SICUREZZA DI SISTEMI RFID: CRITICITÀ E VULNERABILITÀ IN AMBIENTI ETEROGENEI1

SICUREZZA DI SISTEMI RFID: CRITICITA E VULNERABILITA IN AMBIENTI ETEROGENEI RELAZIONE DI STAGE [S] Facoltà si Scienze Matematiche, Fisiche e Naturali Dipartimento di Informatica Master in Sicurezza dei sistemi e delle reti informatiche per l impresa e la P.A. SICUREZZA DI SISTEMI RFID: CRITICITÀ E VULNERABILITÀ IN AMBIENTI ETEROGENEI1 Autore: Antonella Alfano Revisione interna: Gabriele Bocchetta, Daniele Mongello Data: Marzo 2007 1 Il presente lavoro è stato svolto nell ambito di uno stage di formazione presso il Centro Nazionale per l Informatica nella Pubblica Amministrazione (CNIPA). Esso viene messo a disposizione degli esperti e specialisti di settore, nel mondo accademico ed in quello della ricerca industriale, anche al fine di raccogliere osservazioni ed ulteriori contributi. Archiviazione File Allegati Versione Pagina RFId relazione_stage_alfano.doc Final 1 di 19

Sommario 1. Introduzione... 3 2. Le componenti della Sicurezza... 4 2.1 Il livello di Sicurezza... 4 2.1.1. Requisiti dei livelli di sicurezza... 5 2.2 La sicurezza parte dall impianto: caratteristiche dei dispositivi e classificazione... 6 2.2.1 Caratteristiche dei Tag... 6 2.2.2. Sistema di back-end... 8 2.2.3 Trasmissione dati e Protocolli... 9 2.2.4 La Robustezza del tag... 10 3. Sicurezza: sfide dell RFId... 10 3.1 Sicurezza e Vulnerabilità... 10 3.2 Sicurezza e Minacce... 11 3.3 La relazione: Vulnerabilità - Minacce... 13 4. Analisi campi di impiego: trattamento delle minacce... 13 4.1 Casi applicativi ed in studio: descrizione... 14 4.1.1 Logistica e trasporto merci: Identificazione univoca delle unità in movimentazione... 14 4.1.2 Supporto alle operations nell Allevamento e in Agricoltura: Tracciabilità agro-alimentare come garanzia di origine dei prodotti... 15 4.1.3 Ticketing CRM di Servizi nel Trasporto Pubblico: Bigliettazione elettronica... 16 4.1.5 Gestione di asset : Identificazione e tracciabilità oggetti di valore... 16 4.1.6 Supporto alle operations nei Settori dei Servizi: Miglioramento nella efficienza e qualità dei processi operativi nelle aziende di Servizi... 16 4.2 Matrice Minacce - Applicazioni... 17 4.3 Gestione del Rischio: cenni... 18 4.4 Contromisure... 19 2 di 19

1. INTRODUZIONE L Identificazione a Radio Frequenza (RFId) è una tecnologia per l identificazione automatica e remota di oggetti, soggetti e animali che usa tag (transponder) interrogati, attraverso un canale a radiofrequenza, da lettori o interrogatori (transceiver). Le sue caratteristiche hanno spinto lo sviluppo di tecnologie per un vasto raggio di applicazioni ma, al tempo stesso, presentano anche delle vulnerabilità. Infatti, un sistema RFId, anche se intrinsecamente fidato, può essere sottoposto a minacce relative alla sicurezza delle informazioni che tratta. Per questo motivo, molta attenzione viene rivolta dalla maggior parte delle organizzazioni alla sicurezza delle informazioni. I sistemi RFId possono subire attacchi con lo scopo di sostituire i dati originali presenti nel tag, con altri dati formalmente corretti ma falsi nel contenuto, rivelando una vulnerabilità ad attacchi che sfruttano exploit o flaw dei sistemi di back-end. Questa vulnerabilità può inoltre consentire ulteriori violazioni della sicurezza di tipo denial of service (DoS) che, attraverso l accesso concorrente e malevolo alla struttura di ricezione delle informazioni, provocano l indisponibilità l servizio cui il sistema di tag è destinato. Dunque l attacco all integrità delle informazioni e l uso di tag come veicolo di intrusione nei sistemi sono alcune delle più importanti manifestazioni delle vulnerabilità che possono essere bloccate con un corretto approccio allo sviluppo dell impianto e conoscenza del sistema da realizzare. Questo documento si propone di evidenziare minacce e vulnerabilità di sistemi che utilizzano questa tecnologia, a tale scopo vengono esaminati impianti presenti in campo o oggetto di studio. Vengono trattati cioè un insieme di casi rappresentativi da un punto di vista dell impiego nelle moderne applicazioni della tecnologia RFId. Il percorso seguito parte dalla definizione delle Proprietà indispensabili alla sicurezza di un sistema che tratta informazioni, come il nostro; continua con le Caratteristiche fisico-logiche dei dispositivi coinvolti e che possono giocare un ruolo fondamentale nella caratterizzazione delle proprietà di sicurezza e/o possono pesare anche su proprietà come la Robustezza dei dispositivi, intesa come resistenza intrinseca agli attacchi. Poi si passa all individuazione delle debolezze che insistono sulle applicazioni dei sistemi RFId tradotte in termini di minacce e vulnerabilità; attraverso l Analisi ed il Trattamento del Rischio, poi, viene valutato l impatto stimato che l attuazione di tali minacce produce come perdita dei beni di interesse, legati alle applicazioni. Infine sono descritte le possibili contromisure che il campo e le attività fino ad ora sviluppate per queste tecnologie ci permettono di individuare. 3 di 19

Assets Vulnerabilità Minacce Rischio Contromisure Attenzione Figura 1: analisi del sistema RFId L introduzione e la diffusione di un sistema che risulta largamente integrato nell organizzazione di sistemi esistenti per le strutture, non può prescindere dall analisi fatta sulla Privacy come caratterizzazione della sicurezza fondamentale e dalla analisi di studio dell interoperabilità cui si cerca di tendere per questa nuova tecnologia, passando attraverso l introduzione di standard, siano essi protocolli o frequenze o quant altro ne aiuti lo sviluppo e la diffusione insieme alle caratteristiche che ne migliorino gli aspetti di sicurezza. Il contributo che si è inteso dare attraverso questo documento è stato quello di introdurre la problematica sicurezza per questo insieme di tecnologie come un elemento di progetto, partendo dall analisi dei dispostivi e delle problematiche inerenti la loro integrazione. Il monitoraggio delle applicazioni presenti in campo o oggetto ancora di studio in relazione all applicabilità di misure volte a garantire la tutela o meglio la prevenzione dalle vulnerabilità, dà poi il segno dell aderenza di questa tecnologia alle attività quotidiane e delle grandi potenzialità che ancora questa possiede. La moderna tecnica promette anche attraverso tecnologie come RFId, un rivoluzionamento delle nostre esperienze commerciali, industriali e mediche, pertanto è importante analizzare potenzialità e rischi. «La prima regola di ogni tecnologia usata negli affari è che l'automazione applicata ad un'operazione efficiente ne ingrandirà l'efficienza. La seconda è che l'automazione applicata ad un'operazione inefficiente ne ingrandirà l'inefficienza.» Bill Gates. 2. LE COMPONENTI DELLA SICUREZZA 1.1. Il livello di Sicurezza L informazione costituisce il fattore produttivo delle organizzazioni e quindi necessita di una opportuna protezione. La sicurezza delle informazioni è dunque la protezione delle informazioni da ogni possibile minaccia, ed ha lo scopo di garantire la continuità del business aziendale minimizzando ogni rischio associato. La sicurezza delle informazioni è ottenuta implementando un insieme di controlli che includono policy, processi, procedure, organizzazione (persone, ruoli), hardware e software. I controlli sono 4 di 19

