Logotipo do Site Inovação Tecnológica





Informática

Quebrada criptografia de etiquetas inteligentes RFID

Redação do Site Inovação Tecnológica - 03/02/2005

Quebrada criptografia de etiquetas inteligentes RFID
Os chips cuja criptografia foi quebrada são utilizados em chaves de automóveis e em sistemas de compra automatizada de gasolina nos Estados Unidos.
[Imagem: Bono et al.]

Etiquetas inteligentes

A tecnologia RFID ("Radio Frequency IDentification") é a grande estrela do momento. As maiores redes de lojas do mundo já se preparam para colocar etiquetas inteligentes na maioria dos bens, permitindo que seus estoques sejam controlados sem a intervenção humana e que se saiba exatamente onde um determinado bem está naquele exato instante.

Cada etiqueta inteligente contém um minúsculo chip dotado de memória e capaz de efetuar transmissões de rádio. Isso coloca a RFID na categoria das tecnologias "wireless". Ao contrário dos atuais códigos de barras, as etiquetas podem ser lidas à distância, de forma totalmente automatizada, sem que o produto tenha que estar ao alcance da visão de um operador.

Mas antes de chegar às prateleiras dos supermercados, as etiquetas RFID já dominaram mercados mais nobres. São elas que estão no interior das chaves de automóveis que destravam o carro pela simples aproximação do seu proprietário - na verdade, pela simples aproximação do transmissor da etiqueta inteligente que está dentro da chave.

Ao contrário do que se pensa, os minúsculos transmissores de rádio não têm grande alcance, exigindo uma proximidade de poucos centímetros - ninguém nunca conseguirá passar na rua e usar um transmissor para descobrir o que você comprou no supermercado.

Criptografia RFID

Como contêm dados sigilosos - o código secreto do seu carro, por exemplo - as informações gravadas na memória das etiquetas inteligentes têm que ser bem protegidas. Agora cientistas da Universidade Johns Hopkins e dos Laboratórios RSA, especializados em criptografia, descobriram que não é nada difícil descobrir esses códigos. E mais, utilizando aparatos eletrônicos comprados no mercado com facilidade.

A descoberta, descrita em um artigo científico, indica que a criptografia utilizada nos chips RFID das chaves de automóveis e em sistemas de abastecimento de combustível (muito utilizados nos Estados Unidos de forma parecida a um cartão de crédito) não são capazes de manter os ladrões à distância.

Utilizando equipamento eletrônico relativamente barato, criminosos podem capturar dados da chave ou da etiqueta de pagamento eletrônico apenas se aproximando delas, sem a necessidade de contato direto, e utilizar esses dados para quebrar a chave de criptografia que protege suas informações. Obtendo essa chave, os ladrões terão mais facilidade para desativar o sistema anti-roubo do automóvel e até mesmo gastar seus créditos na compra de combustível.

A vulnerabilidade

Os pesquisadores descobriram a vulnerabilidade estudando o sistema de identificação e o sistema de registro fabricado pela Texas Instruments, o sistema de segurança por rádio-freqüência de baixa potência mais utilizado em veículos no mundo todo. Os pesquisadores afirmam que mais de 150 milhões desses transponders RFID equipam veículos de pelo menos três grandes fabricantes. Eles estão também em 6 milhões de "chaveiros" utilizados para compra automatizada de gasolina.

"Nós descobrimos que as medidas de segurança que fazem parte desses equipamentos são inadequadas," afirma Avi Rubin, um dos autores do estudo. "Milhões de etiquetas que são atualmente utilizadas pelos consumidores têm uma função de criptografia que pode ser quebrada sem que haja contato direto. Um invasor que quebre a chave secreta em uma etiqueta RFID poderá contornar as medidas de segurança e enganar leitores em carros ou em postos de gasolina."

Os leitores a que se refere o pesquisador são a segunda parte do sistema RFID, aquela que recebe a transmissão feita pela etiqueta inteligente. Nos exemplos dados, os leitores ficam no próprio carro, no posto de gasolina ou ao lado da passagem do pedágio.

