sicurezza di sistemi rfid: criticità e vulnerabilità in

Transcript

SICUREZZA DI SISTEMI RFID:
CRITICITA’ E VULNERABILITA’ IN AMBIENTI ETEROGENEI
RELAZIONE DI STAGE [S]
Facoltà si Scienze Matematiche, Fisiche e Naturali
Dipartimento di Informatica
Master in Sicurezza dei sistemi e delle reti informatiche per l’impresa e la P.A.
SICUREZZA DI SISTEMI RFID:
CRITICITÀ E VULNERABILITÀ IN AMBIENTI ETEROGENEI1
Autore: Antonella Alfano
Revisione interna: Gabriele Bocchetta, Daniele Mongello
Data: Marzo 2007
Il presente lavoro è stato svolto nell’ambito di uno stage di formazione presso il Centro Nazionale per l’Informatica
nella Pubblica Amministrazione (CNIPA). Esso viene messo a disposizione degli esperti e specialisti di settore, nel mondo
accademico ed in quello della ricerca industriale, anche al fine di raccogliere osservazioni ed ulteriori contributi.
1
Archiviazione
RFId
File
relazione_stage_alfano.doc
Allegati
Versione
Final
Pagina
1 di 19
SICUREZZA DI SISTEMI RFID: CRTICITA’ E VULNERABILITA’ IN AMBIENTI ETEROGENEI
Sommario
1.
2.
Introduzione.................................................................................................................................................. 3
Le componenti della Sicurezza................................................................................................................ 4
2.1
Il livello di Sicurezza .............................................................................................................................. 4
2.1.1. Requisiti dei livelli di sicurezza .......................................................................................................... 5
2.2
La sicurezza parte dall’impianto: caratteristiche dei dispositivi e classificazione .......................... 6
2.2.1 Caratteristiche dei Tag ......................................................................................................................... 6
2.2.2. Sistema di back-end ............................................................................................................................ 8
2.2.3 Trasmissione dati e Protocolli ............................................................................................................ 9
2.2.4 La Robustezza del tag ........................................................................................................................ 10
3. Sicurezza: sfide dell’RFId ...................................................................................................................... 10
3.1
Sicurezza e Vulnerabilità ..................................................................................................................... 10
3.2
Sicurezza e Minacce ............................................................................................................................. 11
3.3
La relazione: Vulnerabilità - Minacce ................................................................................................ 13
4. Analisi campi di impiego: trattamento delle minacce ................................................................... 13
4.1
Casi applicativi ed in studio: descrizione .......................................................................................... 14
4.1.1 Logistica e trasporto merci: Identificazione univoca delle unità in movimentazione .............. 14
4.1.2 Supporto alle operations nell’Allevamento e in Agricoltura: Tracciabilità agro-alimentare
come garanzia di origine dei prodotti ....................................................................................................... 15
4.1.3 Ticketing CRM di Servizi nel Trasporto Pubblico: Bigliettazione elettronica .......................... 16
4.1.5 Gestione di “asset”: Identificazione e tracciabilità oggetti di valore........................................... 16
4.1.6 Supporto alle operations nei Settori dei Servizi: Miglioramento nella efficienza e qualità dei
processi operativi nelle aziende di Servizi ................................................................................................ 16
4.2
Matrice Minacce - Applicazioni ......................................................................................................... 17
4.3
Gestione del Rischio: cenni ................................................................................................................ 18
4.4
Contromisure ........................................................................................................................................ 19
2 di 19
1. INTRODUZIONE
L’Identificazione a Radio Frequenza (RFId) è una tecnologia per l’identificazione automatica e
remota di oggetti, soggetti e animali che usa tag (transponder) interrogati, attraverso un canale a
radiofrequenza, da lettori o interrogatori (transceiver).
Le sue caratteristiche hanno spinto lo sviluppo di tecnologie per un vasto raggio di applicazioni
ma, al tempo stesso, presentano anche delle vulnerabilità. Infatti, un sistema RFId, anche se
intrinsecamente fidato, può essere sottoposto a minacce relative alla sicurezza delle informazioni che
tratta. Per questo motivo, molta attenzione viene rivolta dalla maggior parte delle organizzazioni alla
sicurezza delle informazioni.
I sistemi RFId possono subire attacchi con lo scopo di sostituire i dati originali presenti nel tag,
con altri dati formalmente corretti ma falsi nel contenuto, rivelando una vulnerabilità ad attacchi che
sfruttano exploit o flaw dei sistemi di back-end. Questa vulnerabilità può inoltre consentire ulteriori
violazioni della sicurezza di tipo “denial of service” (DoS) che, attraverso l’accesso concorrente e
malevolo alla struttura di ricezione delle informazioni, provocano l’indisponibilità l servizio cui il
sistema di tag è destinato.
Dunque l’attacco all’integrità delle informazioni e l’uso di tag come veicolo di intrusione nei
sistemi sono alcune delle più importanti manifestazioni delle vulnerabilità che possono essere bloccate
con un corretto approccio allo sviluppo dell’impianto e conoscenza del sistema da realizzare.
Questo documento si propone di evidenziare minacce e vulnerabilità di sistemi che utilizzano
questa tecnologia, a tale scopo vengono esaminati impianti presenti in campo o oggetto di studio .
Vengono trattati cioè un insieme di casi rappresentativi da un punto di vista dell’impiego nelle moderne
applicazioni della tecnologia RFId.
Il percorso seguito parte dalla definizione delle Proprietà indispensabili alla sicurezza di un
sistema che tratta informazioni, come il nostro; continua con le Caratteristiche fisico-logiche dei
dispositivi coinvolti e che possono giocare un ruolo fondamentale nella caratterizzazione delle proprietà
di sicurezza e/o possono pesare anche su proprietà come la Robustezza dei dispositivi, intesa come
resistenza intrinseca agli attacchi.
Poi si passa all’individuazione delle debolezze che insistono sulle applicazioni dei sistemi RFId
tradotte in termini di minacce e vulnerabilità; attraverso l’Analisi ed il Trattamento del Rischio, poi,
viene valutato l’impatto stimato che l’attuazione di tali minacce produce come perdita dei beni di
interesse, legati alle applicazioni. Infine sono descritte le possibili contromisure che il campo e le attività
fino ad ora sviluppate per queste tecnologie ci permettono di individuare.
3 di 19
Assets
Vulnerabilità
Minacce
Rischio
Contromisure
Attenzione
Figura 1: analisi del sistema RFId
L’introduzione e la diffusione di un sistema che risulta largamente integrato nell’organizzazione di
sistemi esistenti per le strutture, non può prescindere dall’analisi fatta sulla Privacy come
caratterizzazione della sicurezza fondamentale e dalla analisi di studio dell’interoperabilità cui si cerca di
tendere per questa nuova tecnologia, passando attraverso l’introduzione di standard, siano essi
protocolli o frequenze o quant’altro ne aiuti lo sviluppo e la diffusione insieme alle caratteristiche che
ne migliorino gli aspetti di sicurezza.
