"La empresa de transporte público de Barcelona planea introducir billetes de viaje con RFID para 2011. Se ha decantado por el sistema Desfire que utiliza RFID, aunque en la web de la ATM (ni en la del fabricante) no aparezca el término tabú en ningún momento" (...) "Hemos de deducir que la finalidad del nuevo sistema no es acelerar el embarque. Habrá muchos posibles fines (monitorización, publicidad, mejor control interno de los viajeros), pero desde luego no ése que nos dicen. ¿Por qué mienten? Porque la verdad dañaría su imagen"
|
etiquetas: rfid , barcelona , 2011 , bus , control , privacidad , 1984 , seguridad , desfire , atm
* sobre los riesgos del RFID
meneame.net/story/identificacion-personas-rfid-ya-esta-aqui
meneame.net/story/el-implante-de-chips-en-humanos-lo-ultimo-para-contr
meneame.net/story/chips-polvo-nos-controlaran-como-novela-1984
meneame.net/story/nueva-forma-robar-informacion-tarjetas-credito-plena
meneame.net/story/hacker-pasea-san-francisco-clonando-pasaportes-rfid
meneame.net/story/instalan-chips-rfid-etiquetas-nombre-asistentes-conf
meneame.net/story/clonan-chip-rfid-humano-vivo-directo
meneame.net/story/los-problemas-del-pasaporte-rfid
meneame.net/story/publican-fallos-seguridad-chips-tarjetas-inteligente
* sobre el RFID en transportes
meneame.net/story/billetes-rfid-metro-cada-dia-mas-cerca
meneame.net/story/rfid-en-los-billetes-de-metro
* sobre cómo protegernos del RFID
meneame.net/story/cartera-anti-rfid-casera
meneame.net/story/destructor-de-rfid-hecho-en-casa
Búsqueda por tag:
meneame.net/search.php?p=tag&q=rfid
* sobre los riesgos del RFID
meneame.net/story/identificacion-personas-rfid-ya-esta-aqui
meneame.net/story/el-implante-de-chips-en-humanos-lo-ultimo-para-contr
meneame.net/story/chips-polvo-nos-controlaran-como-novela-1984
meneame.net/story/nueva-forma-robar-informacion-tarjetas-credito-plena
meneame.net/story/hacker-pasea-san-francisco-clonando-pasaportes-rfid
meneame.net/story/instalan-chips-rfid-etiquetas-nombre-asistentes-conf
meneame.net/story/clonan-chip-rfid-humano-vivo-directo
meneame.net/story/los-problemas-del-pasaporte-rfid
meneame.net/story/publican-fallos-seguridad-chips-tarjetas-inteligente
* sobre el RFID en transportes
meneame.net/story/billetes-rfid-metro-cada-dia-mas-cerca
meneame.net/story/rfid-en-los-billetes-de-metro
* sobre cómo protegernos del RFID
meneame.net/story/cartera-anti-rfid-casera
meneame.net/story/destructor-de-rfid-hecho-en-casa
Búsqueda por tag:
meneame.net/search.php?p=tag&q=rfid
meneame.net/notame/Hass/66540
Que controlen todos tus movimientos no es una "comodidad".
Es trivial leer los tags RFID ajenos. Con un poquito de esfuerzo se pueden incluso copiar y falsificar.
¿Qué te parece si, por llevar la tarjeta del bus encima, vas dejando "rastros" en todos los sitios por que pasas? ¿Que todo se quede en una base de datos? ¿Que esa info caiga en malas manos? ¿Que te hagan spam personalizado? ¿Que lo use un "terrorista" para detonar el petardo justo cuando pasas? y un largo etcétera.
El RFID tiene usos buenos. Trazar y controlar a las personas no lo es.
He visto un montón de empresas que tienen tarjetas de entrada con RFID y a los tranvías pioneros de Vitoria ( #5 ) Y el único ahorro de tiempo que se logra es no tener que sacar la tarjeta de la cartera.
Pero las manitas las tienes que usar para acercar la cartera al lector (a no ser que te pongas a restregar la pernera del pantalón contra el lector, claro )
Si se hiciera como crees tú que se hace, estaría divertido de ver como un autobus va cobrando a la gente de la acera según les pasa por el lado
Ah, y por cierto, ¿qué cojones tiene que ver el recargar la tarjeta in situ con el RFID? Me parto
mifare DESFire
Contactless Multi-Application IC
with DES and 3DES Security
MF3 IC D40
www.smartcardzone.com/datasheets/DESfire.pdf
No seamos paranoicos, anda. No dejará de ser como la tarjeta del Bicing, que ya te la lee sin sacarla de la cartera pero que igualmente tienes que pasarla tocando el sensor.
