Archivo de la categoría: RFID

Tarjetas, carnets o pasaportes con RFID: ¡no, gracias!

Hace tiempo que no escribo sobre este tema por no parecer pesada (ver el disclaimer abajo). Pero es que lo del uso del RFID está cada vez peor. Se cumplen los pronósticos que decían que 2008 sería el año en que «rompería» esta industria. Ya tenemos el chip en el pasaporte. En el bonobús. En la tarjeta de alquiler de bicis urbanas. En otros países ya les han llegado las tarjetas de crédito con RFID. Debido a grupos de presión como CASPIAN en Estados Unidos, a asociaciones como Privacy International, EDRi (y  en mucha menor medida a blogeros como yo, que ponemos un granito de arena)  el nombre RFID tiene connotaciones negativas y por lo tanto ha empezado la gran búsqueda del eufemismo para esta tecnología: contactless (sin contacto), over the air (a través del aire) son mis favoritos.

Hay otra razón por la que parece que esta industria «rompe». Si ya estaba demostradísimo que el chip RFID del pasaporte se podía clonar, así como que debido a una malísima elección de claves de encriptación, era fácil de crackear… ahora resulta que el gobierno holandés (¡al fin un gobierno que se preocupa por sus ciudadanos!) denuncia que uno de los modelos de chip RFID más extendido para todo tipo de aplicaciones (tarjetas bonobús, pero más preocupante, tarjetas de crédito) se puede crackear sin problema.

Y para hacerlo más visual, aquí vienen los de boing boing y publican este video en que se muestra cómo se hace esto con la ayuda de material electrónico que se puede comprar por eBay al módico precio de ¡ocho dólares!

Por si no ha quedado claro: alguien con ocho dólares y un poco de tiempo y habilidad para seguir cuatro instrucciones es capaz de acceder a los datos de tu tarjeta de crédito, clonarla, hacer lo que le dé la gana con ella.

Yo tengo claro que mi pasaporte vive dentro de una funda protectora para pasaporte RFID, y mi tarjeta del bicing en mi cartera con jaula de Faraday. No tengo tarjeta de crédito con RFID ni espero tenerla nunca. Que no me dejen escoger la versión con banda magnética será para mí razón suficiente para cambiar de banco.

Seré feliz cuando pueda cerrar ProteccionRFID cuando nuestros gobiernos escuchen a los expertos y comprendan de una puñetera vez que por mucho que insistan los fabricantes, esto de usar RFID para temas que requieren un mínimo de seguridad es una auténtica estupidez, y debería ser abolido.

(Disclaimer: ProteccionRFID es una pequeña iniciativa personal para promocionar carteras y fundas con jaula de Faraday en España)

Llega el RFID a las farmacias españolas

Esta semana se ha celebrado el congreso «GS1 Healthcare Conference» en Granada. Y allá ha venido la gente del RFID, solo que le han cambiado de nombre, les llaman EPC. En El País han hablado con Carlos Torme, director para España de desarrollo de negocio de GS1. Y han introducido el tema con el siguiente párrafo, manipulador a muerte:

El chip de identificación de artículos EPC (Electronic Product Code), sistema que sustituirá el tradicional código de barras por la radiofrecuencia, evitará problemas en la medicación, causante del 32% de los trastornos de salud, y el control ante la proliferación de medicamentos falsificados.

Es decir: «cambiando el código de barras por un tag RFID reducirá en un 32% los trastornos de salud, ya que el 32% de los trastornos se deben a problemas en la medicación».

Dicho así es difícil resistirse al RFID, ¡¡por una cabezonería, negarle la salud al 32% de los enfermos!! pero la pregunta es, ¡¡me explican cómo el cambio del código de barras al RFID va a conseguir que mi farmacéutica me dé bien las medicinas!! Y lo de la piratería…….. bah. Repitámoslo: los tags RFID se pueden clonar. Así que quien quiera piratear la Viagra, se va a la farmacia, se compra una caja de Viagra «buena», clona el chip y ya está.

El link al artículo en El País.

Wal-Mart se cansa de esperar: cobrará a sus proveedores 2 dólares por cada pallet que no lleve RFID

Leo en Information Week que Wal-Mart se ha cansado. Los grandes impulsores del RFID en la cadena de suministro (papel que comparten con el ejército americano) van a comenzar a cobrar a los proveedores que todavía no hayan implementado la tecnología. A partir de finales de enero del 2008, exigirán 2 dólares por pallet que no lleve un tag RFID integrado.

Cómo tratar a los niños como ganado: escuela inglesa inserta chips RFID en los uniformes

La noticia: una escuela inglesa inserta chips RFID en los uniformes para controlar su asistencia a clase.