"Tanto em carros como no comércio, a tecnologia RFID vem se tornando essencial para a segurança na vida diária," afirma Ari Juels, dos Laboratórios RSA. "É importante que os equipamentos RFID ofereçam um nível de segurança compatível com o valor dos bens que eles devem proteger. Nosso objetivo é ajudar a indústria a atingir esse padrão."

O sistema de identificação por rádio-freqüência estudado pelos pesquisadores foi projetado para evitar roubos de automóveis, permitir pagamentos sem contato e garantir a segurança de transações "wireless". Para proteger veículos, utiliza-se dentro da chave do carro um chip passivo, ou seja, sem baterias. Para funcionar, o chip retira a energia das ondas eletromagnéticas enviadas pelo leitor. O leitor, por sua vez, fica dentro do carro, conectado ao sistema de injeção eletrônica. Se o leitor não reconhecer o chip na chave, o carro não dá a partida ainda que a chave correta seja inserida no contato.

RFID ativa

No sistema de pedágio, o chip é ativo, ou seja, ele recebe energia do sistema elétrico do próprio carro. Isso é necessário devido à maior distância que a leitura deve ser feita quando o carro passa pelo posto de pedágio. Um chip passivo tem alcance de apenas alguns centímetros, enquanto o ativo alcança até três metros.

Apesar da descoberta, o efeito prático da tecnologia é que os roubos de automóveis dotados do sistema são desprezíveis em relação aos carros sem a proteção RFID. Nos sistemas de pagamento de combustível também há etapas adicionais de segurança que impedem fraudes, como a proteção contra várias compras repetidas em curtos períodos de tempo.

Quebrada criptografia de etiquetas inteligentes RFID

Invadindo o sistema

A verificação de segurança da etiqueta inteligente opera por meio de um procedimento chamado protocolo de pergunta/resposta. Quando a chave contendo o chip está próxima, o leitor transmite uma seqüência aleatória de zeros e uns para ele. O chip então processa esses números de uma forma específica e envia uma mensagem numérica de volta para o leitor. Se a mensagem for correta, o sistema libera a operação.

O que os pesquisadores fizeram foi descobrir o processo matemático utilizado nessa verificação. Eles então compraram um microchip disponível em lojas especializadas, custando cerca de US$200,00, e o programaram para descobrir a chave secreta de um "chaveiro" de pagamento de propriedade de um dos pesquisadores. Ligando 16 desses chips em série, o grupo quebrou a criptografia da chave secreta em cerca de 15 minutos.

Eles conseguiram fazer o mesmo com a chave de um carro equipado com o sistema. Com o código secreto em mãos, eles foram capazes de simular a chave RFID e desarmar o sistema anti-roubo do carro sem a presença da chave original.

A solução

Os cientistas alertaram a Texas, fabricante dos equipamentos, sobre as vulnerabilidades que eles detectaram e fizeram demonstrações em laboratório para os técnicos da empresa.

Os cientistas recomendaram a distribuição de capas ou pequenos estojos metálicos onde a chave possa ser guardada quando não estiver em uso. A proteção metálica virtualmente impede a detecção remota dos dados através das ondas de rádio.

Os pesquisadores estão agora testando o sistema de segurança de equipamentos produzidos por outros fabricantes.

Para evitar a utilização de sua descoberta por pessoas mal intencionadas, os pesquisadores não publicaram detalhes da programação feita nos chips para a quebra dos códigos.

Correção

Este texto foi alterado em 15/10/2010, retirando-se uma referência a um sistema "wireless" usado no Brasil, não comparável ao mecanismo estudado pelos pesquisadores citados neste artigo.

Bibliografia:

Artigo: Security Analysis of a Cryptographically-Enabled RFID Device
Autores: Stephen C. Bono, Matthew Green, Adam Stubblefield, Ari Juels, Aviel D. Rubin, Michael Szydlo
Revista: 14th USENIX Security Symposium
Data: August, 2005
Seguir Site Inovação Tecnológica no Google Notícias





Outras notícias sobre:
  • Criptografia
  • Segurança da Informação
  • Internet das Coisas
  • Processadores

Mais tópicos