implementati e rivalutati periodicamente per garantire costantemente gli obiettivi di sicurezza dei business delle organizzazioni. Il Security Management è il processo di gestione di un determinato livello di sicurezza dell informazione e dei servizi IT. Il livello di sicurezza delle informazioni è espresso in termini di confidenzialità, integrità e disponibilità. I livelli di Sicurezza e di Privacy di un sistema RFId sono dipendenti dal rapporto costo/benefici che il loro trattamento può procurare, cioè risultano strettamente legati alle necessità di impiego applicative. Per poter mettere a punto un determinato livello di sicurezza è necessario ottemperare a normative che definiscono gli ambiti delle responsabilità, che richiedono documentazione ad esempio relative alle policy di sicurezza adottate o più in generale si parla di adozione di modelli organizzativi atti a garantire la sicurezza: Information Security Program. 2.1.1. Requisiti dei livelli di sicurezza Nella gestione dei livelli di Sicurezza di un sistema RFId, i requisiti che si vogliono tutelare sono essenzialmente la Confidenzialità, l Integrità e la Disponibilità dell informazione e la loro preservazione si realizza attraverso meccanismi di Autenticazione, Non Ripudiabilità e Controllo degli Accessi. La Confidenzialità riguarda l aspetto di sicurezza di un informazione riferito all accesso autorizzato al dato trattato, destinandolo solo a persone, processi, risorse autorizzati. Per preservare la proprietà di Confidenzialità si interviene crittografando le informazioni o usando dispositivi con protezioni interne. L intercettazione non autorizzata delle informazioni (passiva(wiretapping), attiva, interattiva) Rappresenta una minaccia alla confidenzialità (definita anche snooping). Inoltre le leggi sulla Privacy di molti Paesi, tra cui anche il nostro, impongono alle aziende che raccolgono informazioni sui propri clienti, di proteggere alcune di queste informazioni (sensibili) dall accesso non autorizzato da parte di estranei. In questo caso il requisito di confidenzialità è imposto per legge a dal comportamento etico o di immagine della azienda che protegge i dati dei suoi clienti. Queste considerazioni sono di importanza strategica per le applicazioni che utilizzano le tecnologie RFId ad esempio in strutture ospedaliere. L Integrità, invece, viene compromessa quando una entità accede in maniera non autorizzata al sistema e ne altera le risorse. Sotto questo aspetto vanno tutelate: integrità del contenuto dei dati ed integrità della sorgente dei dati in termini di integrità dell origine o integrità del sistema. Questa proprietà viene salvaguardata introducendo meccanismi di sicurezza di: prevenzione e rilevazione. La prevenzione risulta allora possibile utilizzando nella tecnologia RFId l Autenticazione e il Controllo degli Accessi che si sviluppa attraverso i meccanismi di Identificazione, Autenticazione ed Autorizzazione come procedure necessarie al riconoscimento dell utente legittimo ed alle funzioni che questo può svolgere. Nei sistemi di dati trattati dai dispositivi RFId sarebbe possibile utilizzare degli indicatori di integrità delle informazioni stesse, a volte interni alle informazioni stesse, oppure aggiunti. Si può in taluni casi far uso di funzioni hash per tutelare l integrità, ma la classificazione delle caratteristiche di un sistema sono logicamente dipendenti dalla tipologia delle applicazioni. La Disponibilità rappresenta la capacità di accedere alle informazioni o alle risorse desiderate da parte dei legittimi utilizzatori ogni volta che questo è necessario. Il tipo di dispositivi che stiamo analizzando si presta in modo particolare a tentativi intenzionali o accidentali di impedire l accesso ai dati rendendoli indisponibili, in questo modo si realizza DoS attack. 5 di 19

Un esempio di attacco alla disponibilità può risultare il semplice sovraccarico del trasformatore del tag grazie ad un campo molto intenso che lo danneggi irreparabilmente. L Autenticazione è per definizione l associazione di una identità ad un soggetto e avviene fornendo da parte dell entità esterna alcune informazioni al sistema. I dispositivi attori della comunicazione devono dimostrare la propria identità. L Autenticazione (e la non ripudiabilità) del client, cioè del tag RFId, avviene attraverso una comunicazione a RF, che usa una antenna e pertanto possono essere utilizzate in questa fase tecniche di controllo. L Autenticazione per il lettore consiste quindi nell ottenere l identità del tag ed una prova che l identità dichiarata sia corretta. Per ottenere questo può essere usata la logica del tag. Nel caso ad esempio in cui il dispositivo non si identificasse come utente valido per n volte, si potrebbero accettare in ingesso tutti i dispositivi, anche se questo però sottoporrebbe il sistema ad attacchi DoS (cioè minacce che mirano a rendere indisponibile il servizio). L Autenticazione del server cioè del lettore RFId risulta complessa e pertanto anche la tutela di questa caratteristica dipende dalla importanza delle informazioni trattate. La Non Ripudiabilità definisce l impossibilità di negare ciò che si è fatto con le credenziali di accesso per evitare attacchi volti a copiare il contenuto del tag (anche se criptato) per riutilizzarlo successivamente (replay attack).. Per evitare funzionamenti non corretti il tag dovrebbe autenticarsi e trasmettere i suoi dati, solo nel caso in cui riuscisse a dimostrare di avere informazioni che solo il vero utente possiede. Il Controllo degli Accessi, segue il semplice principio del need to Know, l accesso alle informazioni deve essere fornito solo a quelle informazioni di cui si ha assolutamente bisogno. Anche il controllo degli accessi, costituisce un meccanismo di prevenzione per l integrità. A queste proprietà, nello specifico, si aggiunge un importante proprietà del dispositivo, la Robustezza del tag durante la inattività, cui dedicheremo maggior attenzione dopo averne definito le caratteristiche. 2.1 La sicurezza parte dall impianto: caratteristiche dei dispositivi e classificazione 2.2.1 Caratteristiche dei Tag Un tag consiste di un insieme di circuiti integrati in grado di offrire: la possibilità di memorizzazione dati, limitate capacità di logica/elaborazione ed una antenna. Ciascun tag è caratterizzato dalla presenza di un identificativo univoco. Ogni lettore RFId può leggere più tag simultaneamente,e pertanto, possono presentarsi eventi di collisione nella lettura di più tag contemporaneamente. La presenza eventuale di meccanismi anticollisione sul tag nella comunicazione tra tag e reader, permette al tag di comunicare a turno con il lettore. Per far questo occorre un lettore che sincronizzi la coordinazione ed un middleware che raccolga ed organizzi i dati da inviare al sistema informativo. 6 di 19