Paso de hablar del tema de privacidad. En este caso voy a tratar del tema «pagar una pasta para que traten a tus hijos como ganado». Y conste que tengo un especial cariño por las ovejas, mirad mi avatar a la derecha para comprobarlo, pero lo  cierto es que una característica del ganado es que los individuos que forman parte de él son indistinguibles, y por eso desde tiempos inmemoriales se les marca (con una mancha de pintura, por ejemplo) para al menos saber de quién es cada animal. Los niños no deberían ser como ganado, son seres humanos, y en las escuelas se les tiene que tratar como tales, el profesor tiene que ser consciente de que le falta un niño, y para que esto pase las clases tienen que ser de un tamaño reducido (idealmente menos de 20 chavales por grupo) y el profesor ha de ser un profesional motivado y bien remunerado.

Marcar a los niños con un chip RFID es intentar convertir a esos niños en productos indistinguibles, es convertir la escuela en una simple cadena de suministro, como una planta enlatadora de atún. Cualquier análisis coste-beneficio de una implementación de RFID se apoya en el objetivo de poder automatizar más, para poder producir más y más rápido sin que se produzcan pérdidas de stock en tu cadena: que no pierdas ni atunes ni latas. En el caso de los uniformes, igual que en el de los enfermos de Alzheimer internados en un sanatorio que  ya comentamos el invierno pasado, el único objetivo de esto es poder industrializar algo que por definición debería ser realizado de manera personalizada: la educación de los niños o el cuidado de un enfermo con autonomía cero.

Que no te «vendan la moto». Si le ponen un chip a tu hijo, es para masificar su educación.

Y además, no subestimes su inteligencia. Si quiere «hacer campana» (faltar a clase) para drogarse, o cualquier tontería que te diga el director del cole para asustarte primero y convencerte de que «el chip es muy útil por su seguridad» después, le basta con dejar la prenda con el chip en el cajón de su pupitre. Así que si quieres asegurarte de que tus críos van a clase, llévalos a un buen colegio (público por ejemplo) donde los profesores lo dan todo y más por el buen aprovechamiento de su grupo; ve a las reuniones de la escuela; apoya a tus hijos en sus actividades extraescolares, estate al pendiente de sus problemas y de sus avances. Eso no lo puede suplir ningún chip por muy RFID que sea.

En The Register: http://www.theregister.co.uk/2007/10/22/kid_chipping_doncaster_go/
En El Mundo: http://navegante2.elmundo.es/navegante/2007/10/23/gadgetoblog/1193125396.html

Identificada a distancia! Momento de la verdad… RFID

Andaba yo por la feria postal PostExpo que se acaba de celebrar en Barcelona y me pasé a visitar el stand de la empresa que montó aquel sistema RFID a Correos que tiene el honor de ser el más grande de Europa. Lo tienen montado para hacer 4 pruebas: unos arcos detectores, un carrito y unos contenedores de Correos, todo equipado con etiquetas, y un ordenador conectado a los arcos para visualizar las lecturas realizadas.

Mientras me alejo de los arcos me dice el señor: «Mira, tenemos un tag RFID para el carrito y uno en cada uno de los contenedores, o sea, 6 de los contenedores más el del carrito, siete tags. Ahora enciendo esto y verás aquí las lecturas…»

Zap, enciende los arcos. Zip, prrrrrp, aparecen unos números en la pantalla. Satisfecho, el señor sigue con la explicación.

«y como puedes ver, aquí aparecen las siete lecturas…. qué raro, son ocho. Tú no llevarás un tag encima, ¿verdad?»

La chapa de identificación de la empresa, que por supuesto llevaba colgada y por lo tanto fuera de la cartera protectora RFID. Puñetera cosa, a pesar de ser un tag pasivo, a pesar de decir los Relaciones Públicas de la RFID que los pasivos solamente se pueden leer a unos centímetros… allá estaba el arco y allá estaba yo con mi chapita, y la distancia que me separaba del lector os aseguro que era superior a dos metros.

Fue un momento de aquellos para recordad. Y eso que hay poca gente en España que escriba tanto como yo sobre lo que representa RFID para la privacidad, sobre las posibilidades «vigilantes» de la tecnología, sobre el fatídico pasaporte RFID que se puede leer a distancia, sobre que si el banco me enchufa una tarjeta de crédito RFID, me cambio de banco……… pero ver tus datos personales ser leidos a distancia por arcos detectores de aspecto nada diferentes a los que protegen de robos cualquier tienda moderna, de esos que atravesamos cien mil veces en una tarde de compras……… pero sin pasar por ellos, solo por estar cerca, como si camináramos por un eje comercial incluso sin entrar a las tiendas… el acongoje que te agarra la garganta es demasiado. No tiene precio.

