Dispositivos pessoais equipados com tecnologia RFID à prova de hack

Lock and glass globe

Dispositivos pessoais equipados com tecnologia RFID à prova de hack

As etiquetas de identificação por radiofrequência (RFID) tornaram-se quase onipresentes – observe com cuidado e você as notará em passaportes, cartões de crédito, livros de biblioteca, passes de acesso ao escritório e até mesmo gatos de estimação.

A tecnologia, que permite a identificação rápida e automatizada de objetos físicos, também é um grampo para muitas indústrias – fábricas e armazéns usam-no para rastrear inventário e gerenciar cadeias de suprimentos, empresas farmacêuticas utilizam para rastrear remédios e serviços de entrega usam para marcar suas entregas. Mas o que aconteceria se a tecnologia RFID fosse comprometida ?

“Uma falha de segurança nas aplicações de RFID estaria vazando informações valiosas sobre objetos físicos a partes não autorizadas”, diz Li Yingjiu, Professor Associado da Universidade de Sistemas de Informação de Singapura (SMU). O Professor Li, especialista em segurança e privacidade RFID, assim como outros aspectos da segurança móvel, está se esforçando para melhorar a segurança na tecnologia.

Melhorando os Protocolos de Segurança RFID

Como as tags RFID funcionam transmitindo informações para leitores eletrônicos de RFID, violações de segurança podem ocorrer se os hackers conseguirem interceptar este sinal de transferência, podendo acessar ou manipular informações. As consequências de tal ataque podem ser graves, diz o professor Li, “no contexto da gestão da cadeia de abastecimento, por exemplo, isso significa que a espionagem industrial pode obter informações sensíveis sobre os níveis de estoque, volumes de negociação, parceiros comerciais e até mesmo planos de negócios” explica.

Para proteger as comunicações entre tags e leitores, o Professor Li e sua equipe estão projetando e testando novos protocolos RFID com recursos de segurança aprimorados, como aqueles em estudo no ano de 2010, “alcançando alta segurança e eficiência em RFID marcamos as cadeias de abastecimento” publicado no International Journal of Applied Cryptography. Essas estratégias incluem tornar a saída do protocolo imprevisível, tornando indistinguíveis duas tags para o hacker e impedindo que eles obtenham informações úteis mesmo que consigam interagir com as tags. Além disso, existem muitos casos em que o compartilhamento de informações RFID – entre fornecedores e varejistas, por exemplo, ou entre vários componentes de uma Internet das Coisas – teria benefícios óbvios, diz o Professor Li. Mas sem controles de segurança adequados, no entanto, a maioria das empresas seria relutando em disponibilizar dados valiosos. Para resolver este problema, a equipe do Professor Li também está projetando melhores mecanismos de controle de acesso que protegem as informações RFID quando é compartilhado na internet.

Teste de tensão para o Smartphone

Nós carregamos RFID em nossos bolsos para diversos lugares – sistemas de pagamento móvel, como o Apple Pay e o Google Wallet. Dada a crescente dependência de smartphones para funções diárias – transações bancárias e pagamentos sem contato, por exemplo –a segurança móvel tornou-se uma área de importância crítica.

Professor Li é particularmente experiente em rastrear potenciais vulnerabilidades em sistemas operacionais e smartphones. Em 2012, sua equipe identificou uma série de ataques que os hackers poderiam usar para atingir aparelhos da Apple. O código para lançar estes ataques – que inclui cracking de código de acesso, interferência ou controle da funcionalidade de telefonia e envio de tweets sem a permissão do usuário – pode ser incorporado em aplicativos de terceiros disponíveis na loja do iTunes.

A equipe relatou suas descobertas à equipe de segurança da Apple e a empresa conectou essas brechas quando seu novo sistema operacional foi lançado no ano seguinte. Eles também escreveram suas descobertas no artigo de 2013, “Lançamento de ataques genéricos em iOS com aplicativos de terceiros aprovados”, que foi publicado no Proceedings of Applied Cryptography and Network Security: 11th International Conference, ACNS 2013. Mais recentemente, a equipe do Professor Li também relatou vulnerabilidades no framework Android e potenciais ataques ao Google, que passou a reconhecer as descobertas do grupo SMY em seus boletins de segurança. A equipe também desenvolveu um conjunto de ferramentas de análise de vulnerabilidade de smartphones em colaboração com a empresa cinhesa de telecomunicações Huawei; Duas patentes decorrentes deste projeto foram valiadas como “potencialmente alto valor” pela empresa. “Vemos as oportunidades de trabalhar com a indústria nesta área, porque é importante para os fabricantes de smartphones fazer sus produtos melhores em termos de segurança”, diz o Professor Li.