Le sue caratteristiche, rappresentate nella figura seguente, sono elementi indicativi che opportunamente calibrati possono conferire al sistema determinati caratteristiche di sicurezza, soprattutto con riferimento alla integrità dei dati. Ponendo l attenzione alle modalità di alimentazione elettrica e di trasmissione rispetto al lettore, è possibile distinguere i tag in passivi, semiattivi e attivi. Le principali caratteristiche fisico-funzionali dei tag sono: frequenza di lavoro, tipo di accoppiamento, modalità di alimentazione, protocollo di comunicazione, tipo di memoria (modificabile o codice fisso), tipo di elaborazione per la sicurezza, distanza di lettura (raggio di azione e quindi distanza massima di applicabilità), possibilità di lettura in movimento, resistenza (a temperatura, vibrazioni, umidità), packaging, resistenza alle manomissioni (analisi fisica del dispositivo). Con resistenza alle manomissioni s intende la proprietà costruttiva che rende impossibile risalire ai dati contenuti nel tag attraverso la sua analisi fisica (antitampering). Nell implementazione di un sistema con questa tecnologia risulta opportuno cvalutare opportunamente le vulnerabilità proprie del sistema ed adottare gli accorgimenti più idonei al corretto mantenimento del livello di sicurezza delle informazioni trattate. Classificazione e sicurezza I tag più semplici sono di tipo chipless, costituiti dalla sola antenna, che hanno l unico scopo di rivelare la loro presenza in vicinanza di un antenna di lettura. Ne sono un esempio i tag EAS (Electronic Article Surveillance) usati nei sistemi antitaccheggio. 7 di 19

Spostandoci lungo la linea della loro organizzazione classica, cioè dalla classe 0 alla 4ª, passiamo da dispositivi del tutto privi di logica (cioè privi di un chip che esegue i comandi del lettore ed implementa uno schema anticollisione) e di un unico ID identificativo, a dispositivi attivi (autoalimentati con un trasmettitore attivo a bordo) con ampie capacità di elaborazione crittografiche capaci di difendersi da attacchi provenienti dalla rete perché sviluppati ad hoc. Classe 0: Read Only - passivi. Questi sono i tag più semplici in cui i dati, che consistono in un semplice numero identificativo, vengono scritti sul tag al momento della produzione dello stesso e non è possibile aggiornare in nessun modo la memoria. Questa classe di tag non possiede nessun sistema di sicurezza intrinseco e può essere applicata nei casi in cui è necessaria la semplice identificazione univoca dell oggetto, integrata con un sistema informativo centralizzato. Appartengono a questa classe anche i tag EAS usati nei sistemi antitaccheggio. Altri campi di impiego per questa classe di tag sono: gestione biblioteche, asset, magazzini, documenti. Classe 1: Write Once Read Many (WORM) - passivi. In questo caso il tag viene prodotto senza scrivere nessun dato nella memoria. I dati possono essere scritti dal produttore del tag o dall utilizzatore una sola volta, non è possibile nessuna scrittura successiva: a questo punto il tag può essere solo letto. Si tratta di tag su cui può essere memorizzato solo un identificativo (fino a 256 bit) definito dall utente. Come nel caso precedente il tag non possiede capacità di elaborazione tali da implementare sistemi di sicurezza come crittografia autenticazione ecc. Classe 2: Read Write - passivi. I tag di questa classe, hanno la memoria utente riscrivibile (con un ciclo di vita dell ordine delle 100000 scritture), che può arrivare intorno ai 2 kb oltre ad avere un identificativo impresso durante la fabbricazione. Dal punto di vista della sicurezza anlcuni tag appartenenti a questa classe, implementano sistemi per bloccare la scrittura non autorizzata della memoria utente. Nel caso dei dispositivi Mifare (ISO 14443A) la comunicazione con il reader (con distanze sempre nell ordine di 10-15cm) prevede sistemi di crittografia e autenticazione, cosa che in generale i dispositivi di tipo passivo e a basso costo, come gli ISO 15693, non implementano. I tag di classe 2 vengono spesso impiegati nei settori dove è utile avere dei data logger direttamente sull oggetto (Supply chain, impianti di produzione, ambito sanitario). Alcuni produttori realizzano tag di classe 2 con caratteristiche anticollisione che prevedono un offset di frequenza in grado di consentire l inserimento di numerosi tag nello stesso imballo. Classe 3: Read Write - semipassivi con sensore a bordo. I tag appartenenti a questa classe sono equipaggiati con un sensore che consente di registrare, nella memoria utente, parametri quali temperatura, pressione, umidità, e spostamenti. Questi tag devono necessariamente avere una sorgente interna di energia poiché le letture devono poter essere effettuate dal sensore in assenza del lettore. Nei dispositivi semipassivi comunque la comunicazione con il reader avviene, come nei tag completamente passivi, utilizzando l energia del campo generato dal reader. Classe 4: Read Write - attivi con trasmettitore integrato. Questi tag sono come dei dispositivi radio in miniatura che possono comunicare con altri tag o altri dispositivi in assenza del lettore. Ciò significa che i tag presi in esame sono completamente attivi e quindi alimentati dalla propria batteria. L uso di tag attivi o semi-attivi, dotati cioè di una propria alimentazione e di memoria, consente l utilizzo della crittografia, sia asimmetrica che simmetrica, quindi di una autenticazione forte. La possibilità di scelta di un tipo di elaborazione per la sicurezza non è realizzabile su dispositivi a basso costo, in quanto la fonte di energia a bordo diviene indispensabile per l impiego di un motore di crittografia. 2.2.2. Sistema di back-end In campo le applicazioni RFId impiegano una grande varietà di apparati fisicamente distribuiti: lettori RFId, gateway di accesso, interfacce di gestione, e database. La struttura di back-end poi rappresenta la parte più vulnerabile ed attaccabile del sistema, su tali apparati e software può essere concentrata la maggior parte delle contromisure adottate. 8 di 19