Il contributo che si è inteso dare attraverso questo documento è stato quello di introdurre la
problematica sicurezza per questo insieme di tecnologie come un elemento di progetto, partendo
dall’analisi dei dispostivi e delle problematiche inerenti la loro integrazione. Il monitoraggio delle
applicazioni presenti in campo o oggetto ancora di studio in relazione all’applicabilità di misure volte a
garantire la tutela o meglio la prevenzione dalle vulnerabilità, dà poi il segno dell’aderenza di questa
tecnologia alle attività quotidiane e delle grandi potenzialità che ancora questa possiede.
La moderna tecnica promette anche attraverso tecnologie come RFId, un rivoluzionamento delle
nostre esperienze commerciali, industriali e mediche, pertanto è importante analizzare potenzialità e
rischi.
«La prima regola di ogni tecnologia usata negli affari è che l'automazione applicata ad
un'operazione efficiente ne ingrandirà l'efficienza. La seconda è che l'automazione applicata ad
un'operazione inefficiente ne ingrandirà l'inefficienza.» Bill Gates.
2. LE COMPONENTI DELLA SICUREZZA
1.1.
Il livello di Sicurezza
L’informazione costituisce il fattore produttivo delle organizzazioni e quindi necessita di una
opportuna protezione. La sicurezza delle informazioni è dunque la protezione delle informazioni da
ogni possibile minaccia, ed ha lo scopo di garantire la continuità del business aziendale minimizzando
ogni rischio associato.
La sicurezza delle informazioni è ottenuta implementando un insieme di controlli che includono
policy, processi, procedure, organizzazione (persone, ruoli), hardware e software. I controlli sono
4 di 19
implementati e rivalutati periodicamente per garantire costantemente gli obiettivi di sicurezza dei
business delle organizzazioni.
Il Security Management è il processo di gestione di un determinato livello di sicurezza dell’informazione e
dei servizi IT. Il livello di sicurezza delle informazioni è espresso in termini di confidenzialità, integrità e
disponibilità.
I livelli di Sicurezza e di Privacy di un sistema RFId sono dipendenti dal rapporto costo/benefici
che il loro trattamento può procurare, cioè risultano strettamente legati alle necessità di impiego
applicative.
Per poter mettere a punto un determinato livello di sicurezza è necessario ottemperare a
normative che definiscono gli ambiti delle responsabilità, che richiedono documentazione ad esempio
relative alle policy di sicurezza adottate o più in generale si parla di adozione di modelli organizzativi atti a
garantire la sicurezza: Information Security Program.
2.1.1. Requisiti dei livelli di sicurezza
Nella gestione dei livelli di Sicurezza di un sistema RFId, i requisiti che si vogliono tutelare sono
essenzialmente la Confidenzialità, l’Integrità e la Disponibilità dell’informazione e la loro preservazione
si realizza attraverso meccanismi di Autenticazione, Non Ripudiabilità e Controllo degli Accessi.
La Confidenzialità riguarda l’aspetto di sicurezza di un’informazione riferito all’accesso
autorizzato al dato trattato, destinandolo solo a persone, processi, risorse autorizzati. Per preservare la
proprietà di Confidenzialità si interviene crittografando le informazioni o usando dispositivi con
protezioni interne.
L’intercettazione non autorizzata delle informazioni (passiva(wiretapping), attiva, interattiva)
Rappresenta una minaccia alla confidenzialità (definita anche snooping).
Inoltre le leggi sulla Privacy di molti Paesi, tra cui anche il nostro, impongono alle aziende che
raccolgono informazioni sui propri clienti, di proteggere alcune di queste informazioni (sensibili)
dall’accesso non autorizzato da parte di estranei. In questo caso il requisito di confidenzialità è imposto
per legge a dal comportamento etico o di immagine della azienda che protegge i dati dei suoi clienti.
Queste considerazioni sono di importanza strategica per le applicazioni che utilizzano le tecnologie
RFId ad esempio in strutture ospedaliere.
L’Integrità, invece, viene compromessa quando una entità accede in maniera non autorizzata al
sistema e ne altera le risorse. Sotto questo aspetto vanno tutelate: integrità del contenuto dei dati ed
integrità della sorgente dei dati in termini di integrità dell’origine o integrità del sistema.
Questa proprietà viene salvaguardata introducendo meccanismi di sicurezza di: prevenzione e
rilevazione. La prevenzione risulta allora possibile utilizzando nella tecnologia RFId l’Autenticazione e il
Controllo degli Accessi che si sviluppa attraverso i meccanismi di Identificazione, Autenticazione ed
Autorizzazione come procedure necessarie al riconoscimento dell’utente legittimo ed alle funzioni che
questo può svolgere.
Nei sistemi di dati trattati dai dispositivi RFId sarebbe possibile utilizzare degli “indicatori” di
integrità delle informazioni stesse, a volte interni alle informazioni stesse, oppure aggiunti.
Si può in taluni casi far uso di funzioni hash per tutelare l’integrità, ma la classificazione delle
caratteristiche di un sistema sono logicamente dipendenti dalla tipologia delle applicazioni.
La Disponibilità rappresenta la capacità di accedere alle informazioni o alle risorse desiderate da
parte dei legittimi utilizzatori ogni volta che questo è necessario. Il tipo di dispositivi che stiamo
analizzando si presta in modo particolare a tentativi intenzionali o accidentali di impedire l’accesso ai
dati rendendoli indisponibili, in questo modo si realizza DoS attack.
5 di 19
Un esempio di attacco alla disponibilità può risultare il semplice sovraccarico del trasformatore
del tag grazie ad un campo molto intenso che lo danneggi irreparabilmente.
L’Autenticazione è per definizione l’associazione di una identità ad un soggetto e avviene
fornendo da parte dell’entità esterna alcune informazioni al sistema. I dispositivi attori della
comunicazione devono dimostrare la propria identità.
L’Autenticazione (e la non ripudiabilità) del client, cioè del tag RFId, avviene attraverso una
comunicazione a RF, che usa una antenna e pertanto possono essere utilizzate in questa fase tecniche di
controllo. L’Autenticazione per il lettore consiste quindi nell’ottenere l’identità del tag ed una prova
che l’identità dichiarata sia corretta. Per ottenere questo può essere usata la logica del tag. Nel caso ad
esempio in cui il dispositivo non si identificasse come utente valido per n volte, si potrebbero accettare
in ingesso tutti i dispositivi, anche se questo però sottoporrebbe il sistema ad attacchi DoS (cioè
minacce che mirano a rendere indisponibile il servizio). L’Autenticazione del server cioè del lettore
RFId risulta complessa e pertanto anche la tutela di questa caratteristica dipende dalla importanza delle
informazioni trattate.
La Non Ripudiabilità definisce l’ impossibilità di negare ciò che si è fatto con le credenziali di
accesso per evitare attacchi volti a copiare il contenuto del tag (anche se criptato) per riutilizzarlo
successivamente (replay attack).. Per evitare funzionamenti non corretti il tag dovrebbe autenticarsi e
trasmettere i suoi dati, solo nel caso in cui riuscisse a dimostrare di avere informazioni che solo il vero
utente possiede.
Il Controllo degli Accessi, segue il semplice principio del “need to Know”, l’accesso alle
informazioni deve essere fornito solo a quelle informazioni di cui si ha assolutamente bisogno. Anche il
controllo degli accessi, costituisce un meccanismo di prevenzione per l’integrità.
A queste proprietà, nello specifico, si aggiunge un’importante proprietà del dispositivo, la
Robustezza del tag durante la inattività, cui dedicheremo maggior attenzione dopo averne definito le
caratteristiche.