celular-gettyimages

Reduzir o fosso entre a academia e a indústria

Há muitas situações nas quais os proprietários de dados podem não confiar inteiramente nos provedores de serviços – quando armazenamos dados em serviços em nuvem ou troca-los por meio de sistemas de mensagens seguros, por exemplo. Em colaboração com o Professor Robert Deng, também da Escola de Sistemas de Informação da SMU, o Professor Li está agora trabalhando para desenvolver novas soluções para criptografia baseada em atributos – uma forma de criptografia que dá aos proprietários de dados um melhor controle sobre quem pode acessar seus dados.

As soluções da dupla, diz o Professor Li, que compartilhavam em um artigo, “Criptografia baseada em atributos de key-policy totalmente segura com ciphertexts de tamanho constante e de criptografia rápida” para ASIA CCS’14: Procedimentos do 9º Simpósio ACM sobre Informação, Segurança de Computadores e Comunicações, tem muitas aplicações em cenários do mundo real. Apesar de sua promessa, no entanto, obter esta pesquisa para o mercado ainda está provando ser um desafio. “Embora possamos provar em teoria e usando protótipos de prova de conceito que nossa solução é melhor do que as soluções existentes em termos de segurança e flexibilidade, ainda é difícil convencer a indústria a adotá-lo sem desenvolvê-lo em um produto final”, Professor Li aponta. De fato, um dos maiores desafios do campo de segurança de dados é o fosso crescente entre a academia e a indústria, diz ele. Equanto as pessoas na indústria estão familiarizadas com o mercado, elas são, em sua maioria, isoladas da pesquisa de ponta; Por outro lado, os acadêmicos prestam muita atenção à pesquisa e não o suficiente para entender o mercado. “O futuro da segurança de dados, na minha visão, é como reduzir a diferença e unir as duas comunidades, que têm incentivos e critérios de avaliação completamente diferentes”, diz o professor Li. Por sua parte, ele acrescenta, ele está ansioso para explorar maneiras de aumentar o impacto industrial de sua pesquisa.

 

Notícia original: phys.org

Tecnologia RFID ajuda a evitar extravios de bagagens

bagagem Quase todo mundo que viaja de avião tem uma história para contar de quando chegou ao seu destino, mas não encontrou as bagagens. A boa notícia é que dados compilados pela Sita, uma empresa de tecnologia para a aviação, mostram um risco fortemente decrescente de que malas sejam perdidas. O ano passado registrou a menor incidência de perda de malas –6,5 peças por mil– nos 12 anos em que a Sita acompanha essa estatística.

Diversos avanços em tecnologia e nos procedimentos de tratamento de bagagem merecem o crédito, entre os quais melhoras nas etiquetas de código de barras e leitores ópticos. Mas esses sistemas têm limites, e o setor de aviação vem sendo lento para adotar métodos utilizados por outros segmentos. “Veja o comércio on-line”, compara Ryan Ghee, especialista em tecnologia de viagem. “As pessoas encomendam algo e, a cada passo da jornada, são capazes de ver onde está seu pacote.”

Já os códigos de barras de malas podem falhar se a etiqueta estiver enrugada, manchada ou se sua posição não permitir acesso fácil ao leitor. Se a etiqueta não for legível, a mala pode ser perdida sem que alguém perceba. Os leitores de códigos de barra têm índice de acerto de 80% a 95%, no caso de etiquetas de bagagem, de acordo com Nick Gates, diretor da Sita responsável pela tecnologia de bagagem. “Se você conseguir melhorar a precisão na leitura das etiquetas de malas, cai a probabilidade de que a mala sofra atrasos em seu percurso pelo aeroporto”, diz.

É por isso que companhias aéreas e aeroportos estão determinados a melhorar o rastreamento, adotando métodos mais novos que o código de barras, empregado há mais de 30 anos. A nova onda são etiquetas que não precisam ser vistas para serem lidas. A americana Delta passou a usar um modelo que tem incorporado um chip de identificação por radiofrequência.