Come vedremo tra le minacce, vi è l SQL injection che infetta i database con virus o altro malware e rappresenta una delle vulnerabilità più diffuse e verso la quale vengono orientati studi per l adozione di opportune contromisure. Molte società hanno già realizzato linee guida essenziali di Reference Architecture, tramite l adozione di uno schema architetturale accuratamente progettato, per chi intende integrare i dati RFId con i propri sistemi back-end aziendali. Si tratta di soluzioni già pensate per agevolare la gestione dei dati RFId in ambienti di business altamente dinamici e per massimizzare l'efficienza di sistemi garantendo nel contempo un livello di sicurezza ottimale. 2.2.3 Trasmissione dati e Protocolli In un sistema RFId, la Trasmissione dati deve risultare a prova di intercettazione e deve essere sempre disponibile. Altrettanto sicura dovrà poi essere la trasmissione verso il network applicativo. Alcune tecniche di sicurezza per la trasmissione dei dati tra tag e lettore prevedono la protezione dell informazione mediante tecniche di accesso multiplo come il resend (invio multiplo dei dati) o i codici di ridondanza in grado di correggere errori di trasmissione anche su bit multipli. Tra le tecniche di accesso multiplo, la Singulation consente di identificare univocamente un tag attraverso il suo specifico numero seriale discriminandolo all interno di un gruppo di più tag, gestendo in modo seriale le risposte alle query che altrimenti entrerebbero in collisione. Il Tree walking rappresenta un metodo di singulation che scandisce il parco tag vedendolo logicamente come un albero e procedendo in modo esaustivo alla scansione di tutti i possibili serial number (foglie di un albero). Questo protocollo, non prevede autenticazioni verso il reader, e pertanto tutti i lettori possono leggerne i serial number dei tag (tranne l ultimo bit). Sono stati sviluppati versioni di protocolli che resistono a tali tipi di attacchi (silent tree walking). Il protocollo Tree walking inoltre è vulnerabile attraverso l utilizzo di blocker tag che realizzano un DoS (Fonte RSA Laboratory). Un altro esempio di protocollo ampiamente usato per l accesso multiplo ai tag è ALOHA (in fase di standardizzazione), simile al CSMA/CD usato da Ethernet. Sono stati infine sviluppati protocolli più avanzati per la sicurezza delle informazioni specialmente nell ambito dei pagamenti, tra questi ci sono quelli utilizzati nell NFC (Near Field Communication). Questo standard prevede modalità di funzionamento in emulazione di tag RFId attivi e passivi inseriti all interno di dispositivi Handset (telefoni cellulari, palmari, ecc), virtualizzando pienamente le funzionalità di una carta di pagamento. La trasmissione delle informazioni tra dispositivi vengono criptate. In particolare lo studio dell NFC lavora sulla sicurezza e la interoperabilità, come capacità di scambiare informazioni tra diversi sistemi software, in generale per l RFId come capacità di comunicare tra tag e lettori di differenti fornitori. 9 di 19

2.2.4 La Robustezza del tag Come abbiamo anticipato, alle proprietà fondamentali della Sicurezza si aggiungono le caratteristiche intrinseche del dispositivo. Tra queste vi è la Robustezza che si misura nella non leggibilità e non riproducibilità durante l inattività del dispositivo tag, ossia nella capacità di resistere a tentativi di accesso non autorizzato alle informazioni. La non leggibilità viene soddisfatta mediante la schermatura elettromagnetica del tag (secure shelter), oppure usando tecniche di jamming (interferenza EM) atte a provocare la collisione dei pacchetti o ancora facendo uso di tag di mascheramento che provocano l emissione di segnali interferenti in grado di rendere difficilmente decifrabile i tag legittimi. La non riproducibilità può essere gestita ad esempio attraverso l uso di un meccanismo di autenticazione (con tecniche di tipo challenge-response). Questa tecnica richiede l adozione di dispositivi dotati di processori e memoria (tipicamente tag attivi). L uso di comunicazioni basate sulla crittografia, in particolare a chiave simmetrica, assimila questa tecnica a quella di un sistema con buone caratteristiche di sicurezza. la tecnica dello scrambling infine consente al tag di variare periodicamente la stringa di dati trasmessa al lettore per renderlo difficilmente riproducibile. 3. SICUREZZA: SFIDE DELL RFID L analisi delle caratteristiche e delle debolezze intrinseche dei sistemi RFId ha portato allo sviluppo di meccanismi di sicurezza e protocolli di comunicazione in grado di garantire l integrità delle informazioni contenute nel tag anche durante la possibile perdita di alimentazione o interruzione delle comunicazioni. Questo a scapito di un sensibile aumento dei costi della componentistica coinvolta. Nel disegno dell architettura di un sistema RFId fondamentale importanza è rivolta al tipo di applicazione che determina il livello desiderato di sicurezza e privacy. Frequentemente i sistemi RFId vengono impiegati in contesti in cui sono coinvolti dati sensibili o di grande valore critico: dagli antifurti delle automobili alle modalità di pagamento automatiche, dai sistemi di tracciatura dei bagagli negli aeroporti ai dati inseriti in capi d'abbigliamento e beni di lusso, fino alle informazioni personali contenute nei passaporti digitali. Le risposte alle maggiori preoccupazioni dei fruitori della tecnologia dipendono dalle misure adottate per arginare le possibili minacce alle vulnerabilità già evidenziate. 3.1 Sicurezza e Vulnerabilità Il concetto di Vulnerabilità e Minaccia non può non prescindere da quello del valore del Bene (Asset): i beni da proteggere che sono tutti all interno del perimetro dell analisi di un sistema che si intende implementare. Gli asset possono essere di tipo dati, hardware, software. Le vulnerabilità sono debolezze proprie del sistema che possono essere sfruttate, ai fini di portare un attacco, che determini un impatto sull asset, o che più in generale minaccino il bene dotato di valore (la cui valorizzazione può essere di tipo economica o qualitativa). Le minacce sono manifestazioni delle vulnerabilità, mentre un attacco rappresenta lo sfruttamento di una vulnerabilità. La vulnerabilità è dunque una caratteristica intrinseca del sistema che può condurre anche accidentalmente a danni e/o perdite per l organizzazione. 10 di 19