2.1 La sicurezza parte dall’impianto: caratteristiche dei dispositivi e
classificazione
2.2.1 Caratteristiche dei Tag
Un tag consiste di un insieme di circuiti integrati in grado di offrire: la possibilità di
memorizzazione dati, limitate capacità di logica/elaborazione ed una antenna. Ciascun tag è
caratterizzato dalla presenza di un identificativo univoco.
Ogni lettore RFId può leggere più tag simultaneamente,e pertanto, possono presentarsi eventi di
collisione nella lettura di più tag contemporaneamente. La presenza eventuale di meccanismi
anticollisione sul tag nella comunicazione tra tag e reader, permette al tag di comunicare a turno con il
lettore. Per far questo occorre un lettore che sincronizzi la coordinazione ed un middleware che
raccolga ed organizzi i dati da inviare al sistema informativo.
6 di 19
Le sue caratteristiche, rappresentate nella figura seguente, sono elementi indicativi che
opportunamente calibrati possono conferire al sistema determinati caratteristiche di sicurezza,
soprattutto con riferimento alla integrità dei dati.
Ponendo l’attenzione alle modalità di alimentazione elettrica e di trasmissione rispetto al lettore, è
possibile distinguere i tag in passivi, semiattivi e attivi.
Le principali caratteristiche fisico-funzionali dei tag sono: frequenza di lavoro, tipo di
accoppiamento, modalità di alimentazione, protocollo di comunicazione, tipo di memoria (modificabile
o codice fisso), tipo di elaborazione per la sicurezza, distanza di lettura (raggio di azione e quindi
distanza massima di applicabilità), possibilità di lettura in movimento, resistenza (a temperatura,
vibrazioni, umidità), packaging, resistenza alle manomissioni (analisi fisica del dispositivo). Con
resistenza alle manomissioni s’intende la proprietà costruttiva che rende impossibile risalire ai dati
contenuti nel tag attraverso la sua analisi fisica (antitampering).
Nell’implementazione di un sistema con questa tecnologia risulta opportuno cvalutare
opportunamente le vulnerabilità proprie del sistema ed adottare gli accorgimenti più idonei al corretto
mantenimento del livello di sicurezza delle informazioni trattate.
Classificazione e sicurezza
I tag più semplici sono di tipo chipless, costituiti dalla sola antenna, che hanno l’unico scopo di
rivelare la loro presenza in vicinanza di un’antenna di lettura. Ne sono un esempio i tag EAS
(Electronic Article Surveillance) usati nei sistemi antitaccheggio.
7 di 19
Spostandoci lungo la linea della loro organizzazione classica, cioè dalla classe 0 alla 4ª, passiamo
da dispositivi del tutto privi di logica (cioè privi di un chip che esegue i comandi del lettore ed
implementa uno schema anticollisione) e di un unico ID identificativo, a dispositivi attivi (autoalimentati
con un trasmettitore attivo a bordo) con ampie capacità di elaborazione crittografiche capaci di
difendersi da attacchi provenienti dalla rete perché sviluppati ad hoc.
Classe 0: Read Only - passivi. Questi sono i tag più semplici in cui i dati, che consistono in un
semplice numero identificativo, vengono scritti sul tag al momento della produzione dello stesso e non
è possibile aggiornare in nessun modo la memoria. Questa classe di tag non possiede nessun sistema di
sicurezza intrinseco e può essere applicata nei casi in cui è necessaria la semplice identificazione univoca
dell’oggetto, integrata con un sistema informativo centralizzato. Appartengono a questa classe anche i
tag EAS usati nei sistemi antitaccheggio. Altri campi di’impiego per questa classe di tag sono: gestione
biblioteche, asset, magazzini, documenti.
Classe 1: Write Once Read Many (WORM) - passivi. In questo caso il tag viene prodotto senza
scrivere nessun dato nella memoria. I dati possono essere scritti dal produttore del tag o dall’utilizzatore
una sola volta, non è possibile nessuna scrittura successiva: a questo punto il tag può essere solo letto.
Si tratta di tag su cui può essere memorizzato solo un identificativo (fino a 256 bit) definito dall’utente.
Come nel caso precedente il tag non possiede capacità di elaborazione tali da implementare sistemi di
sicurezza come crittografia autenticazione ecc.
Classe 2: Read Write - passivi. I tag di questa classe, hanno la memoria utente riscrivibile (con un
ciclo di vita dell’ordine delle 100000 scritture), che può arrivare intorno ai 2 kb oltre ad avere un
identificativo impresso durante la fabbricazione. Dal punto di vista della sicurezza anlcuni tag
appartenenti a questa classe, implementano sistemi per bloccare la scrittura non autorizzata della
memoria utente. Nel caso dei dispositivi Mifare (ISO 14443A) la comunicazione con il reader (con
distanze sempre nell’ordine di 10-15cm) prevede sistemi di crittografia e autenticazione, cosa che in
generale i dispositivi di tipo passivo e a basso costo, come gli ISO 15693, non implementano.
I tag di classe 2 vengono spesso impiegati nei settori dove è utile avere dei data logger direttamente
sull’oggetto (Supply chain, impianti di produzione, ambito sanitario). Alcuni produttori realizzano tag di
classe 2 con caratteristiche anticollisione che prevedono un offset di frequenza in grado di consentire
l’inserimento di numerosi tag nello stesso imballo.
Classe 3: Read Write - semipassivi con sensore a bordo. I tag appartenenti a questa classe sono
equipaggiati con un sensore che consente di registrare, nella memoria utente, parametri quali
temperatura, pressione, umidità, e spostamenti. Questi tag devono necessariamente avere una sorgente
interna di energia poiché le letture devono poter essere effettuate dal sensore in assenza del lettore. Nei
dispositivi semipassivi comunque la comunicazione con il reader avviene, come nei tag completamente
passivi, utilizzando l’energia del campo generato dal reader.
Classe 4: Read Write - attivi con trasmettitore integrato. Questi tag sono come dei dispositivi radio in
miniatura che possono comunicare con altri tag o altri dispositivi in assenza del lettore. Ciò significa che
i tag presi in esame sono completamente attivi e quindi alimentati dalla propria batteria. L’uso di tag
attivi o semi-attivi, dotati cioè di una propria alimentazione e di memoria, consente l’utilizzo della
crittografia, sia asimmetrica che simmetrica, quindi di una autenticazione “forte”. La possibilità di scelta
di un tipo di elaborazione per la sicurezza non è realizzabile su dispositivi a basso costo, in quanto la
fonte di energia a bordo diviene indispensabile per l’impiego di un motore di crittografia.
2.2.2. Sistema di back-end
In campo le applicazioni RFId impiegano una grande varietà di apparati fisicamente distribuiti:
lettori RFId, gateway di accesso, interfacce di gestione, e database.
La struttura di back-end poi rappresenta la parte più vulnerabile ed attaccabile del sistema, su tali
apparati e software può essere concentrata la maggior parte delle contromisure adottate.
8 di 19
Come vedremo tra le minacce, vi è l’SQL injection che infetta i database con virus o altro malware
e rappresenta una delle vulnerabilità più diffuse e verso la quale vengono orientati studi per l’adozione
di opportune contromisure. Molte società hanno già realizzato linee guida essenziali di Reference
Architecture, tramite l’adozione di uno schema architetturale accuratamente progettato, per chi intende
integrare i dati RFId con i propri sistemi back-end aziendali.
