Dois investigadores da Universidade de Cambridge, ligados à área da segurança informática, estão a preparar para esta noite uma experiência de ataque através da qual pretendem provar que é possível extrair informação secreta contida em smart cards usados. Uma vulnerabilidade recentemente descoberta nos smart cards - e que possibilita o roubo de informação dos cartões - está na origem desta iniciativa que terá lugar esta noite numa conferência do Institute of Electrical and Electronics Engineers.



Os smart cards são utilizados em vários géneros de aplicações, incluindo a protecção de identidade electrónica, cartões de crédito e de débito e pagamentos por telefones celulares e sistemas de identificação.



Os investigadores de Cambridge afirmaram que discutiram a sua descoberta com vários fabricantes de cartões, e que a maior parte admitiu a vulnerabilidade. Contudo, uma das empresa declarou não acreditar que os seus produtos tenham essa falha, afirmando que a sua equipa já tinha previsto ataque idêntico ao que será agora levado a cabo.



Aos fabricantes, os investigadores propuseram ainda uma mudança de design nos smart cards, que serviria para aumentar a protecção a ataques. "Esta vunerabilidade poderá causar um grave problema à indústria", escreveram no relatório técnico denominado "Optical Fault Induction Attacks", onde defendem que os fabricantes terão que adicionar novas características ao produto para aumentar a sua segurança.



A equipa inglesa descobriu a falha depois de um deles perceber que podia interromper a operação do microprocessador do smart card, bastando para tal apenas expô-lo a um flash de uma câmara electrónica. Com um trabalho mais cuidado os investigadores conseguiram focar o flash em cada um dos circuitos combinando este dispositivo com um microscópio.



De acordo com o explicado, é possível expor o circuito à luz raspando a maior parte do camada protectora da superfície da unidade do circuito de microprocessador embebido em cada um dos smart cards.



Mudando sequencialmente os valores dos transístores usados para armazenar informação, os investigadores puderam fazer o "reverse engineer" do mapa de endereços da memória, permitindo-lhes extrair informação secreta contida no smart card.



Mas a iniciativa da Universidade de Cambridge é apenas uma das que serão apresentadas esta noite, organizadas com vista a demonstrar as vulnerabilidades dos smart cards mas também a deixar alguns conselhos para a melhoria dos produtos, segundo o noticiado pelo The New York Times. Uma equipa de investigadores do Thomas J. Watson Laboratory da IBM prepara-se para apresentar um relatório sobre a descoberta de uma falha de segurança diferente nos cartões S.I.M., utilizados nos telemóveis GSM.



Esta falha de segurança diz respeito à possibilidade de retirar informação secreta armazenada no cartão, roubar a identificação do utilizador do telemóvel e fazer chamadas grátis.



Alguma da informação é armazenada nos cartões na forma de um número composto por uns e zeros a que os criptógrafos se referem como "chave privada". Essa chave faz parte de um sistema de duas chaves que é utilizado para codificar e descodificar informação. A segurança de tais sistemas é abalada se a chave privada for revelada.



Normalmente, depois do detentor do cartão autenticar o mesmo - fornecendo o chamado código "pin" - a chave privada será depois utilizada para encriptar qualquer tipo de transacção utilizando o cartão. Por exemplo o cartão poderá ser utilizado para autorizar uma compra ou uma transferência de fundos, ligar-se a um rede informática ou entrar num prédio.



Já no relatório da IBM, intitulado "Partitioning Attacks: Or How to Rapidly Clone Some G.S.M. Cards", os investigadores afirmam ter conseguido baixar drasticamente o tempo necessário para roubar informação dos actuais telemóveis GSM.



Nesse mesmo relatório, os investigadores da IBM deixam ainda alguns conselhos à indústria dos smart card sobre a melhor forma de se protegerem das vulnerabilidades de segurança.



Notícias Relacionadas:

2001-12-20 - Interoperabilidade de cartões inteligentes em debate

2001-11-21 - MasterCard e Europay ultrapassam os 100 milhões de smart cards emitidos