O chip armazena informações da viagem e precisa apenas estar perto de leitores por rádio para que o caminho da bagagem seja registrado. Passageiros podem usar o aplicativo da empresa para rastrear suas malas. “Esse é o próximo passo em confiabilidade”, afirma Rodney Brooks, gerente-geral de operações aeroportuárias da Delta.

A empresa está investindo US$ 50 milhões em leitores, impressoras e etiquetas de rádio. O sistema está sendo instalado nos 344 aeroportos em que a Delta opera e deve entrar em operação neste mês –e, espera-se, pode acelerar a adoção do sistema por outras companhias de aviação dos Estados Unidos. A francesa Air France, a Lufthansa, da Alemanha, e a Qantas, da Austrália, também já testam chips de rádio para identificar bagagens.

Meta Internacional

A adoção generalizada de etiquetas com chips de rádio não tem sido fácil de implementar, a despeito dos esforços da Iata (Associação Internacional do Transporte Aéreo). A organização estabeleceu que, até a metade de 2018, as 265 empresas associadas a ela deverão rastrear bagagens e localizá-las com precisão –em seus voos e quando houver conexão com outras companhias.

“Não importa que tecnologia elas escolham, desde que as malas possam ser rastreadas assim que saírem das mãos dos viajantes”, diz Nick Careen, executivo da Iata. Rastrear bagagens é difícil por diversas razões. Atualizar sistemas para a tecnologia mais recente requer mudanças de infraestrutura que podem ser dispendiosas e incômodas. E a maioria dos aeroportos deixa a cada empresa aérea a tarefa de administrar seu sistema de embarque, o que faz com que as tecnologias e procedimentos variem amplamente.

O aeroporto McCarran, de Las Vegas (EUA), é uma exceção: como parte de sua renovação em 2005, decidiu que adotaria chips de rádio ao sistema de embarque e separação de bagagens. Os chips incorporados às etiquetas de papel usadas em Las Vegas garantem que a bagagem embarcada se movimente de maneira mais rápida e precisa pelo sistema, e elevam a probabilidade de que as malas cheguem aos aviões certos.

“O sistema funciona com muita precisão -em torno de 99,5%”, diz Samuel Ingalls, diretor-assistente de sistemas de informação do aeroporto. Nos últimos dez anos, o McCarran lidou com 160 milhões de malas portadoras de etiquetas de rádio. Existem muitas maneiras para que companhias aéreas e aeroportos usem essas etiquetas. Em 2010, quando a Qantas se tornou uma das primeiras empresas a adotar a tecnologia, começou a vender uma etiqueta reutilizável, de plástico duro, por US$ 60. Um porta-voz informou que mais de 1,5 milhão dessas etiquetas estão em circulação.

As etiquetas de papel de uso único da Delta, como as usadas pelo aeroporto McCarran, são muito mais baratas, e custam alguns centavos de dólar por unidade. Além das companhias aéreas, outros fornecedores desenvolvem versões variadas de malas, etiquetas e apps. A Rimowa, fabricante alemã de bagagens de luxo, tem um código de barras com tinta eletrônica e chip de rádio afixado às malas que vende.

Passageiros que usam essas malas e voam pela Lufthansa podem fazer check-in expresso. “Sempre que você chega com uma dessas malas já etiquetada, pode colocá-la diretamente na cinta transportadora de bagagens e o check-in será automático”, explica Björn Becker, diretor de serviços terrestres e digitais da Lufthansa. Não importa que abordagem as companhias de aviação adotem, Careen, da Iata, ecoa os sentimentos de viajantes ao dizer que os passageiros deveriam “saber o tempo todo onde está sua bagagem”. 

Por Christine Negroni do New York Times para Folha de São Paulo.