Si tratta di soluzioni già pensate per agevolare la gestione dei dati RFId in ambienti di business
altamente dinamici e per massimizzare l'efficienza di sistemi garantendo nel contempo un livello di
sicurezza ottimale.
2.2.3 Trasmissione dati e Protocolli
In un sistema RFId, la Trasmissione dati deve risultare a prova di intercettazione e deve essere
sempre disponibile. Altrettanto sicura dovrà poi essere la trasmissione verso il network applicativo.
Alcune tecniche di sicurezza per la trasmissione dei dati tra tag e lettore prevedono la protezione
dell’informazione mediante tecniche di accesso multiplo come il “resend” (invio multiplo dei dati) o i
codici di ridondanza in grado di correggere errori di trasmissione anche su bit multipli.
Tra le tecniche di accesso multiplo, la Singulation consente di identificare univocamente un tag
attraverso il suo specifico numero seriale discriminandolo all’interno di un gruppo di più tag, gestendo
in modo seriale le risposte alle query che altrimenti entrerebbero in collisione.
Il Tree walking rappresenta un metodo di singulation che scandisce il parco tag vedendolo
logicamente come un “albero” e procedendo in modo esaustivo alla scansione di tutti i possibili serial
number (foglie di un albero). Questo protocollo, non prevede autenticazioni verso il reader, e pertanto
tutti i lettori possono leggerne i serial number dei tag (tranne l’ultimo bit). Sono stati sviluppati versioni
di protocolli che resistono a tali tipi di attacchi (silent tree walking). Il protocollo Tree walking inoltre è
vulnerabile attraverso l’utilizzo di blocker tag che realizzano un DoS (Fonte RSA Laboratory).
Un altro esempio di protocollo ampiamente usato per l’accesso multiplo ai tag è ALOHA (in fase
di standardizzazione), simile al CSMA/CD usato da Ethernet.
Sono stati infine sviluppati protocolli più avanzati per la sicurezza delle informazioni
specialmente nell’ambito dei pagamenti, tra questi ci sono quelli utilizzati nell’NFC (Near Field
Communication). Questo standard prevede modalità di funzionamento in emulazione di tag RFId attivi
e passivi inseriti all’interno di dispositivi Handset (telefoni cellulari, palmari, ecc), virtualizzando
pienamente le funzionalità di una carta di pagamento. La trasmissione delle informazioni tra dispositivi
vengono criptate. In particolare lo studio dell’NFC lavora sulla sicurezza e la interoperabilità, come
capacità di scambiare informazioni tra diversi sistemi software, in generale per l’RFId come capacità di
comunicare tra tag e lettori di differenti fornitori.
9 di 19
2.2.4 La Robustezza del tag
Come abbiamo anticipato, alle proprietà fondamentali della Sicurezza si aggiungono le
caratteristiche intrinseche del dispositivo. Tra queste vi è la Robustezza che si misura nella non
leggibilità e non riproducibilità durante l’inattività del dispositivo tag, ossia nella capacità di resistere a
tentativi di accesso non autorizzato alle informazioni.
La non leggibilità viene soddisfatta mediante la schermatura elettromagnetica del tag (secure shelter),
oppure usando tecniche di jamming (interferenza EM) atte a provocare la collisione dei pacchetti o ancora
facendo uso di tag di mascheramento che provocano l’emissione di segnali interferenti in grado di
rendere difficilmente decifrabile i tag legittimi.
La non riproducibilità può essere gestita ad esempio attraverso l’uso di un meccanismo di
autenticazione (con tecniche di tipo challenge-response). Questa tecnica richiede l’adozione di dispositivi
dotati di processori e memoria (tipicamente tag attivi). L’uso di comunicazioni basate sulla crittografia,
in particolare a chiave simmetrica, assimila questa tecnica a quella di un sistema con buone
caratteristiche di sicurezza. la tecnica dello scrambling infine consente al tag di variare periodicamente la
stringa di dati trasmessa al lettore per renderlo difficilmente riproducibile.
3. SICUREZZA: SFIDE DELL’RFID
L’analisi delle caratteristiche e delle debolezze intrinseche dei sistemi RFId ha portato allo
sviluppo di meccanismi di sicurezza e protocolli di comunicazione in grado di garantire l’integrità delle
informazioni contenute nel tag anche durante la possibile perdita di alimentazione o interruzione delle
comunicazioni. Questo a scapito di un sensibile aumento dei costi della componentistica coinvolta.
Nel disegno dell’architettura di un sistema RFId fondamentale importanza è rivolta al tipo di
applicazione che determina il livello desiderato di sicurezza e privacy.
Frequentemente i sistemi RFId vengono impiegati in contesti in cui sono coinvolti dati sensibili o
di grande valore critico: dagli antifurti delle automobili alle modalità di pagamento automatiche, dai
sistemi di tracciatura dei bagagli negli aeroporti ai dati inseriti in capi d'abbigliamento e beni di lusso,
fino alle informazioni personali contenute nei passaporti digitali. Le risposte alle maggiori
preoccupazioni dei fruitori della tecnologia dipendono dalle misure adottate per arginare le possibili
minacce alle vulnerabilità già evidenziate.
3.1 Sicurezza e Vulnerabilità
Il concetto di Vulnerabilità e Minaccia non può non prescindere da quello del valore del Bene
(Asset): i beni da proteggere che sono tutti all’interno del perimetro dell’analisi di un sistema che si
intende implementare. Gli asset possono essere di tipo dati, hardware, software.
Le vulnerabilità sono debolezze proprie del sistema che possono essere sfruttate, ai fini di portare
un attacco, che determini un impatto sull’asset, o che più in generale minaccino il bene dotato di valore
(la cui valorizzazione può essere di tipo economica o qualitativa). Le minacce sono manifestazioni delle
vulnerabilità, mentre un attacco rappresenta lo sfruttamento di una vulnerabilità.
La vulnerabilità è dunque una caratteristica intrinseca del sistema che può condurre anche
accidentalmente a danni e/o perdite per l’organizzazione.
10 di 19
L’analisi di minacce e vulnerabilità, tenendo conto della loro netta distinzione, serve alla riduzione
del rischio dell’impatto sulla sicurezza che l’uso inappropriato di un sistema può produrre.
In una metodologia finalizzata all’analisi del rischio, come può essere quella del NIST SP800 –
30, le Vulnerabilità valutate per un sistema sotto analisi sono definite attraverso: Dati storici, Analisi di
aspetti fisici, Analisi di aspetti logici, ed analizzate nel contesto del perimetro di sicurezza in cui sono
individuati gli asset da proteggere.
Di seguito vengono brevemente descritte alcune delle Vulnerabilità più comuni a sistemi RFId
presenti in campo.
La distanza di lettura può risultare in taluni casi importante, infatti in assenza del parametro di
Robustezza del tag, ad esempio di crittografia, modificando opportunamente una antenna RFId e/o
utilizzando alte potenze si ottengono distanze di lettura sufficienti a leggere dati ed ID in modo
malevolo.