L analisi di minacce e vulnerabilità, tenendo conto della loro netta distinzione, serve alla riduzione del rischio dell impatto sulla sicurezza che l uso inappropriato di un sistema può produrre. In una metodologia finalizzata all analisi del rischio, come può essere quella del NIST SP800 30, le Vulnerabilità valutate per un sistema sotto analisi sono definite attraverso: Dati storici, Analisi di aspetti fisici, Analisi di aspetti logici, ed analizzate nel contesto del perimetro di sicurezza in cui sono individuati gli asset da proteggere. Di seguito vengono brevemente descritte alcune delle Vulnerabilità più comuni a sistemi RFId presenti in campo. La distanza di lettura può risultare in taluni casi importante, infatti in assenza del parametro di Robustezza del tag, ad esempio di crittografia, modificando opportunamente una antenna RFId e/o utilizzando alte potenze si ottengono distanze di lettura sufficienti a leggere dati ed ID in modo malevolo. In altri casi pur utilizzando crittografia a chiavi corte, senza Autenticazione del lettore è possibile portare avanti attacchi in cui si riesce a risalire alle informazioni (plaintext attack), oppure attacchi iterati sulle possibili risposte del sistema che vengono riportate in maniera tabellare. In questo caso i dispositivi sono in un ambiente che manca di confidenzialità, integrità e nessun valore viene preso in considerazione per affermare la non ripudiabilità del lettore o del tag. Più in generale sistemi promiscui, possono essere letti da tutti I lettori che tentano di interrogarli. Sono poi presenti sul campo sistemi che per il loro ambito di applicazione possono risultare in presenza di altri dispositivi o componenti che ne inficiano il corretto comportamento, infatti sistemi con range di lettura e scrittura sofferenti la vicinanza di liquidi, metalli, radiazioni elettromagnetiche possono risultare non affidabili. I tag sono poi sicuramente esposti ad attacchi fisici. L introduzione di un processo di standardizzazione dei protocolli di lettura/scrittura, potrebbe sicuramente mitigare la debolezza attualmente presenti sulla maggior parte dei sistemi ad attacchi di scrittura/modifica/cancellazione dati sui dispositivi. Risulta non ancora standardizzata anche l integrazione con altre reti/db; pertanto questa insieme ad altre tecnologie soffre degli attacchi più diffusi nella parte relativa alla trasmissione dati. Sono ancora più delicate dal punto di vista della sicurezza le comunicazioni tra lettore e tag; infatti possono essere facilmente disturbate ed anche interrotte. 3.2 Sicurezza e Minacce Una minaccia è una potenziale violazione della sicurezza di un sistema che può avere effetti sulla confidenzialità disponibilità o integrità di un sistema o delle sue singole risorse. In altre parole, la Minaccia è una modalità di manifestazione di un evento dannoso collegata ad una vulnerabilità. Il Rischio invece, che è importante valutare in un architettura di sicurezza di un impianto un volta valutate le possibili vulnerabilità e minacce, rappresenta la probabilità che si verifichi l evento dannoso che determina l impatto (a Impatto se l evento dannoso atteso si verifica. La minaccia esiste di fatto anche quando non è seguita da una violazione e la vulnerabilità è una debolezza che potrebbe permettere alla minaccia di verificarsi. In una metodologia finalizzata all analisi del rischio, come può essere quella del NIST SP800 30, le Minacce valutate per un sistema sotto analisi sono definite attraverso: Eventi naturali, Eventi ambientali, Fattore umano (divisi in Intenzionali ed Accidentali), ed analizzate nel contesto del perimetro di sicurezza in cui sono individuati gli asset da proteggere. 11 di 19

Di seguito abbiamo descritto alcune delle Minacce comuni a sistemi presenti in campo: La tracciabilità, pure essendo una peculiarità del dispositivo, rappresenta forse anche la minaccia più evidente. Un attaccante, naturalmente in maniera non autorizzata, può interrogare un oggetto contrassegnato con un tag e tracciare, a loro insaputa, le persone che lo posseggono in quanto ignare delle funzionalità del tag RFId. Esistono in questo caso alcune semplici contromisure per evitare che persone possano muoversi con oggetti taggati ancora vivi. In particolare disponendo di lettori, se non sono previste apposite contromisure, è possibile origliare le comunicazioni tra il target e lettore per arrivare alla Identificabilità dell utente interrogando il bene. Anche in questo caso l autenticazione o la memorizzazione di informazioni che abilitano/disabilitano la lettura possono ostacolare questo tipo di minaccia. È inoltre possibile eseguire la scansione tag al fine di modificare il valore del bene, cioè una operazione di scrittura/modifica non autorizzata. Un attaccante può cancellare i settaggi dei tag impostando a zero anche il numero di EPC e causare un interruzione del servizio (ad esempio in una catena di rifornimento, un magazzino, ecc.). Le comunicazioni sono esposte ad analisi del traffico e l eavesdropping (origliamento). I dispositivi di più basso livello sono sotto minaccia dell attacco man in the middle, cioè una terza parte può origliare le conversazioni tra i dispositivi ed ottenere così informazioni sensibili per creare ad esempio tag falsi, lettori non autorizzati oppure per scoprire informazioni memorizzate nei tag(tipo il codice di autenticazione). Network snooping si manifesta mediante la intercettazione non autorizzata delle informazioni che viaggiano su una rete; è una violazione della confidenzialità, e può essere a seconda del livello di attività: attiva, passiva o interattiva. Attraverso tecniche di reverse engineering è possibile attuare la minaccia di creare un tag falso per effettuare spoofing, o creare molti tag falsi per creare un attacco di DoS. In pratica la minaccia si concretizza nella replica e nella emulazione di tag validi al fine di contraffare un manufatto non originale oppure per provocare una indisponibilità del servizio confondendo un lettore con una serie di risposte provenienti da tag falsi. I tag possono essere esposti ad attacchi fisici, che vanno dal semplice distacco del tag dall item taggato alla distruzione (come ad esempio con una fiamma), alla schermatura. In particolare ad alcune frequenze si possono usare metalli per causare interferenze, impedire che vengano letti i tag usando la gabbia di Faraday. Inoltre alcuni attacchi mirano a raggiungere nel caso di dispositivi attivi o semiattivi a far scaricare le batterie. Una possibile minaccia viene definita attraverso l uso di altri tag da mettere molto vicini o materiali sensibili come liquidi o metalli per definire una indisponibilità del servizio che lavoro sulle frequenze di lavoro e viene definita detuning. I blocker tag in particolare vengono utilizzati per interrompere la comunicazione col lettore per celare ad esempio articoli rubati. Una altra tipologia di attacco è relativa al jamming, cioè un attaccante con un potente lettore a banda larga può confondere il lettore autorizzato. Esistono anche potenti attacchi che mirano a vanificare il sistema anti-collisione. Un esempio semplice ma immediato di attacco può essere quello di un attaccante che in un catena alimentare, uccide i tag (disattivazione definitiva mediante il comando kill sui dispositivi del sistema) che accettano il comando in quanto senza controllo. Questo basta per interrompere un servizio e causare danni alla produzione o comunque causare una indisponibilità del servizi. In modo malevolo inoltre la comunicazione tra tag e lettore può essere bloccata per interrompere e vanificare il processo di autenticazione. Infatti, ripetute interazioni, o bloccando le trasmissioni o con l attacco man in the middle, lasciano la porta aperta alla letture delle chiavi segrete se presenti. 12 di 19