Sabes perfectamente que eso no es posible ya que el Sistema Trocolario de TMB solo cobrará los RFIDs que se desplacen a la misma velocidad que el propio autobús (basado, obviamente, en un complejo y eficiente algoritmo relativista que, incluso, tiene previsto discriminar los RFIDs que se desplacen a la misma velocidad en vehículos cercanos utilizando eco-localizadores espiroidales de flujo inverso)
Si este sistema con RFID requiere dar los datos personales, que alguien lo aclare y entonces sí que es para oponerse. Pero si es como un bonobús con RFID en lugar de banda magnética, no acabo de verlo tan claro.
Que sean recargables depende de si llevan "chip inteligente". Que luego a ese chip le pongas un transmisor y una antenita RFID y lo conviertas en "sin contacto", es irrelevante. A eso me refería.
Mi tarjeta bancaria no-RFID también puede pagar el autobus y recargarse en las paradas. ¡Y sin RFID! Qué raro, ¿no?
Pero bueno, ya que me rio como un troglodita, estoy mal informado y sueno como un cencerro; por favor, ilumíname: ¿En qué influye que una tarjeta lleve o no antena RFID para que pueda o no pueda recargarse?
Tolón, tolón...
la tecnología de "monedero electrónico" es independiente a la de "RFID"
#14
La "ventaja" de tener una tarjeta rfid sería ahorrar el papel y tinta que gastamos en las tarjetas actuales. Por ejemplo, en vez de usar billetes simples/semanañes/mensuales, usar un solo billete.
Esto se "puede" hacer porque un tag RFID no se desgasta.
Y se "tiene" que hacer porque un tag RFID es barato, pero más caro que el papel. Pon que cada billete tiene un precio de coste de ~0.5€, muchísimo más elevado que los de toda la vida.
Y la segunda parte de la ecuación es que la tarjeta estará a tu nombre.
¿La has pagado con la tarjeta de crédito? pwn3d!
Incluso se obligará, "legalmente", a que la tarjeta sea a título personal. ¿Que no habrá huevos? Pues con los teléfonos móviles ya lo han hecho...
Sea como sea, es la ocasión perfecta para que nos lo vendan como un avance y por lo tanto, bueno. Como las máquinas esas de votar, que nos "ahorran" el esfuerzo de demostrar quién gana.
Fíjate que en la fuente inicial no aparece la palabra "RFID", y que se basan en la mentira de que es una medida para "acelerar el embarque". Ya empieza oliendo mal, ¿no?
El primer día no lo pedirán, igual que no lo hicieron con los móviles. Pero, a medio plazo, alegarán motivos de seguridad/terrorismo/pensad-en-los-niños para identificar al ciudadano. Es cuestión de tiempo.
Creo que te equivocas.
Un ejemplo:
> el pago del transporte público viene integrado en el DNI electrónico
Si tengo uno de esos y me lo quieren robar, me lo tendrán que arrancar de mis frías muertas manos.
Si tengo una tarjeta de crédito con tag RFID, la pueden copiar a distancia, ¡y sin que yo lo sepa!
Echa un vistazo al vídeo:
www.youtube.com/watch?v=NW3RGbQTLhE
le copian la etiqueta en el minuto 1:00, aunque es recomendable verlo entero
#4 www.kriptopolis.org/el-pasaporte-mas-seguro-no-da-la-talla
*ESA* es la seguridad que ofrece RFID. Por no hablar de que he visto otras noticias más recientes (pero ya antiguas, y que ahora mismo no encuentro) de gente capaz de duplicar cualquier documento de identificación, con sólo montar un ordenador junto a la ventana en el primer piso de una calle concurrida. Y todo el que pasaba por ahí, tenía su documento totalmente clonado y sin enterarse ni del nodo.
RFID, no GRACIAS.
El RFID no tiene pq tener asociado ningun dato personal, solo el 'saldo'...
Otra cosa es que la tarjeta oyster (es como se llama la tarjeta inglesa) es totalmente anónima, y no viene tu identificación en ningún lado. Cuesta 3 euros y luego la vas recargando con saldo en las máquinas que hay.
¿Hay alguna relación aparte de que ambos son acrónimos de cuatro letras?