In altri casi pur utilizzando crittografia a chiavi corte, senza Autenticazione del lettore è
possibile portare avanti attacchi in cui si riesce a risalire alle informazioni (plaintext attack), oppure
attacchi iterati sulle possibili risposte del sistema che vengono riportate in maniera tabellare. In questo
caso i dispositivi sono in un ambiente che manca di confidenzialità , integrità e nessun valore viene
preso in considerazione per affermare la non ripudiabilità del lettore o del tag.
Più in generale sistemi promiscui, possono essere letti da tutti I lettori che tentano di
interrogarli.
Sono poi presenti sul campo sistemi che per il loro ambito di applicazione possono risultare in
presenza di altri dispositivi o componenti che ne inficiano il corretto comportamento, infatti sistemi
con range di lettura e scrittura sofferenti la vicinanza di liquidi, metalli, radiazioni elettromagnetiche
possono risultare non affidabili.
I tag sono poi sicuramente esposti ad attacchi fisici.
L’introduzione di un processo di standardizzazione dei protocolli di lettura/scrittura, potrebbe
sicuramente mitigare la debolezza attualmente presenti sulla maggior parte dei sistemi ad attacchi di
scrittura/modifica/cancellazione dati sui dispositivi.
Risulta non ancora standardizzata anche l’integrazione con altre reti/db; pertanto questa
insieme ad altre tecnologie soffre degli attacchi più diffusi nella parte relativa alla trasmissione dati.
Sono ancora più delicate dal punto di vista della sicurezza le comunicazioni tra lettore e tag;
infatti possono essere facilmente disturbate ed anche interrotte.
3.2 Sicurezza e Minacce
Una minaccia è una potenziale violazione della sicurezza di un sistema che può avere effetti sulla
confidenzialità disponibilità o integrità di un sistema o delle sue singole risorse. In altre parole, la
Minaccia è una modalità di manifestazione di un evento dannoso collegata ad una vulnerabilità. Il
Rischio invece, che è importante valutare in un’architettura di sicurezza di un impianto un volta valutate
le possibili vulnerabilità e minacce, rappresenta la probabilità che si verifichi l’evento dannoso che
determina l’impatto (a Impatto se l’evento dannoso atteso si verifica.
La minaccia esiste di fatto anche quando non è seguita da una violazione e la vulnerabilità è una
debolezza che potrebbe permettere alla minaccia di verificarsi.
In una metodologia finalizzata all’analisi del rischio, come può essere quella del NIST SP800 –
30, le Minacce valutate per un sistema sotto analisi sono definite attraverso: Eventi naturali, Eventi
ambientali, Fattore umano (divisi in Intenzionali ed Accidentali), ed analizzate nel contesto del
perimetro di sicurezza in cui sono individuati gli asset da proteggere.
11 di 19
Di seguito abbiamo descritto alcune delle Minacce comuni a sistemi presenti in campo:
La tracciabilità, pure essendo una peculiarità del dispositivo, rappresenta forse anche la minaccia
più evidente. Un attaccante, naturalmente in maniera non autorizzata, può interrogare un oggetto
contrassegnato con un tag e tracciare, a loro insaputa, le persone che lo posseggono in quanto ignare
delle funzionalità del tag RFId. Esistono in questo caso alcune semplici contromisure per evitare che
persone possano muoversi con oggetti taggati ancora vivi.
In particolare disponendo di lettori, se non sono previste apposite contromisure, è possibile
“origliare” le comunicazioni tra il target e lettore per arrivare alla Identificabilità dell’utente
interrogando il bene. Anche in questo caso l’autenticazione o la memorizzazione di informazioni che
abilitano/disabilitano la lettura possono ostacolare questo tipo di minaccia.
È inoltre possibile eseguire la scansione tag al fine di modificare il valore del bene, cioè una
operazione di scrittura/modifica non autorizzata. Un attaccante può cancellare i settaggi dei tag
impostando a zero anche il numero di EPC e causare un’interruzione del servizio (ad esempio in una
catena di rifornimento, un magazzino, ecc.).
Le comunicazioni sono esposte ad analisi del traffico e l’eavesdropping (origliamento). I
dispositivi di più basso livello sono sotto minaccia dell’attacco man in the middle, cioè una terza parte
può origliare le conversazioni tra i dispositivi ed ottenere così informazioni sensibili per creare ad
esempio tag falsi, lettori non autorizzati oppure per scoprire informazioni memorizzate nei tag(tipo il
codice di autenticazione).
Network snooping si manifesta mediante la intercettazione non autorizzata delle informazioni
che viaggiano su una rete; è una violazione della confidenzialità, e può essere a seconda del livello di
attività: attiva, passiva o interattiva.
Attraverso tecniche di reverse engineering è possibile attuare la minaccia di creare un tag falso per
effettuare spoofing, o creare molti tag falsi per creare un attacco di DoS. In pratica la minaccia si
concretizza nella replica e nella emulazione di tag validi al fine di contraffare un manufatto non
originale oppure per provocare una indisponibilità del servizio confondendo un lettore con una serie di
risposte provenienti da tag falsi.
I tag possono essere esposti ad attacchi fisici, che vanno dal semplice distacco del tag dall’item
taggato alla distruzione (come ad esempio con una fiamma), alla schermatura. In particolare ad
alcune frequenze si possono usare metalli per causare interferenze, impedire che vengano letti i tag
usando la gabbia di Faraday. Inoltre alcuni attacchi mirano a raggiungere nel caso di dispositivi attivi o
semiattivi a far scaricare le batterie. Una possibile minaccia viene definita attraverso l’uso di altri tag da
mettere molto vicini o materiali sensibili come liquidi o metalli per definire una indisponibilità del
servizio che lavoro sulle frequenze di lavoro e viene definita “detuning”.
I blocker tag in particolare vengono utilizzati per interrompere la comunicazione col lettore per
celare ad esempio articoli rubati.
Una altra tipologia di attacco è relativa al jamming, cioè un attaccante con un potente lettore a
banda larga può confondere il lettore autorizzato.
Esistono anche potenti attacchi che mirano a vanificare il sistema anti-collisione.
Un esempio semplice ma immediato di attacco può essere quello di un attaccante che in un
catena alimentare, “uccide” i tag (disattivazione definitiva mediante il comando “kill” sui dispositivi del
sistema) che accettano il comando in quanto senza controllo. Questo basta per interrompere un
servizio e causare danni alla produzione o comunque causare una indisponibilità del servizi.
In modo malevolo inoltre la comunicazione tra tag e lettore può essere bloccata per
interrompere e vanificare il processo di autenticazione. Infatti, ripetute interazioni, o bloccando le
trasmissioni o con l’attacco man in the middle, lasciano la porta aperta alla letture delle chiavi segrete se
presenti.
12 di 19
ficando opportunamente il dialogo con i tag dal lettore risulta possibile far passare attraverso
questi dispositivi alcuni parametri dell’interfaccia di accesso ai DBMS che possono quindi essere causa
dell’”SQL injection attack” che infetta i database con virus o altro malware.