Hoy he vuelto a hablar con ellos y me han confirmado que en tag pasivo, los HF se leen fácilmente hasta 30 cm. Los UHF, hasta 4 metros!!!!!!! Y para hacer honor a la verdad, sí es cierto que los tags que usaron con Correos llevan un número de identificación única y punto. En la lectura de mi chapita allá en la feria, pude ver mi nombre «claramente» escrito en Hexadecimal. Está claro, en este mundo hay quien hace chapuzas y hay quien no. Hay aplicaciones RFID totalmente compatibles con el respeto a la privacidad, pero hay dos prerrequisitos: que no tengan nada que ver con la identificación personal, y que las lleven a cabo buenos profesionales y no ratas saca-dineros que venderían (los hábitos de compra de)(a) su madre si les pagaran por ello.

El colmo: lector de pasaporte RFID, crackeado

Es el colmo. Si ya hemos hablado aquí incontables veces de lo lamentable, vergonzoso, patético, peligroso e irracional que es que el Gobierno de todos los países de la UE, de EEUU, y de otros países hayan obligado a sus ciudadanos a adoptar el precario pasaporte electrónico o pasaporte RFID, que se puede leer a distancia, y que ha sido crackeado, pues ahora viene algo peor.

Lukas Grunwald, el pionero en esto de demostrar las vulnerabilidades del pasaporte, ha dado un giro de tuerca al asunto… logrando crackear EL LECTOR de pasaporte RFID que tienen los agentes de migración en los países anteriormente citados.

Esto debido a una vulnerabilidad en torno al tratamiento de la foto almacenada electrónicamente. Lukas ha logrado modificar un pasaporte para que al leerlo, «secuestre» el lector, que a partir de ese momento hará lo que le diga quien lo controla (por ejemplo, dar como bueno los 30 siguientes pasaportes que se lean, lo cual si pensamos, dejaría a las 30 siguientes personas de la cola pasar, independientemente de lo «chungo» de su pasaporte)

Los links a la noticia:
eliax.com
Wired (en inglés)

Y por supuesto, y por favor… si vuestro pasaporte se ha expedido a partir de agosto del 2006, es RFID, así que no salgáis de casa sin protegerlo. O lo envolvéis en papel de aluminio, o le compráis una funda de piel con jaula de Faraday de las nuestras. Si alguien jode un lector RFID, que lo haga… pero no con una copia clonada de vuestro pasaporte.

Más polvo RFID de Hitachi

En Sombra Digital nos topamos con este post en el que describen las minúsculas etiquetas RFID que pretenden integrar «con todo». Cuadraditos de 0,05 x 0,05 mm, más pequeños que un grano de arena, fácilmente integrados en celulosa que luego se pudiera utlizar para el embalaje de objetos de valor, o las tapas de tu pasaporte.

El artículo se titula «microprotección». Yo le llamaría «macrodesprotección». Ojo al dato y tiempo al tiempo, van a acabar colocándonos los chips RFID no con la cutrez del Verichip, sino integrado en los empastes de las muelas.

La Unión Europea opina que RFID puede significar un riesgo para la privacidad de los ciudadanos

En Kriptópolis leemos una escueta nota en la que se nos informa que la STOA, el comité de Evaluación de Opciones Científicas y Tecnológicas del Parlamento Europeo, opina que cuando RFID se utilice a pleno potencial, el derecho a la privacidad y la intimidad de los ciudadanos estará en peligro, y por eso habrá que tomar medidas para que la libertad e intimidad de las personas se garantice.

Noticia:
http://www.kriptopolis.org/informe-europeo-alerta-rfid

El informe de la STOA: RFID y gestión de identidad en la vida cotidiana (en inglés):
http://www.europarl.europa.eu/stoa/publications/studies/stoa182_en.pdf

Web: Security and Privacy in RFID Systems

Me he encontrado con "Security and Privacy in RFID Systems" (http://lasecwww.epfl.ch/~gavoine/rfid/), una Web dedicada a artículos y trabajos científicos en general relacionados con RFID y la privacidad. Parece ser que el sitio lo mantiene personal conjunto de la prestigiosa École Polytechnique Fédérale de Lausanne y del MIT estadounidense.

Ahí me entero que en Málaga, este mes de julio habrá un congreso sobre seguridad en RFID (http://www.rfidsec07.etsit.uma.es/confhome.htm). Si alguien va y toma notas, que nos las haga llegar, por favor.