Venga, me toca: Yo no se por qué tanta manía con el RFID. Todo el mundo ha estado llevando móviles con HTTP y nadie ha dicho nada...
Detalle para los pardillos ingenuos:
* El RFID puede llevar varios Kb de datos
* El RFID tiene un número único. Eso te identifica unívocamente, y puede ser un dato personal.
* El RFID despliega todo su potencial dañino cuando se cruza con otras bases de datos. ¿Has comprado tu billete de bus con la tarjeta de crédito? ¿Te has sacado el bono trimestral (para el cual hay que mostrar el DNI)? ¡Fichado!
* El RFID lo puede leer cualquiera, es un formato estándar como los códigos de barras pero en inalámbrico.
* Los tipos básicos de RFID (los comunes y baratos) están hackeados, y es trivial copiarlos. Lee las noticias sobre los pasaportes RFIDo ¡sobre las tarjetas de crédito RFID!
Sumando todo eso, puedo leer el id único de tu tarjeta de metro, demostrar que es la tuya, copiarlo, y plantar evidencias falsas de que has estado visitando todos los burdeles de tu ciudad. ¿Acojona?
Era un ejemplo, pero las aseguradoras de USA ya han hecho cosas similares. Hay mucho dinero en juego, con casos de todo tipo: el GPS y los coches, el alcohol que has pagado con tu tarjeta de crédito, con los genes y las enfermedades, etc.
Tengo experiencia con el RFID. Tengo experiencia con la minería de datos. Se perfectamente de lo que hablo cuando afirmo que las etiquetas RFID son un riesgo para las personas.
Diferencias:
* El GPRS tiene una resolución de hectómetros a kilómetros, el RFID de centímetros a metros.
* Con el GPRS es muy complejo hacer la triangulación, con el RFID es trivial almacenar todo lo que dice un lector.
* Al GPRS solo tiene acceso la operadora y los que están encima (estado, militares, etc), al RFID tiene acceso todo el mundo.
Conclusión:
* el GPRS solo te lo trazarán si tienes cuentas pendientes con el Mossad, la KGB o el DHS
* mientras que en cambio con el RFID es factible trazar a todo el mundo en todo momento.
En plan "Si cuela cuela, y si no me la pela"
#34 Para esa triangulación no hace falta GPRS, ni siquiera GSM. Solo cobertura de múltiples antenas y eso lo tiene la telefonía móvil desde el día uno.
#35 Ganas me dan de ir a Gijón y empezar a intercambiar IDs entre usuarios o mejor: desdoblar tarjetas y consumir los viajes... Hilarity ensued!
> No veo donde está el problema, aparte de en la cabeza del paranoico.
1) Mira los enlaces de #1
2) Observa que todos están en portada...
3) ...y aprende duramente
Que es muy fácil decir "no veo el problema" en cualquier contexto si no te has informado ni lo más mínimo sobre el problema en cuestión. Que es básicamente lo que está haciendo #35, o al menos eso parece.
Sobre Mifare y Desfire:
- NXP no pretende desligar Mifare/Desfire del término RFID. Simplemente no son tags RFID, no fueron diseñadas para Identificación por Radiofrecuencia (RFID) sino para operar como tarjetas inteligentes sin contacto, como una alternativa mas cómoda y rápida que las típicas tarjetas inteligentes (que nadie llamaría CID, identificación por contacto). A diferencia de los tags RFID que solo almacenan información, Mifare y Desfire permiten autenticación mutua con el lector y transaccionalidad con lo que se reduce el fraude.
- NXP quiere desligar Desfire de Mifare porque la seguridad de la segunda está seriamente comprometida. De hecho los problemas de seguridad de Mifare son mas graves para los operadores de transporte que para los usuarios, ya que permitiría falsificar tarjetas indistinguibles de las verdaderas. Si alguien quisiera identificar a un usuario usaría las bases de datos del operador, tratar de leer el chip de una tarjeta en una billetera es para espías.
Sobre los sistemas de recaudo en general:
- El boleto magnético también tiene un número único y generalmente se registra en la transacción. Así que con "RFID" o boleto magnético si pagas con tarjeta de crédito ya saben por donde viajas.
- Si pagas con efectivo ambos son igualmente anónimos, aún en los sistemas donde es posible "personalizar" las tarjetas muy pocos usuarios lo hacen.
- El tiempo de transacción es muchísimo mas corto con "RFID" (~300 ms) que con boleto magnético (~700 ms), así que si representa una ganancia en tiempo para los usuarios.
