c.m.g
23-04-2012, 09:21
21 aprile 2012 – 3:25 pm
http://www.anti-phishing.it/wp-content/uploads/2012/04/contactless_card-300x193.jpg
La notizia arriva dall’Hackito Ergo Sum 2012 (http://www.anti-phishing.it/sicurezza-informatica/2012/04/21/hackitoergosum.org/) tenutosi a Parigi dal 12 al 14 aprile scorso per bocca di Renaud Lifchitz ingegnere per la sicurezza di BT (ex British Telecom). Il quale avrebbe individuato un falla nelle carte di credito senza contatto NFC dovuta ad un incredibile leggerezza dei suoi realizzatori. Il problema semplicemente risiede nel fatto che le comunicazione tra carte e terminale non sono crittografate ed al tempo stesso prive di autenticazione. In poche parole viaggiano in chiaro.
Ad un malintenzionato basterebbe avvicinarsi ad una borsa o un portafoglio con un lettore NFC per entrare in possesso di informazioni personali, come il nome completo, il numero della carta, la data di scadenza e le ultime 20 transazioni effettuate con relativo importo.
Impossibile o troppo difficile da realizzare? Sbagliato. Per il malintenzionato è sufficiente un investimento di 40€ per l’acquisto di un dongle usb reader e di un tool open source (https://code.google.com/p/readnfccc/). Oppure se si vuole essere più “discreti” è sufficiente uno smartphone Android dotato di tecnologia NFC come il Samsung Nexus S.
Di seguito le slide presentate da Lifchitz all’Hackito Ergo Sum, con ulteriori dettagli in merito alle possibilità di attacco delle carte contactless
Hes2012 Bt Contact Less Payments In Security (http://www.scribd.com/doc/89942864)
Pdf con descritto l'attacco (http://www.scribd.com/document_downloads/89942864?extension=pdf&from=embed).
Inoltre il video con la presentazione del problema:
http://www.ustream.tv/recorded/21805507
Ulteriori informazioni:
L’incroyable FAIL des cartes bancaires sans contact (NFC) (http://korben.info/les-cartes-bancaires-sans-contact-nfc-ne-sont-pas-securisees.html) – Korben
Les Innovations Visa (http://www.visa.fr/les-innovations-visa/je-paie-sans-contact.aspx) – Visa.fr
Near Field Communication (NFC) (https://it.wikipedia.org/wiki/Near_Field_Communication) – Wikipedia
Fonte: Anti-Phishing Italia (http://www.anti-phishing.it/sicurezza-informatica/2012/04/21/2170#more-2170)
http://www.anti-phishing.it/wp-content/uploads/2012/04/contactless_card-300x193.jpg
La notizia arriva dall’Hackito Ergo Sum 2012 (http://www.anti-phishing.it/sicurezza-informatica/2012/04/21/hackitoergosum.org/) tenutosi a Parigi dal 12 al 14 aprile scorso per bocca di Renaud Lifchitz ingegnere per la sicurezza di BT (ex British Telecom). Il quale avrebbe individuato un falla nelle carte di credito senza contatto NFC dovuta ad un incredibile leggerezza dei suoi realizzatori. Il problema semplicemente risiede nel fatto che le comunicazione tra carte e terminale non sono crittografate ed al tempo stesso prive di autenticazione. In poche parole viaggiano in chiaro.
Ad un malintenzionato basterebbe avvicinarsi ad una borsa o un portafoglio con un lettore NFC per entrare in possesso di informazioni personali, come il nome completo, il numero della carta, la data di scadenza e le ultime 20 transazioni effettuate con relativo importo.
Impossibile o troppo difficile da realizzare? Sbagliato. Per il malintenzionato è sufficiente un investimento di 40€ per l’acquisto di un dongle usb reader e di un tool open source (https://code.google.com/p/readnfccc/). Oppure se si vuole essere più “discreti” è sufficiente uno smartphone Android dotato di tecnologia NFC come il Samsung Nexus S.
Di seguito le slide presentate da Lifchitz all’Hackito Ergo Sum, con ulteriori dettagli in merito alle possibilità di attacco delle carte contactless
Hes2012 Bt Contact Less Payments In Security (http://www.scribd.com/doc/89942864)
Pdf con descritto l'attacco (http://www.scribd.com/document_downloads/89942864?extension=pdf&from=embed).
Inoltre il video con la presentazione del problema:
http://www.ustream.tv/recorded/21805507
Ulteriori informazioni:
L’incroyable FAIL des cartes bancaires sans contact (NFC) (http://korben.info/les-cartes-bancaires-sans-contact-nfc-ne-sont-pas-securisees.html) – Korben
Les Innovations Visa (http://www.visa.fr/les-innovations-visa/je-paie-sans-contact.aspx) – Visa.fr
Near Field Communication (NFC) (https://it.wikipedia.org/wiki/Near_Field_Communication) – Wikipedia
Fonte: Anti-Phishing Italia (http://www.anti-phishing.it/sicurezza-informatica/2012/04/21/2170#more-2170)