3.3 La relazione: Vulnerabilità - Minacce
In relazione ai casi riportati la correlazione tra vulnerabilità e minacce può essere rappresentata
come segue:
Distanza di lettura
Scansione del tag
Assenza di autenticazione
Scrittura/lettura non autorizzata
Sistemi Promiscui
Distruzione
Range di scrittura/lettura sensibili
Comandi es. Kill
Attacchi fisici
Detuning
Assenza standard protocolli
Network snooping
Integrazione con alter reti/db
SQL Injection
Comunicazione lettore - tag
DoS
4. ANALISI CAMPI DI IMPIEGO: TRATTAMENTO DELLE MINACCE
I campi di applicazione di questa tecnologia sono molteplici: Trasporti, Militare, Industriale,
Medico, Automotive, Marcatura Elettronica degli animali, Dispositivi di pagamento, Eventi sportivi ed
altri ancora. Di seguito analizzeremo i casi applicativi ritenuti più significativi ai fini dell’impiego della
tecnologia e dei vantaggi derivanti da tale impiego, sottolineando gli aspetti relativi alla Sicurezza che
abbiamo anticipato nei precedenti capitoli.
13 di 19
4.1 Casi applicativi ed in studio: descrizione
4.1.1 Logistica e trasporto merci: Identificazione univoca delle unità in movimentazione
Caso: Istituto Ortopedico Rizzoli
L’istituto Ortopedico Rizzoli (IOR) di Bologna è un istituto monospecialistico ortopedicotraumatologico riconosciuto quale “istituto di ricovero e cura a carattere scientifico”.
Dal 2004, presso la Banca del Tessuto Muscoloscheletrico dello stesso IOR, è operativo il sistema
di gestione e tracciabilità dei reperti di tessuto e ossa da trapianto dal donatore al ricevente tramite RFId. Ogni
contenitore di reperti è dotato di tag sul quale sono registrate le informazioni relative al reperto, ai test
effettuati e al donatore. Questa applicazione è a “ciclo chiuso” perché il tag dopo aver seguito il reperto
fino al trapianto, che può avvenire anche in altra struttura, ritorna alla Banca del Tessuto presso lo IOR.
Impiego & Tecnologia:
1) Gestione e tracciabilità di reperti di tessuto ed ossa da trapianto. Presso la Banca del Tessuto
avviene l’etichettatura dei contenitori dei reperti e la registrazione sul tag delle informazioni
relative al reperto stesso (donatore, test eseguiti). I contenitori sono conservati in celle
frigorifere con temperature fino a - 80 °C. Presso la struttura che eseguirà il trapianto viene letto
il tag per l’identificazione del reperto prima dell’intervento. Dopo il trapianto il tag viene
aggiornato con le informazioni relative all’intervento eseguito. Il tag viene quindi riconsegnato
alla Banca del Tessuto. Qui il tag contenente le informazioni sull’intervento, viene letto e viene
automaticamente aggiornato il record corrispondente nel DB dei reperti.
Caso: Istituto Scientifico Universitario S. Raffaele- Unità operativa di Medicina Trasfusionale
L’Istituto Scientifico Universitario San Raffaele di Milano, si sviluppa su circa 300000 mq e
dispone di oltre 1000 posti letto. Attualmente ha attive due applicazioni RFId presso l’Unità Operativa
di Medicina Trasfusionale: supporto al processo di autotrasfusione attraverso identificazione sacche di sangue,
tracciamento contenitori di piastrine
1) L’autotrasfusione viene eseguita nel reparto di Urologia: viene fornito al paziente un braccialetto
RFId contenente i suoi dati anagrafici che conserverà fino ad intervento concluso. Le
informazioni che lo riguardano vengono poi associate all’ID di un tag di identificazione
applicato sulla sacca di sangue, insieme all’ID dell’Operatore identificato tramite ID di un
apposito Tag che ha seguito la funzione. Al momento della trasfusione, si effettua il controllo
incrociato dei dati sul braccialetto e sulla sacca di sangue.
2) Viene effettuato inoltre un tracciamento dei contenitori delle piastrine. I contenitori,
provenienti anche da altri ospedali, vengono contrassegnati con tag contenenti informazioni sul
donatore, il ricevente, l’operatore ed eventuali trattamenti da eseguire sulle piastrine. All’atto
della trasfusione delle piastrine viene effettuato, come nel caso precedente, un controllo
incrociato tra i dati sul tag del contenitore e i dati referenziati dal braccialetto del paziente.
Caso: Istituto Scientifico Universitario S. Raffaele, progetto Drive
Questo Istituto sta lavorando all’armadio intelligente. Viene applicato un tag su ogni confezione di
farmaco che trova posto nell’armadio, in modo che tramite un dispositivo Reader sia possibile rilevare i
flussi in entrata e in uscita dall’armadio effettuando anche verifiche: l’operatore, prima del giro visite,
preleva dall’armadio intelligente le confezioni necessarie, il sistema rileva la confezione prelevata e
verifica la correttezza del prelievo, confrontandola con una picking list precaricata. Tramite WiFi viene
inviata conferma al PC presente sul carrello dell’operatore dell’avvenuto prelievo e il sistema provvede
alla spunta, migliorando così l’accuratezza e la velocità dell’attività.
14 di 19
1) Rilevamento dei flussi entrata-uscita delle medicine in armadio intelligente e controllo
correttezza ricetta : Tag EPC sulle medicine, registrazione dati su DB, reader sull’armadio.
Caso: Azienda Sanitaria 6 di Vicenza
L’applicazione viene sviluppata per assicurare in modalità automatica il processo di identificazione
corretta dei pazienti ottimizzando i tempi. Questo processo è stato in questo modo integrato all’interno
della gestione della terapia farmacologia, anche in considerazione del fatto che l’ASL 6 di Vicenza è una
delle strutture coinvolte nel progetto promosso dalla Regione Veneto per la gestione informatizzata
della terapia farmacologia.
La soluzione implementata con il progetto regionale prevede la rilevazione del trattamento
farmacologico sul singolo paziente ospedaliero tramite l’utilizzo di dispositivi wireless (tabletPC, portatili o
palmari) durante la normale attività di reparto.
1) Durante la fase di registrazione del paziente viene fornito un braccialetto identificativo con tag
contenente i dati forniti in accettazione. Successivamente il paziente viene identificato dal
medico in visita attraverso la lettura dei dati sul bracciale. I tag posti all’interno dei braccialetti
sono passivi, operanti alla frequenza di 13,56 Mhz conformi a ISO 15693.
2) La prescrizione farmacologia per il paziente: viene effettuata dal medico su un tablet PC. I tablet
PC sono collegate in wireless al sistema centrale, dove sono immagazzinati i dati di tutti i
pazienti. Anche la somministrazione dei farmaci avviene in una modalità simile. Viene stampato
dal sistema centrale il “Piano di Somministrazione”. L’infermiere durante il giro di
somministrazione identifica nuovamente il paziente leggendo con il tablet PC il braccialetto
elettronico del paziente. Una volta effettuata la somministrazione l’infermiere registra sul tablet
PC l’operazione. Le informazioni vengono trasmesse tramite WiFi al sistema centrale. I reader
sono delle compact flash che vengono integrate nel tablet PC. Le informazioni sul paziente e
sulla cura farmacologia prescritta e somministrata sono raccolte attraverso PC portatili o tablet
PC connessi alla LAN attraverso una rete wireless, realizzata con access point distribuiti nei
reparti. Alla stessa LAN sono connessi i server su cui sono raccolte le informazioni.
