Por ser uma tecnologia que envolve a troca de dados, é necessário que um sistema RFID passe por critérios de análise e testes de segurança que visam a manutenção dos dados envolvidos. Autenticação, criptografia e privacidade são pontos que devem ser fortemente considerados. Já que o uso de RFID, geralmente, se trata na localização ou na identificação, os maiores riscos que devem ser evitados dizem respeito à segurança e à privacidade das informações envolvidas. Podemos citar os tipos de falhas mais conhecidos.
Sniffing
O objetivo das tags é que sejam lidas por qualquer dispositivo compatível e da melhor forma possível. Porém, a leitura independe da vontade do portador, e isso pode ser perigoso. Qualquer dispositivo a uma certa distância por recolher informações da tag.
Tracking
Similar ao sniffing, mas feita de maneira contínua. Uma sequência de leitores poderia, por exemplo, revelar o trajeto realizado por um portador de uma tag RFID, violando direitos de privacidade.
Spoofing
É quando alguém simula uma identidade.
Replay Attacks
Caracteriza-se na interceptação e manipulação dos sinais trocados entre leitor e receptor. Poderia ser evitado com métodos de autenticação entre tags e sistemas finais.
Denial of services
"Negação de serviço", como o próprio nome diz. Pode ser feito de diversas maneiras. Por exemplo, criando uma "gaiola de Faraday" ao redor de uma tag, impendindo que possa ser lido por um leitor.
Malwares
Por se tratar de um dispositivo eletrônico, os componentes de um sistema RFID são suscetíveis à virus, worms e outras pragas virtuais. Existem três técnicas básicas de se escrever um malware. São elas:Buffer overflow
Quando um programa é copiado para a memória, ele é dividido em segmentos específicos para dados, variáveis e controle do executável. A ideia é sobrecarregar a área referente a dados, invadindo a área de controle.
Code insertion
Tags escritas em linguagem de script podem permitir ataques em sistemas finais se as aplicações do RFID utilizam protocolos web para se conectar ao banco de dados. O script pode ter um conteúdo malicioso e se aproveitar de falhas de segurança do servidor.
SQL injection
Parecido com o Code insertion, porém específica para a SQL. Caso não haja métodos de tratamento de entrada de dados, uma simples consulta pode expor totalmente o banco de dados.
O primeiro vírus para RFID
Acreditava-se ser difícil que um vírus existisse, devido à quantidade limitada de memória existente em uma tag. Porém, em 2006, pesquisadores da Universidade de Vrije, em Amsterdã, desenvolveram o dito primeiro vírus para sistemas RFID. O vírus se baseava em SQL Injection.
Conclusão:
Ao se implantar um sistema RFID, deve-se tomar os mesmas precauções em que se teria ao implantar uma rede de computadores. Acessos distintos como, somente leitura, filtrar cada dado inserido, garantir acesso restrito a certos usuários, entre outros, são posturas que ajudam a minimizar os riscos.
A comunicação entre leitores e tags, pode ser considerado uma parte única de um sistema RFID. Um sistema RFID é dividido em quatro camadas distintas: estratégica, de aplicação, de transporte e física. A camada física é composta pelos leitores, tags e radiofrequência. Na camada física, existem três subcamadas principais: desabilitação permanente e temporária de tags e ataques relay.
| |
Sumário | |