- La tarjetas "RFID" proveen comodidad adicional como por ejemplo permitir tener un boleto mensual y un monedero electrónico en la misma tarjeta. Así cuando tengas que pagar algún extra en el pasaje (ir fuera del área urbana, por ejemplo) puedes hacerlo con la misma tarjeta.
Es cierto que para las empresas de transporte la privacidad del usuario no es muy importante, de hecho es nada importante. Para ellos lo único importante es el dinero, es tan importante que les importa un comino por done vas tu, o si usas el mismo bus todos los días, no les interesa nada que hagas mientras estén seguros de que has pagado.
Por otro lado si temes por tu privacidad, simplemente compra una tarjeta anónima y paga siempre en efectivo.
Un saludo
Si claro, se pueden leer sin contacto físico, ése es el tema. Las posibilidades son múltiples: comida que indica fecha de caducidad a la nevera o en el supermercado, pagar todo el carro de la compra sólo con pasar por delante, pagar si sacar el billetero, identificarte en un bar como mayor de edad.
Si, claro que tiene sus peligros, pero son similares a aquellos que temen las tarjetas de crédito porque así tu banco sabe dónde estás y qué lo gastas.
Para los paranóico siempre te puedes comprar una billetera que sea jaula de Faradai, que las hay. Tienen hilos de cobre, con los que aíslan los campos de su interior.
Si se hace bien, no hay por qué preocuparse. Las comodidades son muchas y las desventajas, temporales o sólo si hacen las cosas chapuzeramente.
Por cierto, en Porto, no hay torniquetes. Hay validadoras y la gente marca el billete. La multa si te pillan creo que es de 150€ (frente los 30 o 40€ de bcn), a parte de que el precio del billete es más barato.... así marca todo dios.
Piensa como va a ser el flujo de dinero y lo verás.
No solo los datos pueden ser leídos por cualquiera sino que también pueden ser copiados y utilizados a medida del atacante. Es como tener una tarjeta de crédito con banda magnética a distancia: ¿Verdad que siempre vigiláis por que lectores pasa la banda magnética de vuestra tarjeta? Pues aquí eso no es posible ya que pasa por todos los sitios.
A los que me digáis que no pasa nada porque no contiene información personal eso no es exactamente cierto. Estoy seguro que los abonos llevarán Nombre y datos personales, los billetes individuales pueden ser utilizados (y lo serán) para monitorizar recorridos y realizar estudios de marketing con esa información. Por supuesto que esa información está expuesta a ser vendida a empresas terceras.
Y lo peor es que a medida que se popularicen estas etiquetas aumentará cantidad de RFIDs conteniendo información personal.
Es igual que los CHIP-PINS de las nuevas tarjetas de crédito que son un fracaso en cuanto a seguridad, pero parece ser que a la gente le hace gracia meter su pin en un supermercado lleno de cámaras, espejos y con una cola de gente detrás que le mira detrás del hombro.
Los que defendeis que el RFID es malo, estais siendo igual de imparciales que los que defienden que el P2P es malo, ya que ambos son simples tecnologías, lo que puede ser malo es la forma de usarla.
El problema no es la tecnología. Si no como se usa. Todo lo demas esta en la mente de paranoicos.
Lo mejor (segun mi opinión)
Tarjeta con RFID cuyo radio de acción sean 5cm. un numero unico y el saldo. Y que se autorize las tarjetas anonimas (aunque estas valgan un poco mas)
Me cojo una anónima que me valiera para todo y a tirar millas.
Desde luego esta tarjeta anonima recargable seria mejor que poner el pin en medio de una tienda como dice #47 y el hacker tendria que estar casi pegado a la victima por lo que no seria tan facil leerla.
Fijaos en la antena lectora y en como la pasa unas décimas de segundo muy cerca de la "víctima".
Es así, lo he visto hacer en directo.
¿de verdad creeis que en un vagón de metro o tren lleno de gente sería dificil de hacer?
Es relativamente facil coser una antena por dentro de una manga o bolso.
En cuanto a velocidad, pues como mucho ganas 1 o 2 segundos al pasar por la puerta no mucho más.
Tarjeta ciudadana lo llaman. Si la memoria no me falla, del orden de 5 o 6 años...
