhões de utilizadores em todo o mundo em chaves de acesso, passes de transportes públicos e muitas outras aplicações. Um estudante da Universidade de Virginia descobriu uma forma de descodificar a cifragem destes chips RFID. Aparentemente, a cifragem dos chips é bastante fraca, e uma vez descodificada é apenas necessário um computador portátil, um leitor e alguns minutos para obter a chave criptográfica e criar um cartão RFID duplicado. Mas de acordo com os investigadores presentes na EuroCrypt, apenas alguns segundos são necessários para contornar a segurança dos chips com um simples portátil. De acordo com Karsen Nohl, estudante de ciências computacionais, o ataque é muito simples e pouco dispendioso na sua execução, e não é necessário que o atacante tenha qualquer interacção activa com o cartão físico que contém o chip. O ataque pode ser feito de forma passiva a uma distância de dez metros – e levará apenas 200 segundos a executar. Funciona para qualquer gerador de números aleatório, e nem os cartões MiFare Plus, mais resistentes e seguros, estão a salvo. O Governo holandês já lançou um relatório final sobre o tema, com a conclusão de que estes chips, utilizados por milhões de cidadãos holandeses, deverão ser substituídos. Um relatório anterior já dava conta das falhas de segurança do chip, mas considerava que um ataque seria de difícil execução e exigiria equipamento muito dispendioso para ser bem sucedido – não estando, portanto, ao alcance de um hacker médio. A continuação das investigações, porém, veio provar precisamente o contrário.
Muitos sistemas de transportes públicos em todo o mundo utilizam tecnologia RFID nos passes, em substituição dos tradicionais bilhetes de papel. Mas esta mudança implica que qualquer indivíduo poderá, em teoria, conseguir ler um cartão, mesmo quando o seu proprietário o mantém no bolso ou na carteira. Nohl é da opinião que este tipo de tecnologias gera um grande “hype” devido ao conforto que proporcionam – sobretudo em comparação com os sistemas tradicionais. No entanto, não há uma noção clara das ameaças de segurança que representam. |
O criador do núcleo do sistema operativo Linux confessa estar farto do “circo” gerado em torno das vulnerabilidades de software, e o exagero com o qual têm sido abordadas, pelo fabricantes, especialmente do ponto de vista da divulgação. O programador que desenvolveu o núcleo do sistema operativo Linux, Linus Torvalds, manifestou-se, num blog, a respeito da abordagem dos fabricantes e técnicos de software de segurança, e o exagero com que divulgam as vulnerabilidades. Não só pela linguagem e alusões com que o técnico se dirigiu à referida comunidade, as palavras do inventor causaram incómodo na indústria das TI. Torvalds diz-se farto do “circo” que se desenvolve à volta das vulnerabilidades e segurança do software.