Conheça os mecanismos de identidade do futuro

futuredocsAlém de trazerem mais segurança à identificação, os documentos do futuro devem concentrar informações bancárias e tributárias dos usuários. É uma constante em filmes de ficção científica: em algum momento os personagens terão suas retinas, mãos ou rosto escaneados para serem identificados. Hoje, o mecanismo das telonas é realidade e é comum utilizar a biometria para transações bancárias e afins, mas o futuro promete ainda mais: a Estônia, por exemplo, já tem identidades digitais que aglomeram dados sobre 600 serviços públicos e 2.000 privados.
RG do futuro: O documento permite pagar os impostos, certificar habilidade para direção, fazer operações bancárias, acessar planos de saúde e até mesmo votar. Além de simplificar a rotina do portador, garante maior segurança em todas essas operações.
“Passamos de identificações que continham números cadastrados em algum sistema para documentos integrados ao sistema”, explica Alexandre Lima, da Rápido Card, empresa que desenvolve e já emprega as tecnologias de smartcards (cartões que contém um chips responsáveis pelo armazenamento de certificados digitais).
Outra novidade que chama atenção já é adotada em um prédio de escritórios sueco, onde todos os 400 funcionários tiveram um pequeno chip subcutâneo implantado. O dispositivo é programado conforme os níveis de autorização dos colaboradores e as portas se abrem – ou não – para eles desde que estejam permitidos a acessar determinados departamentos.
Para tanto, os chips utilizam RFID (identificação por radiofrequência). Aliada a outros dispositivos cotidianos, como o celular, a RFID pode resultar em uma realidade quase inacreditável. Imagine: sua identidade está vinculada aos seus dados bancários e ao celular, que só funciona após leitura biométrica. Quer comprar um produto? Tudo bem, entre na loja, pegue-o, coloque na bolsa, passe pelo portal que triangula os dados e pronto, você foi para casa sem filas e a empresa recebeu o pagamento direto da sua conta corrente.
No Brasil, as novidades ainda não são para já, mas empresas desenvolvedoras de smartcards se preparam para integrar telas de LCD e teclados sensitivos que adicionam mais níveis de certificação e segurança aos crachás, além de permitirem a inserção de senhas no próprio dispositivo. “Estamos antenados com as últimas tecnologias de identificação e controle de acesso para garantir que nossos clientes ganhem em agilidade e precisão”, conta Alexandre Lima.
Por Segs

Intel quer usar RFID para melhorar a gestão de ativos nos data centers

Etiquetas de radiofrequência já são usadas por alguns fornecedores. Embarcar a tecnologia em chipsets da fabricante daria escala à solução

A Intel estuda embarcar etiquetas de radiofrequência (RFID) em seus conjuntos de circuitos integrados, substituindo o modelo atual pelo rastreamento automático e wireless de servidores, módulos de computação em rede, armazenadores e outros dispositivos de data centers.

datacenter-286386_1280

Atualmente, a maioria dos centros de processamento listam seus ativos físicos do mesmo jeito que as mercearias relacionam seus produtos: com código de barras e scanners. A falta de eficiência é clara e leva à perda de certa porcentagem dos espólios com bases de dados desatualizadas.

As etiquetas de radiofrequência já são usadas no controle de ativos por alguns fornecedores terceirizados, mas a inclusão da funcionalidade nos chipsets da Intel torna as etiquetas de radiofrequência presença obrigatória em virtualmente todos os data centers.

A fabricante já fez os protótipos de seus chipsets com a tecnologia RFID e há pressão dentro da empresa pela inclusão do recurso em sua linha de produção, mas ainda não há decisão formal a respeito.

Com a identificação por radiofrequência, operadores de data center poderiam caminhar por um corredor enquanto checam as informações dos espólios, imediatamente preenchendo uma tabela ou usando um dispositivo como o Google Glass para reconhecê-los.

“Alguns operadores de data center não fazem ideia de quantos dispositivos eles possuem ou quantos servidores operam”, declarou Jeff Klaus, gerente geral de soluções de data center da Intel.

Scott Killian, vice-presidente de programas de energia do Uptime Institute, vê claros benefícios no uso de RFID nos data centers. Até o ano passado, ele era responsável pelos seis principais ambientes da AOL, gerenciando dezenas de milhares de espólios. Na empresa, era exigido o envio de dados a todos os data centers anualmente para financiamento, atividade que tomava dois dias e muitos funcionários para a varredura somente dos os equipamentos em um piso elevado de 274.000m².

O executivo também explicou que a empresa encarava as etiquetas por radiofrequência como o futuro, mas apontavam o custo de implementação como um grande obstáculo – as estimativas para a implementação da tecnologia na AOL ficaram entre US$ 500 mil e US$ 1 milhão.

