Carte di credito, un esperto spiega come clonare direttamente dal portafoglio. Titolari impotenti?

"Il trucco c'è ma non si vede" avrebbe detto il mitico Houdini mostrando alla platea incredula il foulard della signora in seconda fila, finito chissà come tra le sue mani. Certo, i tempi cambiano, e oltre ai protagonisti cambiano anche le intenzioni di chi conosce trucchi ed espedienti per impossessarsi delle cose altrui.

Niente di magico sia chiaro, la notizia del giorno ha ben poco a che fare con il mitico illusionista e vede piuttosto ancora al banco degli imputati la nota tecnologia RFID (Radio Frequency Identification), utilizzata per l'identificazione, la lettura e la scrittura di dati a distanza, che trova ormai largo impiego nella nostra quotidianità (il Telepass per l'autostrada è solo un banale esempio) e in alcuni tipi di carte di credito e prodotti c.d. "contactless" emessi da MasterCard, Visa e American Express.

Adam Laurie, esperto americano in sistemi a radiofrequenza, avrebbe illustrato nel corso dell'ultimo Black Hat DC Briefings 2008, conferenza dedicata alla sicurezza informatica tenutasi giorni fa a Washington, come sia possibile rubare i dati di una carta di credito dotata di chip RFID senza neanche farla esibire al titolare.

L'espediente si baserebbe sull'uso di un normale lettore RFID e di uno script in Python per l'hardware realizzato dallo stesso Laurie; a dimostrazione di ciò l'esperto avrebbe invitato un volontario tra gli spettatori a farsi avanti e, senza fargli estrarre la carta di credito dal portafoglio, ne avrebbe mostrato su uno schermo il numero, nome del titolare, data di emissione e di scadenza.

Non solo, l'esperto avrebbe dimostrato come sia facile anche "riscrivere" in alcuni casi sul chip ad insaputa dello stesso titolare. Per illustrare ciò avrebbe cambiato i dati memorizzati su un chip RFID che porterebbe lui stesso sotto pelle, sostituendo i propri con quelli di un animale (spesso infatti il RFID viene usato per marchiare e catalogare il bestiame).

Contattata dalla stampa americana, American Express avrebbe replicato alle parole di Laurie precisando come i propri prodotti dotati di chip RFID siano contraddistinti da una maggiore sicurezza rispetto allo standard e che comunque i dati acquisibili con il sistema usato dall'esperto americano sarebbero insufficienti per un uso illecito in Rete.

A chi credere quindi?

Già in passato, in occasione del lancio del noto orologio "contactless" PayPass Watch (v. approfondimento) ci siamo occupati dei potenziali rischi a cui si presterebbe la tecnologia RFID per i pagamenti. Chi volesse tuttavia verificare di persona le affermazioni di Laurie può visitare il suo sito Internet dove oltre a trovare lo script incriminato è possibile acquistare l'hardware necessario per "sniffare" dai chip altrui.

Redazione InterTraders