4.1.2 Supporto alle operations nell’Allevamento e in Agricoltura: Tracciabilità agro-alimentare
come garanzia di origine dei prodotti
Caso: Consorzio della Qualità della Carne Bovina della Coldiretti di Milano e Lodi
Il Consorzio è un’associazione di allevatori nata nel 1999 cui afferiscono sia aziende agricole a
conduzione familiare, che impianti di macellazione e lavorazione industriale. Hanno trovato impiego
presso questa struttura tre applicazioni. La prima applicazione riguarda l’identificazione automatica dei capi
di allevamento, la seconda impiega RFId per movimentare le mezzane nei macelli la terza applicazione viene
implementata nei punti vendita chiudendo il ciclo del trattamento dell’allevamento.
1) Identificazione dei Capi in Allevamento attraverso l’impiego di: marca auricolare, tag a 134,2
KHz ISO11784/785 o bolo endoruminale. Le informazioni raccolte sono inviate attraverso un
collettore all’anagrafe bovina. Il sistema di identificazione viene usato anche per gestire le
operazioni interne all’allevamento.
2) La Tracciabilità capi in macellazione utilizza tag a 13,56 MHz riscrivibili. Le informazioni
presenti sul tag del bovino (dall’allevamento) vengono passate ai tag collocati sui ganci che
15 di 19
movimenteranno le diverse parti dell’animale all’interno dei processi di macellazione. I tag sui
ganci saranno quindi di supporto alle diverse operations registrando dati relativi alle lavorazioni.
3) Tracciabilità e prezzamento capo con l’ausilio di tag a 13,56 MHz riscrivibili e passivi collegati
alle bandierine portaprezzo. Le parti di animale arrivano nei punti vendita accompagnati dal tag
di identificazione, attraverso cui è possibile conoscere la provenienza del bovino e con l’ausilio
di un dispositivo di pesatura/prezzatura munito di reader, eseguire la prezzatura automatica
della carne.
4.1.3 Ticketing CRM di Servizi nel Trasporto Pubblico: Bigliettazione elettronica
Caso: APS Mobilità Padova
APS Mobilità si occupa della gestione del sistema di trasporto pubblico urbano della città di
Padova e zone limitrofe, trasportando ogni anno circa 35 milioni di passeggeri. APS Mobilità sta
sviluppando un progetto di bigliettazione elettronica per consentire l’integrazione tariffaria con i vettori che
operano nella provincia di Padova, con la SITA e Trenitalia e l’interoperabilità con i servizi quelli già
presenti a Treviso e Venezia. L’implementazione prevede il biglietto contactless multicorsa, e gli
abbonamenti con smart card ibride (contact+contactless). Attraverso le soluzioni RFId, oltre
l’integrazione tariffaria con gli altri vettori, si intende così diminuire l’evasione rendendo obbligatoria la
convalida del biglietto a bordo delle vetture e rilevare dati utili al miglioramento del servizio.
1) Ticketing su lunghi percorsi/abbonamenti/biglietti cumulativi multicorsa, ingressi in ZTL: per i
biglietti multicorsa tag con 176 bit EEPROM, per gli abbonamenti: smart card ibride con 512
byte di memoria. In entrambi i casi la tecnologia è conforme allo standard ISO 14443 e opera
alla frequenza di 13,56 MHz
4.1.5 Gestione di “asset”: Identificazione e tracciabilità oggetti di valore
Caso: Tracciatura dei Documenti PA. Uffici Università di Messina
Al fine di identificare, monitorare e tracciare la documentazione cartacea e le varie pratiche interne e per
migliorare l'efficienza dei processi amministrativi, l'Università di Messina ha sviluppato, all'interno del
proprio Laboratorio, con partners, un progetto di sperimentazione di nuove tecnologie per il
tracciamento dei documenti, utilizzando tecnologie wireless ed RFD. Il progetto prevede l’uso di tag
posizionati sui documenti e antenne di lettura che permettano di seguire il percorso di un documento,
offrendo così benefici all’archiviazione ed al monitoraggio del processo amministrativo.
1) Gestione flussi documentali per il tracciamento relativo alle pratiche dei cittadini: tag RFId a
13,56 MHz
4.1.6 Supporto alle operations nei Settori dei Servizi: Miglioramento nella efficienza e qualità
dei processi operativi nelle aziende di Servizi
Caso: Biblioteca Comunale di Vignola “Francesco Selmi”
La biblioteca conta oltre 11000 utenti iscritti e dispone di un patrimonio di oltre 76000
documenti tra materiale cartaceo, supporti multimediali e materiale storico consultabile in loco. La
biblioteca utilizza la tecnologia RFId come sistema antitaccheggio, per erogare il servizio di auto-prestito, per
automatizzare la revisione inventariale e per gestire i documenti fuori posto. E’ stato posizionato un tag con un
16 di 19
numero di inventario, su ogni oggetto del patrimonio della biblioteca. Il sistema comprende: una
stazione di inizializzazione dei tag, un lettore portatile, una stazione di auto-prestito e dai varchi
antitaccheggio. Agli utenti sono distribuite tessere identificative contenti un tag RFId utili per l’autoprestito.
1) Tag antitaccheggio sui volumi:, con codice inventario: 13,56 MHz ISO15693 e ISO 18000-3 con
funzione anticollisione e EAS antitaccheggio (sistema di allarme su situazioni di emergenza)
2) Tessera identificativa dell’utente dotata di RFId per effettuare alla stazione designata l’autoprestito. A questo entry point viene associato l’ID dell’utente, attraverso la tessera al quello del
tag, contenuto nell’oggetto. Avvenuta l’operazione l’oggetto è automaticamente autorizzato al
passaggio dei varchi antitaccheggio. Il processo contrario avviene alla restituzione del
documento.
3) Antitaccheggio: i varchi di ingresso/uscita della biblioteca segnalano il passaggio di un oggetto
la cui uscita non è stata autorizzata.
Caso: Processi logistici in Magazzini, Magazzini Doganali ed Ambienti difficili(magazzini a temperatura
controllata, magazzini sterili, ambienti ad elevata umidità)
1) Tag passivi in unità di movimentazione(pallet) o su singolo prodotto: 13,56 MHz
Caso: Dipartimento Ambiente e Territorio – Provincia di Livorno
I 2400 cipressi del viale di Bolgheri, nel comune di Castagneto Carducci, considerati monumento
nazionale, sono stati colpiti fin dagli anni ’70 da una malattia che rende necessari trattamenti fitosanitari.
Il Dipartimento Ambiente e Territorio della Provincia di Livorno, allo scopo di identificare in modo univoco
ciascuna pianta, ha deciso di impiegare la tecnologia RFId. Ogni pianta è identificata con un piccolo tag
inserito nel tronco contenente solo il codice univoco che, attraverso il sistema informativo, viene
associato alla scheda anagrafico - storica della pianta.
In occasione dei controlli sui cipressi gli operatori accedono, tramite reader, alle informazioni
storiche della pianta presenti sul DB e inseriscono le informazioni sui trattamenti necessari.