ficando opportunamente il dialogo con i tag dal lettore risulta possibile far passare attraverso questi dispositivi alcuni parametri dell interfaccia di accesso ai DBMS che possono quindi essere causa dell SQL injection attack che infetta i database con virus o altro malware. 3.3 La relazione: Vulnerabilità - Minacce In relazione ai casi riportati la correlazione tra vulnerabilità e minacce può essere rappresentata come segue: Distanza di lettura Scansione del tag Assenza di autenticazione Scrittura/lettura non autorizzata Sistemi Promiscui Distruzione Range di scrittura/lettura sensibili Comandi es. Kill Attacchi fisici Detuning Assenza standard protocolli Network snooping Integrazione con alter reti/db SQL Injection Comunicazione lettore - tag DoS 4. ANALISI CAMPI DI IMPIEGO: TRATTAMENTO DELLE MINACCE I campi di applicazione di questa tecnologia sono molteplici: Trasporti, Militare, Industriale, Medico, Automotive, Marcatura Elettronica degli animali, Dispositivi di pagamento, Eventi sportivi ed altri ancora. Di seguito analizzeremo i casi applicativi ritenuti più significativi ai fini dell impiego della tecnologia e dei vantaggi derivanti da tale impiego, sottolineando gli aspetti relativi alla Sicurezza che abbiamo anticipato nei precedenti capitoli. 13 di 19

4.1 Casi applicativi ed in studio: descrizione 4.1.1 Logistica e trasporto merci: Identificazione univoca delle unità in movimentazione Caso: Istituto Ortopedico Rizzoli L istituto Ortopedico Rizzoli (IOR) di Bologna è un istituto monospecialistico ortopedicotraumatologico riconosciuto quale istituto di ricovero e cura a carattere scientifico. Dal 2004, presso la Banca del Tessuto Muscoloscheletrico dello stesso IOR, è operativo il sistema di gestione e tracciabilità dei reperti di tessuto e ossa da trapianto dal donatore al ricevente tramite RFId. Ogni contenitore di reperti è dotato di tag sul quale sono registrate le informazioni relative al reperto, ai test effettuati e al donatore. Questa applicazione è a ciclo chiuso perché il tag dopo aver seguito il reperto fino al trapianto, che può avvenire anche in altra struttura, ritorna alla Banca del Tessuto presso lo IOR. 1) Gestione e tracciabilità di reperti di tessuto ed ossa da trapianto. Presso la Banca del Tessuto avviene l etichettatura dei contenitori dei reperti e la registrazione sul tag delle informazioni relative al reperto stesso (donatore, test eseguiti). I contenitori sono conservati in celle frigorifere con temperature fino a - 80 C. Presso la struttura che eseguirà il trapianto viene letto il tag per l identificazione del reperto prima dell intervento. Dopo il trapianto il tag viene aggiornato con le informazioni relative all intervento eseguito. Il tag viene quindi riconsegnato alla Banca del Tessuto. Qui il tag contenente le informazioni sull intervento, viene letto e viene automaticamente aggiornato il record corrispondente nel DB dei reperti. Caso: Istituto Scientifico Universitario S. Raffaele- Unità operativa di Medicina Trasfusionale L Istituto Scientifico Universitario San Raffaele di Milano, si sviluppa su circa 300000 mq e dispone di oltre 1000 posti letto. Attualmente ha attive due applicazioni RFId presso l Unità Operativa di Medicina Trasfusionale: supporto al processo di autotrasfusione attraverso identificazione sacche di sangue, tracciamento contenitori di piastrine 1) L autotrasfusione viene eseguita nel reparto di Urologia: viene fornito al paziente un braccialetto RFId contenente i suoi dati anagrafici che conserverà fino ad intervento concluso. Le informazioni che lo riguardano vengono poi associate all ID di un tag di identificazione applicato sulla sacca di sangue, insieme all ID dell Operatore identificato tramite ID di un apposito Tag che ha seguito la funzione. Al momento della trasfusione, si effettua il controllo incrociato dei dati sul braccialetto e sulla sacca di sangue. 2) Viene effettuato inoltre un tracciamento dei contenitori delle piastrine. I contenitori, provenienti anche da altri ospedali, vengono contrassegnati con tag contenenti informazioni sul donatore, il ricevente, l operatore ed eventuali trattamenti da eseguire sulle piastrine. All atto della trasfusione delle piastrine viene effettuato, come nel caso precedente, un controllo incrociato tra i dati sul tag del contenitore e i dati referenziati dal braccialetto del paziente. Caso: Istituto Scientifico Universitario S. Raffaele, progetto Drive Questo Istituto sta lavorando all armadio intelligente. Viene applicato un tag su ogni confezione di farmaco che trova posto nell armadio, in modo che tramite un dispositivo Reader sia possibile rilevare i flussi in entrata e in uscita dall armadio effettuando anche verifiche: l operatore, prima del giro visite, preleva dall armadio intelligente le confezioni necessarie, il sistema rileva la confezione prelevata e verifica la correttezza del prelievo, confrontandola con una picking list precaricata. Tramite WiFi viene inviata conferma al PC presente sul carrello dell operatore dell avvenuto prelievo e il sistema provvede alla spunta, migliorando così l accuratezza e la velocità dell attività. 14 di 19

1) Rilevamento dei flussi entrata-uscita delle medicine in armadio intelligente e controllo correttezza ricetta : Tag EPC sulle medicine, registrazione dati su DB, reader sull armadio. Caso: Azienda Sanitaria 6 di Vicenza L applicazione viene sviluppata per assicurare in modalità automatica il processo di identificazione corretta dei pazienti ottimizzando i tempi. Questo processo è stato in questo modo integrato all interno della gestione della terapia farmacologia, anche in considerazione del fatto che l ASL 6 di Vicenza è una delle strutture coinvolte nel progetto promosso dalla Regione Veneto per la gestione informatizzata della terapia farmacologia. La soluzione implementata con il progetto regionale prevede la rilevazione del trattamento farmacologico sul singolo paziente ospedaliero tramite l utilizzo di dispositivi wireless (tabletpc, portatili o palmari) durante la normale attività di reparto. 1) Durante la fase di registrazione del paziente viene fornito un braccialetto identificativo con tag contenente i dati forniti in accettazione. Successivamente il paziente viene identificato dal medico in visita attraverso la lettura dei dati sul bracciale. I tag posti all interno dei braccialetti sono passivi, operanti alla frequenza di 13,56 Mhz conformi a ISO 15693. 2) La prescrizione farmacologia per il paziente: viene effettuata dal medico su un tablet PC. I tablet PC sono collegate in wireless al sistema centrale, dove sono immagazzinati i dati di tutti i pazienti. Anche la somministrazione dei farmaci avviene in una modalità simile. Viene stampato dal sistema centrale il Piano di Somministrazione. L infermiere durante il giro di somministrazione identifica nuovamente il paziente leggendo con il tablet PC il braccialetto elettronico del paziente. Una volta effettuata la somministrazione l infermiere registra sul tablet PC l operazione. Le informazioni vengono trasmesse tramite WiFi al sistema centrale. I reader sono delle compact flash che vengono integrate nel tablet PC. Le informazioni sul paziente e sulla cura farmacologia prescritta e somministrata sono raccolte attraverso PC portatili o tablet PC connessi alla LAN attraverso una rete wireless, realizzata con access point distribuiti nei reparti. Alla stessa LAN sono connessi i server su cui sono raccolte le informazioni. 4.1.2 Supporto alle operations nell Allevamento e in Agricoltura: Tracciabilità agro-alimentare come garanzia di origine dei prodotti Caso: Consorzio della Qualità della Carne Bovina della Coldiretti di Milano e Lodi Il Consorzio è un associazione di allevatori nata nel 1999 cui afferiscono sia aziende agricole a conduzione familiare, che impianti di macellazione e lavorazione industriale. Hanno trovato impiego presso questa struttura tre applicazioni. La prima applicazione riguarda l identificazione automatica dei capi di allevamento, la seconda impiega RFId per movimentare le mezzane nei macelli la terza applicazione viene implementata nei punti vendita chiudendo il ciclo del trattamento dell allevamento. 1) Identificazione dei Capi in Allevamento attraverso l impiego di: marca auricolare, tag a 134,2 KHz ISO11784/785 o bolo endoruminale. Le informazioni raccolte sono inviate attraverso un collettore all anagrafe bovina. Il sistema di identificazione viene usato anche per gestire le operazioni interne all allevamento. 2) La Tracciabilità capi in macellazione utilizza tag a 13,56 MHz riscrivibili. Le informazioni presenti sul tag del bovino (dall allevamento) vengono passate ai tag collocati sui ganci che 15 di 19