Si nos ponemos un poco "paranoicos":
www.youtube.com/watch?v=Dj-eLvfGdyw&feature=channel_page
¿Y esto???? es rarísimo:
www.youtube.com/watch?v=qxOsTxMu5_w
Un documental muy bueno:
www.youtube.com/watch?v=2GJOjkySRrc
A ver qué pasa.........
No me leo todos los comentarios ni sigo todos los enlaces, no tengo tiempo infinito, de todas formas, si se usa solo cómo abono de tranporte, no creo que se generalice un fraude así porque simplemente no saldría a cuenta montarte el tinglado para viajar gratis (teniendo la posibilidad de que te pillen). Para eso, cojes y saltas la barrera o te cuelas detras de alguien cómo vienen haciendo la inmensa cantidad de gente que se cola.
¡¡Recordemos que estamos hablando de implantar esta tecnología para abonos de tranporte!!
Ademas, desde hace unos 3 o 4 años todos los trasportes publicos asturianos utilizan una tarjeta RFID como tarjeta de abono, con la que puedes viajar por todo el principado realizando transbordos entre diferentes empresas pagando un unico viaje.
Todo ello sin ningun problema de seguridad conocido hasta la fecha.
Una etiqueta RFID puede ser leída, duplicada y seguida de forma automatizada por cualquier persona de forma remota, sin necesidad de autorización de ningún tipo, y sin dejar huellas o trazas de lo sucedido en ningún sitio.
Y para los que hablan de "centímetros", si mal no recuerdo, hay aparatos con mucha potencia capaz de leer las etiquetas desde muy lejos independientemente de la etiqueta en sí. Ya buscaré.
No estoy defendiendo que sea totalmente seguro leñes! solo digo (en #56) que es cómodo y con una seguridad aceptable* para abonos de transporte.
Más personal, identificativa e íntima es la cara de uno mismo, y no vamos por ahí con caretas...
* Aceptable siempre que no incorpore datos personales, y aceptable porque quien quiera colarse tiene otras maneras muchísimo más fáciles de hacerlo.
www.hispasec.com/unaaldia/413
www.hispasec.com/unaaldia/425
Si "ellos" quieren enterarse de todos tus movimientos, no necesitan RFID ni nada. Te pueden seguir por la calle. ¿Alguien se queda en casa todos los dias para que "ellos" no le sigan? Cualquier cosa que hagas en la calle puede ser vista por cualquiera. Que prohíban la calle.
Amos por favor...
Relee #34.
Si alguien me sigue por la calle, le puedo partir la cara, puedo esquivarlo, o puedo irme a mi casa. Con el RFID no te das cuenta de que te están espiando, ni puedes desactivarlo.
Si alguien me sigue por la calle, es un control "individual", así que será excepcional (seré sospechoso o me tendrán manía). El RFID puede trazar los movimientos de todo el mundo en todo momento. Es mucho más peligroso por culpa de esta escalabilidad.
Y no hace falta que "ellos" sean tus Hombres De Negro , pueden ser spammers, aseguradoras, tu jefe, tu pareja, o cualquier loco que te la tenga jurada.
Aparte de tus enlaces, sí conocía aparatos de índole militar para escuchar en tiempo real conversaciones GSM. Sí, seguramente en inteligencia avanzada se pueda hacer escuchas no autorizadas de un terminal móvil actual.
La diferencia es que, sin ser tecnología militar ni mucho menos (busca RFID en ebay) podrás encontrar antenas, y todo tipo de aparatos que con conocimientos, pueden ser usados sistemáticamente para espiar, duplicar y hacer seguimientos de etiquetas RFID de forma indiscriminada.
Y si acabas teniendo chips RFID desde los zapatos hasta la gorra, que no se desactivan completamente una vez usados para su propósito inicial, llevas identificadores únicos encima que van gritando quien eres allá por cada receptor RFID con el que te cruces. Tu móvil, lo apagas, y santas pascuas, y en cualquier caso lo enciendes cuando te da la gana.
www.washingtonpost.com/wp-dyn/content/article/2009/07/11/AR20090711019
> To protect against skimming and eavesdropping attacks, federal and state officials recommend that Americans keep their e-passports tightly shut and store their RFID-tagged passport cards and enhanced driver's licenses in "radio-opaque" sleeves.
Spammers, aseguradoras, tu jefe, tu pareja, o cualquier loco que te la tenga jurada pueden ir a tu casa ahora y volarte la cabeza si se lo propone. No necesitan saber tu número de abonado al sistema de trasnportes y los viajes de 10 que te quedan, que es el único dato que llevará ese chip.