1) Identificazione per monitoraggio cipressi monumentali che necessitano trattamenti fitosanitari:
tag cilindrico operante a 131, 6 KHz con 264 bit di memoria
4.2 Matrice Minacce - Applicazioni
La matrice che segue riassume in un quadro sintetico gli elementi indicativi per valutare potenziali
minacce al sistema RIFd. è ed è stata creata sulla base delle informazioni e delle applicazioni di cui
abbiamo conoscenza e che sono state esposte in questo documento. Pertanto possono non essere state
riportate eventuali contromisure o sistemi supplementari che nel frattempo possono essere state
implementate e di cui potremmo non avere visibilità.
17 di 19
Tracciabilità
Identificabilità
Scansione tag
Scrittura/modifica non
autorizzata
Cancellazione tag
Analisi del traffico
Eavesdropping
Man in the middle Attack
Network snooping
Spoofing
DoS
Distacco
Distruzione
Schermatura
Scaricare le batterie
Blocker
Sistema anti-collisione
Jamming
Blocco Comunicazione
Detuning
SQL Injection
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X¹
X
X²
X³
X
X
X
X
X
X¹
X
X²
X³
X
X
X
X
X
X¹
X
X²
X³
X
X
X
X
X
Dip.to Ambiente e
territorio
Logistica Magazzini
Biblioteca Comunale
Vignola
Università di
Messina
APS Mobililtà
Consorzio Carni
Bovine
ASL 6 Vicenza
X
X
X
X
X
X
X
X¹
X
X²
X³
X
S. Raffaele Prog.
Drive
S. Raffaele
Isti.Trasfusionale
Azione della Minaccia
Ist.Ortopedico
Rizzoli
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X¹
X
X²
X³
X
X
X
X
X
X¹
X
X²
X³
X
X
X
X
X
X¹
X
X²
X³
X
X
X
X
X
X¹
X
X²
X³
X
X
X
X
X
X¹
X
X²
X³
X
X
X
X
X
X
X
X¹
X
X²
X³
X
X³
X³
X³
X³
X³
X³
X³
X³
X³
X³
X1 Per i dispositivi attivi o semi-attivi
X² Per sistemi dotati di dispositivi anti-collisione
X³ Dipende dal tipo di dispositivi adottati o sistemi, in termini di potenza lettore, tecniche di protezione del sistema di
back-end
4.3 Gestione del Rischio: cenni
Per comprendere il significato del Rischio nell’ambito della sicurezza delle informazioni possiamo
dire che questo è una funzione della Probabilità che si verifichi un evento dannoso che determina un
Impatto (danno atteso se l’evento si verifica). La Probabilità suddetta a sua volta può essere determinata
da eventi accidentali o deliberati.
Nell’ambito della definizione di un sistema che si intende proteggere, l’attività di Gestione del
Rischio è riconducibile a due fasi distinte: Analisi del Rischio e Controllo del Rischio. La prima fase in
particolare risulta fondamentale ed ha come scopo quello di associare ai beni (Asset individuati nel
nostro sistema: persone, oggetti, know how, hardware, software, etc.) il livello di rischio per le coppie
Vulnerabilità-Minaccia. All’analisi segue la Valutazione del rischio individuato. Questa fase è anche essa
molto delicata e può seguire due approcci distinti: Quantitativo e Qualitativo. La scelta di uno dei due
approcci determinerà il tipo di risultato, in quanto la stima del primo segue essenzialmente la strada del
danno economico e si basa su misurazioni statistiche basate sulla misurabilità concreta dell’Impatto,
anche se portano ad una visione ristretta della complessità del rischio. Il secondo invece valuta e
classifica il rischio secondo una scala di valori non economici. Risulta semplice da applicare ed è
previsto dagli standard internazionali, ma non dà una misurazione economica.
L’attività correlata alla Gestione del Rischio, consiste in un processo che deve essere inquadrato
nella realtà organizzativa da analizzare, e come tale, rappresenta un costo che, in fase di analisi
implementativa di un sistema, deve essere prevista a budget ed essere coerente con gli obiettivi di
sicurezza aziendali posti a monte.
18 di 19
Esistono varie metodologie a cui riferirsi per impostare tale processo: NIST SP800-30, CERT
OCTAVE, STAR, MEHARI, Microsoft Security Risk Managment Guide, Treat and Risk Assessment
Working Guide. A supporto di queste metodologie sono disponibili nel mercato, strumenti automatici e
tool per lo svolgimento della Gestione del Rischio (CRAMM, COBRA, ecc.).
4.4 Contromisure
Le contromisure da adottare nell’improntare un sistema RFId sono commisurate all’analisi del
rischio relativo all’impatto che la perdita del bene ha determinato. Di seguito elenchiamo alcune delle
contromisure adottate nei casi di campo più comuni.
La disattivazione elettronica del tag mediante il comando “kill” rappresenta una delle
operazioni più semplici ma necessarie da effettuare per garantire che possa essere eliminata la
tracciabilità indesiderata come può accadere nel caso, ad esempio, si superi un varco che limita il
perimetro di lettura necessaria del tag. Allo stesso modo si ricorre alla rimozione forzata o sistemi di
penalità per la mancata eliminazione fuori dall’area d’interesse dei dispositivi. In alternativa può essere
utilizzata anche una informativa chiara all’utente per l’autoeliminazione.
Con riferimento agli aspetti di privacy, è prassi consolidata richiedere il consenso esplicito al
trattamento dei dati personali. Meno consolidata,, ma ugualmente importante, risulta la prassi
dell’obbligo di richiesta di autorizzazione al Garante per le applicazioni che consentano la
localizzazione geografica e/o che profilino il comportamento delle persone.
La prima barriera all’accesso indesiderato ai dispostivi può essere rappresentata da procedure
relative alla Identificazione, Autenticazione e Autorizzazione poste alla base del Controllo degli
accessi. Si può poi procedere utilizzando una Crittografia minimale orientata alla sola cifratura del
codice identificativo (encryption periodica da parte del lettore e hashing del codice da parte del tag)
proseguendo, mediante dispositivi con caratteristiche tecniche che lo consentano, con l’applicazione
delle funzioni Hash e della Crittografia asimmetrica, e più in generale ricorrendo al Resource hiding
(l’attenzione cioè a nascondere le informazioni). Altre tecniche più sofisticate vedono l’adozione di
blocker tag tree-walking, che esegue un blocco delle funzionalità del lettore.
Una contromisura adottata per rendere più complesse le trasmissioni di informazioni in un
sistema RFId per disorientare chi “ascolta” le trasmissioni tra tag e reader con intenzioni malevole si
possono impostare tecniche basate sul rapporto segnale/rumore per le quali la trasmissione avviene a
distanza pre-fissata.
Le più recenti applicazioni e studi hanno visto la nascita di nuovi Protocolli che posseggono
molte caratteristiche di sicurezza utili a vincere i più diffusi attacchi.
19 di 19

sicurezza di sistemi rfid: criticità e vulnerabilità in

Transcript

Documenti analoghi

DUA-TAG:Layout 1

La tecnologia RFID entra nell`Università Cattolica di Milano

Orologio per controllo ronda mod. Proxipen Caratteristiche Principali

T-Track

Scarica la brochure - Follow Me Technology

più piccolo di un cellulare affidabile, robusto e pratico

Consigli flash per tutelare la tua privacy se metti

(VI) - Italy TEL: +39/0445/579035 FAX: +39/0445/575708

APPR DIZIONARIO RFID IMP c_Layout 1