SicurezzaInformatica

È accaduto un fatto curioso al recente vertice ONU di Tunisi sulla Società dell'Informazione: come avvenne pure al precedente vertice WSIS del 2003, anche quest'anno i badge dei delegati contenevano tutti un chip RFID (nonostante al vertice di Ginevra qualcuno delle Nazioni Unite avesse promesso che ciò non si sarebbe ripetuto). I chip non solo consentono un rapido passaggio ai checkpoint di sicurezza, ma favoriscono anche il tracciamento dei delegati senza che essi se ne rendano conto.

Un chiaro schiaffo alla privacy, questo deve aver pensato il relatore Richard Stallman (fra le altre cose fondatore del progetto GNU) che si è procurato un rotolo di carta stagnola per schermare adeguatamente il suo badge. Ovviamente ai checkpoint il badge veniva "scoperto" per permettere la lettura dei dati, quindi velocemente richiuso.

Quando Stallman ha iniziato a consigliare anche ad altri delegati di fare lo stesso, gli addetti alla sicurezza del vertice ONU non l'hanno presa molto bene...

La storia continua in questo articolo dell'Inquirer o nel blog di Bruce Perens (entry del 18 Novembre).

Commentando il recente regolamento USA che introduce i chip RFID nei passaporti, l'esperto di sicurezza Bruce Schneier, scrivendo dalle colonne di Wired News, introduce un altro potenziale problema di privacy: l'identificazione univoca dei chip grazie ai collision ID.

RFID chips, including the ones specified for U.S. passports, can still be uniquely identified by their radio behavior. Specifically, these chips have a unique identification number used for collision avoidance. It's how the chips avoid communications problems if you put a bagful of them next to a reader. This is something buried deep within the chip, and has nothing to do with the data or application on the chip.

Chip manufacturers don't like to talk about collision IDs or how they work, but researchers have shown how to uniquely identify RFID chips by querying them and watching how they behave. And since these queries access a lower level of the chip than the passport application, an access-control mechanism doesn't help.

C'è da notare che la semplice conoscenza del collision ID non permette di risalire ai dati contenuti nel chip, ma potrebbe consentire di effettuare un tracking non autorizzato.

Ricordo infine che il regolamento statunitense impone anche ai cittadini che possono entrare negli USA per brevi periodi di tempo senza visto (come gli Italiani) di presentare alla frontiera, a partire da Ottobre 2006, un passaporto contenente un chip RFID.
Resta la mia perplessità: ce la faranno tutti i Paesi del VWP, fra cui l'Italia, ad adeguarsi nel giro di un anno? O saremo costretti a chiedere una (forse doverosa, in questo caso) proroga?