movimenteranno le diverse parti dell animale all interno dei processi di macellazione. I tag sui ganci saranno quindi di supporto alle diverse operations registrando dati relativi alle lavorazioni. 3) Tracciabilità e prezzamento capo con l ausilio di tag a 13,56 MHz riscrivibili e passivi collegati alle bandierine portaprezzo. Le parti di animale arrivano nei punti vendita accompagnati dal tag di identificazione, attraverso cui è possibile conoscere la provenienza del bovino e con l ausilio di un dispositivo di pesatura/prezzatura munito di reader, eseguire la prezzatura automatica della carne. 4.1.3 Ticketing CRM di Servizi nel Trasporto Pubblico: Bigliettazione elettronica Caso: APS Mobilità Padova APS Mobilità si occupa della gestione del sistema di trasporto pubblico urbano della città di Padova e zone limitrofe, trasportando ogni anno circa 35 milioni di passeggeri. APS Mobilità sta sviluppando un progetto di bigliettazione elettronica per consentire l integrazione tariffaria con i vettori che operano nella provincia di Padova, con la SITA e Trenitalia e l interoperabilità con i servizi quelli già presenti a Treviso e Venezia. L implementazione prevede il biglietto contactless multicorsa, e gli abbonamenti con smart card ibride (contact+contactless). Attraverso le soluzioni RFId, oltre l integrazione tariffaria con gli altri vettori, si intende così diminuire l evasione rendendo obbligatoria la convalida del biglietto a bordo delle vetture e rilevare dati utili al miglioramento del servizio. 1) Ticketing su lunghi percorsi/abbonamenti/biglietti cumulativi multicorsa, ingressi in ZTL: per i biglietti multicorsa tag con 176 bit EEPROM, per gli abbonamenti: smart card ibride con 512 byte di memoria. In entrambi i casi la tecnologia è conforme allo standard ISO 14443 e opera alla frequenza di 13,56 MHz 4.1.5 Gestione di asset : Identificazione e tracciabilità oggetti di valore Caso: Tracciatura dei Documenti PA. Uffici Università di Messina Al fine di identificare, monitorare e tracciare la documentazione cartacea e le varie pratiche interne e per migliorare l'efficienza dei processi amministrativi, l'università di Messina ha sviluppato, all'interno del proprio Laboratorio, con partners, un progetto di sperimentazione di nuove tecnologie per il tracciamento dei documenti, utilizzando tecnologie wireless ed RFD. Il progetto prevede l uso di tag posizionati sui documenti e antenne di lettura che permettano di seguire il percorso di un documento, offrendo così benefici all archiviazione ed al monitoraggio del processo amministrativo. 1) Gestione flussi documentali per il tracciamento relativo alle pratiche dei cittadini: tag RFId a 13,56 MHz 4.1.6 Supporto alle operations nei Settori dei Servizi: Miglioramento nella efficienza e qualità dei processi operativi nelle aziende di Servizi Caso: Biblioteca Comunale di Vignola Francesco Selmi La biblioteca conta oltre 11000 utenti iscritti e dispone di un patrimonio di oltre 76000 documenti tra materiale cartaceo, supporti multimediali e materiale storico consultabile in loco. La biblioteca utilizza la tecnologia RFId come sistema antitaccheggio, per erogare il servizio di auto-prestito, per automatizzare la revisione inventariale e per gestire i documenti fuori posto. E stato posizionato un tag con un 16 di 19

numero di inventario, su ogni oggetto del patrimonio della biblioteca. Il sistema comprende: una stazione di inizializzazione dei tag, un lettore portatile, una stazione di auto-prestito e dai varchi antitaccheggio. Agli utenti sono distribuite tessere identificative contenti un tag RFId utili per l autoprestito. 1) Tag antitaccheggio sui volumi:, con codice inventario: 13,56 MHz ISO15693 e ISO 18000-3 con funzione anticollisione e EAS antitaccheggio (sistema di allarme su situazioni di emergenza) 2) Tessera identificativa dell utente dotata di RFId per effettuare alla stazione designata l autoprestito. A questo entry point viene associato l ID dell utente, attraverso la tessera al quello del tag, contenuto nell oggetto. Avvenuta l operazione l oggetto è automaticamente autorizzato al passaggio dei varchi antitaccheggio. Il processo contrario avviene alla restituzione del documento. 3) Antitaccheggio: i varchi di ingresso/uscita della biblioteca segnalano il passaggio di un oggetto la cui uscita non è stata autorizzata. Caso: Processi logistici in Magazzini, Magazzini Doganali ed Ambienti difficili(magazzini a temperatura controllata, magazzini sterili, ambienti ad elevata umidità) 1) Tag passivi in unità di movimentazione(pallet) o su singolo prodotto: 13,56 MHz Caso: Dipartimento Ambiente e Territorio Provincia di Livorno I 2400 cipressi del viale di Bolgheri, nel comune di Castagneto Carducci, considerati monumento nazionale, sono stati colpiti fin dagli anni 70 da una malattia che rende necessari trattamenti fitosanitari. Il Dipartimento Ambiente e Territorio della Provincia di Livorno, allo scopo di identificare in modo univoco ciascuna pianta, ha deciso di impiegare la tecnologia RFId. Ogni pianta è identificata con un piccolo tag inserito nel tronco contenente solo il codice univoco che, attraverso il sistema informativo, viene associato alla scheda anagrafico - storica della pianta. In occasione dei controlli sui cipressi gli operatori accedono, tramite reader, alle informazioni storiche della pianta presenti sul DB e inseriscono le informazioni sui trattamenti necessari. 1) Identificazione per monitoraggio cipressi monumentali che necessitano trattamenti fitosanitari: tag cilindrico operante a 131, 6 KHz con 264 bit di memoria 4.2 Matrice Minacce - Applicazioni La matrice che segue riassume in un quadro sintetico gli elementi indicativi per valutare potenziali minacce al sistema RIFd. è ed è stata creata sulla base delle informazioni e delle applicazioni di cui abbiamo conoscenza e che sono state esposte in questo documento. Pertanto possono non essere state riportate eventuali contromisure o sistemi supplementari che nel frattempo possono essere state implementate e di cui potremmo non avere visibilità. 17 di 19

