PARTE SECONDA Attacchi RFID 45

Transcript

1 Indice Introduzione XI Capitolo 1 Cos è l RFID? Introduzione Di cosa parla, e non parla, questo libro Le basi radio dell RFID Perché utilizzare gli RFID? Architettura RFID 10 Targhetta/Etichetta 10 Differenza tra targhette attive e passive 11 Lettore 12 Middleware Comunicazione dei dati 13 Dati della targhetta 14 Electronic Product Code 15 Protocolli Aspetto e caratteristiche fisiche (contenitore della targhetta o tag) 16 Card 17 Chiave con telecomando 18 Altri tipi di forma Conclusioni 21 Link utili 21 Capitolo 2 Applicazioni pratiche Introduzione Applicazioni 26 Commercio all ingrosso 27 Vendita al dettaglio Standard disponibili sul mercato Fallimenti di mercato 31 Libro_RFID.indb V 04/09/

2 VI INDICE Benetton 31 Metro Group 32 Imparare la lezione Casistica: dispositivi RFID per il consumatore 34 Wal-Mart 34 Implementazione 35 Risultati 35 Dipartimento della difesa degli Stati Uniti 36 Implementazione 36 Risultati 37 E-Zpass 38 Implementazione 38 Risultati 39 SpeedPass e i sistemi di pagamento senza contatto 40 Implementazione 40 Risultati 41 Applicazione di targhette al bestiame 42 Implementazione 42 Risultati Conclusioni 43 Link utili 43 PARTE SECONDA Attacchi RFID 45 Capitolo 3 Minacce e identificazione degli obiettivi Introduzione Obiettivi degli attacchi 48 Attacchi via etere 48 Spoofing 48 Insert 49 Replay 49 DOS 49 Manipolare i dati delle targhette 49 Middleware 51 Backend Attacchi misti Conclusioni 53 Capitolo 4 La codifica delle targhette Introduzione Casistica: Johns Hopkins contro SpeedPass SpeedPass 56 Bucare SpeedPass 60 L attacco della Johns Hopkins 62 Lezioni da imparare Conclusioni 66 Libro_RFID.indb VI 04/09/

3 INDICE VII Capitolo 5 Attacchi a livello delle applicazioni Attacchi Man In the Middle Chip clonati: frode e furto Tracciamento: passaporti/vestiario 72 Passaporti Clonazione dei chip: frode In caso di guasto Conclusioni 80 Capitolo 6 Comunicazioni sicure con il middleware Introduzione al middleware RFID 81 Electronic Product Code System Network Architecture 82 Componenti software architetturali dell EPC Network 82 Lettori 83 Middleware RFID 83 EPC Information Service 83 Servizio di risoluzione dei nomi degli oggetti 83 La cache locale ONS 84 Standard dell EPC Network 84 EPC 84 PML 84 Panoramica sul middleware RFID 85 Livello del lettore. Panoramica di funzionamento 87 Stadio di appianamento e generazione degli eventi 89 Stadio del filtro degli eventi 90 Stadio del Buffer di Report 90 Interazioni con le reti locali senza fi li WLAN 91 Attaccare il middleware via etere Comprendere i fondamenti della sicurezza e i principi della protezione 97 Capire l infrastruttura a chiave pubblica e le reti senza fi li 98 Capire il ruolo della crittografi a nel middleware RFID 98 Panoramica sulla crittografia 99 Capire come funziona una fi rma digitale 103 Firma digitale e autenticazione 104 Perché una firma digitale non è un MAC 104 Chiavi pubbliche e private 104 Perché una firma lega qualcuno a un documento 105 Capire la firma digitale W3C XML 105 Applicare la firma digitale XML alla sicurezza 108 Utilizzare l Advanced Encryption Standard per crittografare i flussi di dati RFID Rischi comuni e minacce 110 Esperienze di perdita di dati 110 Libro_RFID.indb VII 04/09/