A maneira exata com que esses dados coletados e transmitidos por etiquetas de radiofrequência estariam disponíveis aos operadores de data centers ainda não foi vista, mas a Intel está no mercado de agregação de dados há um bom tempo e já coleta dados como CPU, memória e energia de placa mãe, além de tornar APIs disponíveis a provedores de gerenciamento de sistemas terceirizados, como os OEMs.

“Os data centers podem saber o endereço IP de todo o seu equipamento e terem logs detalhados dos espólios, mas no período entre inventários, equipamentos são movidos e etiquetas podem cair e o registro de ativos nunca é 100% confiável”, concluiu Killian.

Fonte: Computer World

Cartão que protege dados de cartões RFID é lançado na Austrália

Proteger seus cartões de crédito de skimming (leitura indesejada do cartão) não requer mais a troca da sua carteira, graças a um novo aparelho, lançado na Austrália, que usa interferência eletrônica para impedir a leitura RFID involuntária dos seus cartões.armourcard-wallet

Os principais bancos realmente entraram no jogo de pagamento sem contato, oferecendo aos usuários simples transações de cartão de crédito sem a necessidade de usar uma faixa magnética ou inserir um PIN. Os cartões usam RFID, permitindo que compradores compartilhem eletronicamente os detalhes do cartão com um terminal de pagamento, apenas por aproximação.

Mas enquanto os bancos oferecem garantias de segurança e retorno em caso de fraude, a empresa australiana Armourcard diz que ainda há um segmento do mercado que permanece preocupado com roubo de identidade e skimming.

Carteiras com bloqueio RFID começaram a cuidar desses problemas, mas a Armourcard está investindo no dito primeiro dispositivo de interferência RFID ativo para uso cotidiano.

O dispositivo alimentado por bateria — também chamado Arm0urcard — tem o tamanho aproximado de de dois cartões de créditos empilhados. Dentro de uma carteira ou bolsa, o Armourcard fica inativo até entrar no alcance de um leitor RFID, e nesse ponto ele ativamente interfere qualquer tentativa de leitura usando um sinal da mesma frequência do leitor.

O Armourcard usa a frequência 13,56 MHz, a mesma usada internacionalmente para transferência de dados em cartões de crédito e ePassports, mas foi desenvolvido para não interferir com outros espectros RFID como os usados em cartões de controle de acesso.

Enquanto a bateria significa que o dispositivo vai parar de funcionar, a Armourcard diz que a duração é de até 2 anos com 10 ativações diárias. E para garantir que o aparelho não vai te impedir de fazer um pagamento normalmente, há um pequeno botão que desabilita o sinal interferente ao pressionado.

A capacidade de ligar ou desligar o bloqueio RFID vem com seu próprio nível de conveniência, mas o design do Armourcard também tem benefícios sobre cases tradicionais na capacidade de proteger uma carteira cheia de cartões ao mesmo tempo.

A empresa por trás do dispositivo está entrando lentamente no mercado de acessórios, o que fez necessário uma educação sobre interferência ativa aos consumidores e uma expansão do mercado no varejo para garantir o alcance dos compradores.

A Armourcard começou com as maiores lojas na Austrália, com produtos na JB Hi-Fi, Harvey Norman e Vodafone além das Tech2Go em aeroportos. Devido à interferência de sinal que bloqueia também ePassports com chips (e porque fraude de cartão é mais severa internacionalmente), a Armourcard diz que a indústria de acessórios de viagem é uma parte importante do seu negócio.

A companhia começou também a trabalhar no mercado dos EUA, mas a adoção está lenta devido à falta de interesse em sistemas de pagamento sem contato. Apesar desses cartões com chip serem comuns na Austrália há um tempo e a tecnologia Chip & PIN ter sido oficializada em Agosto do ano passado, os cartões americanos ainda confiam em tecnologia de tarja magnética, com cartões com chip obrigatórios apenas a partir de Outubro desse ano.

Apesar disso, a Armourcard diz que aproximadamente 60 por cento das vendas vem dos EUA através da sua loja online.

O Armourcard está disponível por  AU$59.95, £34.95 ou $49.95 nos EUA.

Fonte: CNET (em inglês)