La California rende un crimine i tag RFID "scremati"

Questa settimana, la California è diventata il secondo stato a passare una legge che rende illegale rubare dati dalle carte RFID (identificazione a radiofrequenza).

La legge stabilisce una sanzione che include una multa massima di US $ 1.500 e fino a un anno di prigione per qualcuno condannato per aver letto di nascosto le informazioni da una scheda RFID.

I chip RFID, utilizzati in una crescente varietà di applicazioni in tutto il mondo, memorizzano piccole quantità di informazioni che un dispositivo vicino può leggere. Tra le altre cose, i chip possono essere utilizzati per archiviare i dati dei clienti su una carta di credito o consentire alle persone autorizzate di aprire porte o porte di auto bloccate in sistemi di accesso "senza chiave".

La legge della California fa eccezioni per determinate situazioni di emergenza, come come consentire a un operatore sanitario di digitalizzare la tessera sanitaria abilitata per RFID di qualcuno al fine di aiutare la persona. Inoltre, gli agenti di polizia sarebbero stati autorizzati a visualizzare le informazioni su una carta RFID con un mandato.

Il disegno di legge è stato introdotto per la prima volta dal senatore dello Stato della California Joe Simitian nel 2006 e la versione finale è stata firmata in legge mercoledì. Era supportato da un'ampia varietà di gruppi che vanno dall'American Civil Liberties Union ai Gun Owners of California.

All'inizio di quest'anno, Washington divenne il primo stato a varare una legge contro il furto di dati RFID. Washington lo rende un crimine di classe C per rubare dati da una carta RFID appositamente allo scopo di frode, furto d'identità o altri scopi illegali. Ciò significa che se condannato, un criminale potrebbe ricevere una sanzione di una sanzione di $ 10.000 e cinque anni di carcere.

Mentre ci sono meccanismi di sicurezza che gli emittenti di carte RFID possono impiegare per rendere più difficile per qualcuno rubare dati memorizzati su di essi, molti non lo fanno o lo fanno male, quindi queste leggi potrebbero servire come deterrente contro i potenziali hacker.

Un articolo pubblicato di recente dalla Stanford Law Review ha illustrato alcuni esempi allarmanti di ricercatori della sicurezza che hanno hackerato la RFID sistemi. In un caso, i ricercatori della Johns Hopkins University hanno decifrato il codice di crittografia sui chip Texas Instruments utilizzati nelle carte gas Exxon Mobil. Armati di quel codice, un laptop e un semplice dispositivo RFID, sono stati in grado di riempire i serbatoi di gas gratuitamente.

Il documento di Stanford cita anche il lavoro svolto dai ricercatori di sicurezza informatica presso IO Active che mostrano con quanta facilità potevano clonare le informazioni memorizzato sulla costruzione di schede di ingresso. In un altro esempio descritto nel documento, i ricercatori dell'Università del Massachusetts hanno speso $ 150 per costruire un lettore RFID e hanno scoperto che potevano leggere informazioni come nomi e altri dati memorizzati su carte di credito abilitate per RFID. Hanno scoperto che i dati sono stati archiviati sulle carte commercialmente utilizzate non crittografate e in formato testo.

Il governatore della California questa settimana ha posto il veto a un'altra legge correlata, introdotta anche da Simitian. Tale legge avrebbe richiesto alle scuole di ottenere il consenso scritto dei genitori prima di rilasciare tessere RFID agli studenti che potrebbero essere utilizzate per registrare la presenza o per rintracciare il luogo in cui si trovavano gli studenti. Il disegno di legge, redatto dopo le polemiche scoppiate in una scuola californiana che emetteva tessere RFID agli studenti, avrebbe anche richiesto alle scuole di adottare alcune misure per proteggere la privacy degli studenti.