Azione della Minaccia Ist.Ortopedico Rizzoli S. Raffaele Isti.Trasfusionale S. Raffaele Prog. Drive ASL 6 Vicenza Consorzio Carni Bovine APS Mobililtà Università di Messina Biblioteca Comunale Vignola Logistica Magazzini Dip.to Ambiente e territorio Tracciabilità X X X X X Identificabilità X X X X X Scansione tag Scrittura/modifica non X X X X X X X X X X autorizzata Cancellazione tag X X X X X X X X X X Analisi del traffico X X Eavesdropping X X X X Man in the middle Attack Network snooping X X X Spoofing DoS X X X X X X X X X X Distacco X X X X X X X X X X Distruzione X X X X X X X X X X Schermatura X X X X X X X X X X Scaricare le batterie X ¹ X ¹ X ¹ X ¹ X ¹ X ¹ X ¹ X ¹ X ¹ X ¹ Blocker X X X X X X X X X X Sistema anti-collisione X ² X ² X ² X ² X ² X ² X ² X ² X ² X ² Jamming X³ X³ X³ X³ X³ X³ X³ X³ X³ X³ Blocco Comunicazione X X X X X X X X X X Detuning SQL Injection X³ X³ X³ X³ X³ X³ X³ X³ X³ X³ X 1 Per i dispositivi attivi o semi-attivi X² Per sistemi dotati di dispositivi anti-collisione X³ Dipende dal tipo di dispositivi adottati o sistemi, in termini di potenza lettore, tecniche di protezione del sistema di back-end 4.3 Gestione del Rischio: cenni Per comprendere il significato del Rischio nell ambito della sicurezza delle informazioni possiamo dire che questo è una funzione della Probabilità che si verifichi un evento dannoso che determina un Impatto (danno atteso se l evento si verifica). La Probabilità suddetta a sua volta può essere determinata da eventi accidentali o deliberati. Nell ambito della definizione di un sistema che si intende proteggere, l attività di Gestione del Rischio è riconducibile a due fasi distinte: Analisi del Rischio e Controllo del Rischio. La prima fase in particolare risulta fondamentale ed ha come scopo quello di associare ai beni (Asset individuati nel nostro sistema: persone, oggetti, know how, hardware, software, etc.) il livello di rischio per le coppie Vulnerabilità-Minaccia. All analisi segue la Valutazione del rischio individuato. Questa fase è anche essa molto delicata e può seguire due approcci distinti: Quantitativo e Qualitativo. La scelta di uno dei due approcci determinerà il tipo di risultato, in quanto la stima del primo segue essenzialmente la strada del danno economico e si basa su misurazioni statistiche basate sulla misurabilità concreta dell Impatto, anche se portano ad una visione ristretta della complessità del rischio. Il secondo invece valuta e classifica il rischio secondo una scala di valori non economici. Risulta semplice da applicare ed è previsto dagli standard internazionali, ma non dà una misurazione economica. L attività correlata alla Gestione del Rischio, consiste in un processo che deve essere inquadrato nella realtà organizzativa da analizzare, e come tale, rappresenta un costo che, in fase di analisi implementativa di un sistema, deve essere prevista a budget ed essere coerente con gli obiettivi di sicurezza aziendali posti a monte. 18 di 19

Esistono varie metodologie a cui riferirsi per impostare tale processo: NIST SP800-30, CERT OCTAVE, STAR, MEHARI, Microsoft Security Risk Managment Guide, Treat and Risk Assessment Working Guide. A supporto di queste metodologie sono disponibili nel mercato, strumenti automatici e tool per lo svolgimento della Gestione del Rischio (CRAMM, COBRA, ecc.). 4.4 Contromisure Le contromisure da adottare nell improntare un sistema RFId sono commisurate all analisi del rischio relativo all impatto che la perdita del bene ha determinato. Di seguito elenchiamo alcune delle contromisure adottate nei casi di campo più comuni. La disattivazione elettronica del tag mediante il comando kill rappresenta una delle operazioni più semplici ma necessarie da effettuare per garantire che possa essere eliminata la tracciabilità indesiderata come può accadere nel caso, ad esempio, si superi un varco che limita il perimetro di lettura necessaria del tag. Allo stesso modo si ricorre alla rimozione forzata o sistemi di penalità per la mancata eliminazione fuori dall area d interesse dei dispositivi. In alternativa può essere utilizzata anche una informativa chiara all utente per l autoeliminazione. Con riferimento agli aspetti di privacy, è prassi consolidata richiedere il consenso esplicito al trattamento dei dati personali. Meno consolidata,, ma ugualmente importante, risulta la prassi dell obbligo di richiesta di autorizzazione al Garante per le applicazioni che consentano la localizzazione geografica e/o che profilino il comportamento delle persone. La prima barriera all accesso indesiderato ai dispostivi può essere rappresentata da procedure relative alla Identificazione, Autenticazione e Autorizzazione poste alla base del Controllo degli accessi. Si può poi procedere utilizzando una Crittografia minimale orientata alla sola cifratura del codice identificativo (encryption periodica da parte del lettore e hashing del codice da parte del tag) proseguendo, mediante dispositivi con caratteristiche tecniche che lo consentano, con l applicazione delle funzioni Hash e della Crittografia asimmetrica, e più in generale ricorrendo al Resource hiding (l attenzione cioè a nascondere le informazioni). Altre tecniche più sofisticate vedono l adozione di blocker tag tree-walking, che esegue un blocco delle funzionalità del lettore. Una contromisura adottata per rendere più complesse le trasmissioni di informazioni in un sistema RFId per disorientare chi ascolta le trasmissioni tra tag e reader con intenzioni malevole si possono impostare tecniche basate sul rapporto segnale/rumore per le quali la trasmissione avviene a distanza pre-fissata. Le più recenti applicazioni e studi hanno visto la nascita di nuovi Protocolli che posseggono molte caratteristiche di sicurezza utili a vincere i più diffusi attacchi. 19 di 19