Hackeando RFID, se incomodando com a American Express
RFID (Radio-frequency Identification, ou Identificação por Rádio-Freqüência) é uma dessas tecnologias que tem um grande hype em volta, como o bluetooth ou a biometria, mas que é, também como esses, amplamente furada em termos de segurança.
Além dos problemas óbvios de privacidade, de se ter um cartão dentro do bolso transmitindo o teu nome e possivelmente o número do teu cartão de crédito para quem quiser ler, a criptografia normalmente empregada é nada mais do que precária. Há pouco tempo o Reino Unido resolveu implantar RFID nos seus passaportes. Em menos de 48 horas a criptografia foi quebrada e passaportes falsos foram feitos.
Este vídeo do BoingBoingTV explica muito bem a situação:
Estes cartões, por sinal, estão sendo distribuídos no Brasil, com a mesma (falta de) criptografia.
Obviamente, qualquer um que pretenda usar um cartão de crédito vai se manter bem longe da American Express. Mas a Visa e outras companhias já têm suas versões também.
Um leitor de RFID pode ser encontrado no ebay por 8 dólares, mais o frete para o Brasil, no máximo 25 dólares. E nem passa da cota, muito provavelmente nem imposto será cobrado. Então qualquer jaguara com 40 pila e um notebook pode roubar um cartão desses.
Como o tio ali no vídeo disse, as empresas não estão preocupadas em criar um sistema seguro, mas sim um sistema que pareça seguro para o consumidor. É importante estar alerta disso ao aderir a uma nova tecnologia.
Todas essas empresas estão cientes dos riscos da tecnologia, mas preferem esconder tudo.
Adam Savage, dos Mythbusters falou sobre isso na HOPE, uma conferência Hacker há pouco tempo:
[youtube]http://www.youtube.com/watch?v=-St_ltH90Oc[/youtube]
RFID não é de um todo mau. A tecnologia é excelente para marcar gado, por exemplo. Mas eu não usaria nem mesmo para comanda de restaurante. Onde há seres humanos, há risco de segurança.