4 VIII INDICE Scenario di perdita di dati 110 Le debolezze del WEP 111 Punti critici del progetto nel suo complesso 111 Punti deboli dell algoritmo crittografi co 112 Punti deboli nella gestione delle chiavi Rendere sicuri i dati RFID con il middleware Utilizzare DES nel middleware RFID per la crittografia robusta Utilizzare il metodo Stateful Inspection in un gateway di livello applicativo per monitorare il flusso di dati RFID 116 Gateway di livello applicativo Fornire il massimo grado di sicurezza utilizzando i servizi di Discovery, Resolution e Trust di AdaptLink 118 Il servizio Discovery 118 Resolution, ONS e Repository EPC 119 EPC Trust Services Conclusioni 120 Capitolo 7 Attacco al backend Introduzione Panoramica sui sistemi backend Attacco dati 124 Data fl ooding 124 Problema Soluzione Problema Soluzione Duplicazione volontaria delle targhette 125 Problema 125 Soluzione 125 Eventi spurii 125 Problema 125 Soluzione 125 Percentuali di lettura 125 Problema 126 Soluzione Attacco virus 126 Problema 1 (componenti database) 126 Problema 2 (componenti Web-based) 127 Problema 3 (componenti Web-based) 127 Soluzione Problema 4 (Buffer Overfl ow) 127 Soluzione Attacco al sistema di comunicazione del backend 128 Attacchi MIM 128 Attacchi di livello applicativo 128 Libro_RFID.indb VIII 04/09/

5 INDICE IX Soluzione 129 Attacchi di tipo TCP Replay 129 Soluzione Attacchi ONS 129 Minacce conosciute per DNS e ONS 129 ONS e segretezza 130 ONS e integrità 130 ONS e autorizzazione 130 ONS e autenticazione 131 Tentativi di protezione Conclusioni 131 PARTE TERZA Difesa RFID 133 Capitolo 8 Gestione della sicurezza RFID Introduzione Valutazione dei rischi e delle vulnerabilità Gestione del rischio Gestione delle minacce Conclusioni 142 Capitolo 9 Un caso reale Retroscena dell uso degli RFID nella supply chain dell esercito USA 143 Perché gli RFID sono essenziali per la fi liera dell esercito USA 144 Scopi e defi nizione della policy RFID 144 Storia degli RFID nel DoD 145 Gli RFID nella fi liera dell esercito americano 146 Standard RFID Un migliore tracciamento dei beni è fondamentale per l esercito USA 147 Business case 147 Riduzione di sales impediments e stockout 147 Ridurre perdite e riduzioni 147 Minimizzare i costi di inventario 148 Minimizzare gli scarti 148 Minimizzare il lavoro 148 Necessità di una soluzione Proposta di Silent Commerce 150 Tecnologia RFID passiva 150 Enabling Software di Commerce Events 152 Implementazione UID per la fi liera DoD 153 Identity Type 153 Opzione Identity Type DoD 154 DoD-64 Identity Type 154 DoD-96 Identity Type 158 Implementazioni delle Business Rules nella fi liera Libro_RFID.indb IX 04/09/

6 X INDICE DoD 162 Business Rules per RFID passivi 163 Defi nizioni 163 Etichettatura di imballaggi Case, Palletized Unit Load, UID Item Materiali in volumi non inclusi 165 Requisiti per contratti/richieste 165 Specifi che per le targhette RFID passive 165 Requisiti per UHF RFID Tag Data Structure 168 Requisiti Tag Data Structure di UHF RFID passivi - spedizioni agli acquirenti Dod dai punti di ricevimento DoD, attraverso la filiera 170 Electronic Data Interchange Information 171 DoD Purchase Card Transaction 172 Requisiti di codifi ca crittografi ca wireless 173 Frequency Spectrum Management Riferimenti Conclusioni 174 Appendice A Materiali di riferimento 175 A.1 FAQ Domande frequenti 175 A.2 Soluzioni veloci 177 Utilizzi applicativi 177 Standard sul mercato 177 Casistica RFID 177 Panoramica sui sistemi backend 177 Attacchi ai dati 178 Attacchi virus 178 Middleware Attacchi alle comunicazioni backend 178 Attacchi all ONS 178 Analitico 179 Libro_RFID.indb X 04/09/