Vulnerabilidades de las tarjetas inteligentes RFID

Lea la pregunta Cómo ingresar a la auditoría de RFID ya que hay algunos enlaces muy útiles allí.

Las tarjetas sin contacto y las tarjetas RFID son solo un pequeño núcleo informático con una funcionalidad limitada y un transceptor de radio que no solo alimenta la tarjeta cuando hay una señal de radio, sino que también recibe y transmite datos dentro de un rango pequeño.

La diferencia habitual es que la RFID se usa generalmente para referirse a una tarjeta que se identificará cuando se le solicite, mientras que el término de la Tarjeta sin contacto generalmente se refiere a una RFID con algún almacenamiento a bordo para pequeños pagos sin tener que insertar una tarjeta en un o escriba un pin, por ejemplo, tarjetas Oyster para pagos de viaje en el metro de Londres.

Los riesgos en torno a la clonación se ven mitigados en gran medida por el motor criptográfico en la tarjeta, y el equipo de Ross Anderson en Cambridge sigue encontrando nuevos ataques en el laboratorio , pero el riesgo clave sobre las tarjetas que deben insertarse es que un atacante solo necesita estar en la proximidad general, y no necesita robar el Carta, reduciendo la dificultad de ataque. El rango, aunque se supone que es muy corto, puede incrementarse por los atacantes que usan equipos de mayor potencia y antenas de mayor ganancia.

La nueva ola de funciones de la Tarjeta sin contacto, que permite los pagos con tarjeta de crédito / débito, solo extiende este riesgo un poco más al aumentar la cantidad de fondos a los que se puede acceder.

Hay un charla sobre biométrica y RFID que tiene una discusión de algunos de los problemas con las tarjetas RFID, incluidos los mecanismos de seguridad débiles / rotos, los mecanismos de seguridad que no están (es decir, que el proveedor afirma que están presentes pero que no lo están), y el hecho de que la interfaz sin contacto introduce nuevos métodos de Ataque que no está presente en las tarjetas de contacto.

En general, sin embargo, depende de para qué los quieras usar. Las tarjetas sin contacto, como la biométrica, son principalmente por conveniencia y no por seguridad.

Por lo general, para los sistemas de estacionamiento y de venta sin efectivo, los fondos reales residen en un servidor o en una base de datos de almacenamiento de TI y simplemente hacen referencia al saldo de dinero en una cuenta que está vinculada al número de la tarjeta, de esta manera si una tarjeta se pierde o es robada. la tarjeta puede simplemente retirarse y bloquearse y emitirse una tarjeta de reemplazo que luego se conectará a la cuenta monetaria existente en lugar de tener fondos físicos almacenados en las tarjetas.

Las áreas de alto riesgo deben protegerse con autenticación de múltiples factores, ya sea una tarjeta RFID / sin contacto para identificarse con el número de huella digital / PIN u otro mecanismo secundario para verificar que la persona que intenta ingresar es el propietario legítimo de la tarjeta.

Con cualquier tipo de método de identificación física, los procedimientos relacionados con la emisión y gestión de tarjetas son más críticos que la tecnología, ya que, en general, los ataques son oportunistas o por medio de lagunas como las tarjetas desactivadas incorrectamente.

Trabajo para un fabricante de control de acceso, también nos integramos con un dispositivo de red de seguridad lógica para evitar que las personas inicien sesión en una PC o servidor en el edificio a menos que hayan usado el sistema de control de acceso para ingresar al edificio, sin embargo, esto solo es efectivo si existen métodos como anti-pass back y barreras físicas de un solo giro para obligar a todos a presentar una tarjeta para entrar / salir del edificio.