novembro 21, 2013

[Segurança] Vem aí o BioChip

O pessoal do Área 31, o hackerspace de BH, se envolveu em um projeto muito interessante: implantar um chip no corpo e utilizá-lo para interagir com objetos do dia-a-dia.

O projeto, que tem sido desenvolvido pelo norte-americano Amal Graafstra desde 2005, utiliza um pequeno chip cilíndrico que funciona por Near Field Communication (NFC), e que mede cerca de 12 mm (aproximadamente o tamanho de um grão de arroz - veja as fotos). O dispositivo, então, funciona de forma similar a um desses cartões RFID que usamos no dia-a-dia (como crachá ou cartão de vale-transporte, por exemplo): um leitor emite um campo de eletromagnético que aciona o dispositivo e ele passa a emitir um sinal, e assim o leitor consegue identificar sua presença. Aí basta construir uma palicação específica para o leitor acionar um dispositivo externo que, por exemplo, pode ser utilizado para abrir portas, disparar comandos, etc.

O inventor do projeto possui um chip desses em cada mão, implantado entre a membrana do polegar e o dedo indicador. Como o NFC permite comunicação passiva do chip em curta distância, apenas aproximando a mão de um leitor, o dispositivo pode permitir a interação com diversos sistemas no dia a dia, como destrancar portas, fazer login em computadores, ligar veículos, automação residencial (controle da iluminação da casa, por exemplo) ou qualquer outra situação na qual a pessoa precise ser identificada e isso possa gerar alguma ação.


Para cada objeto que for automatizado, é necessário usar um leitor compatível com NFC, que deve ser conectado a um computador ou mini-PC (Arduino, RaspBerry ou Cubieboard, por exemplo) que vai interpretar a leitura do chip e vai associar a um comando, o que é feito por um programa específico. O custo estimado do kit com o chip, leitor e mini-PC seria de aproximadamente US$ 200. O chip será fabricado comercialmente na Alemanha, a partir de fevereiro de 2014. E o projeto ainda aceita doações pelo site indiegogo (até 17/dezembro).

O chip é revestido com um vidro biocompatível bastante resistente, não possui bateria e tem pouca quantidade de liga metálica, o que faz com que ele seja seguro para implantes, não precise ser trocado ou passar por manutenção. Também não precisa de bateria. A capacidade de armazenagem de dados, entretanto, é bem pequena: 144 bytes (na verdade, o projeto oferece 3 modelos de chips, um "low cost" sem memória adicional, um com 144 bytes e outro com 716 bytes). Mas pense que 144 bytes é equivalente a um post no Twitter, se fôssemos usar cada byte para representar um caracter, como acontece no dia-a-dia. Mas, certamente, em um projeto específico desses os bytes seriam melhor aproveitados para guardar o máximo possível de informações. Além disso, cada dispositivo tem um identificador único, gravado de fábrica, que não pode ser alterado (de 40 ou 56 bits, dependendo do modelo).



O pessoal do Área 31 já começou a pesquisar os aspectos de segurança do projeto. Segundo o Ewerson Guimarães (Crash), eles estão tentando implementar um esquema de criptografia dos dados que serão armazenados no chip, para que somente um computador específico possa ler as informações no chip.

O legal do envolvimento do pessoal do Área 31 é que eles tem grande experiência e conhecimento de segurança, e certamente poderão aprimorar em muito os aspectos de segurança e privacidade do projeto. Um whitepaper disponível no site do projeto lista apenas duas preocupações, com o escaneamento não autorizado do chip e se ele vai conter dados pessoais. E, mesmo assim, aborda elas de forma muito superficial e ingênua. Argumentos como "as soluções nas quais os clientes usam seus chips - como acesso em casa, ligar o carro, etc não denunciam o uso do chip para ninguém, eles são sistemas fechados" ignoram o fato de que o criminoso ou o atacante pode simplesmente ver você usando o chip e querer burlar isso para roubar sua casa ou seu carro. Como se não houvessem ladrões ou espiões hoje em dia...

Usar chips subcutâneos não é novidade nenhuma: há anos isso já é feito para identificar gado (veja uma reportagem de 2004 sobre isso) e, mais recentemente, animais de estimação. Mas, quando falamos em chips em pessoas, aí as preocupações com saúde e com segurança começam a ficar muito mais sérias.

Quando falamos em segurança, várias preocupações podem surgir. O verbete sobre NFC na Wikipedia mostra alguns riscos inerentes a essa tecnologia, mas na minha opinião, os principais e mais arriscados problemas (em termos de impacto e facilidade de implementação) são os seguintes:
  • Privacidade: Qual é o risco desse chip ter informações pessoais que podem ser acessadas por terceiros? Isso tudo depende do tipo de informação que o chip irá guardar, quando começar a ser utilizado.  Originalmente, o chip possui apenas um número identificador inserido de fábrica, que não pode ser alterado. Mas ele tem espaço para mais informações, que o usuário pode colocar a vontade (desde que limitado aos 140 bytes). Pior ainda se alguém tiver a brilhante idéia de colocar alguns dados médicos no chip: o pessoal do SAMU ou do hospital pode usar essa informação para o seu bem (por exemplo, se der entrada em um hospital desacordado e no chip constar que você tem alergia a algum medicamento), mas outras pessoas podem usar o seu histórico médico contra você, como em uma entrevista para emprego. Mesmo que você coloque apenas o endereço da sua página pessoal no Facebook: uma coisa é você passar isso para um amigo, outra é você colocar essa informação em um dispositivo que outra pessoa pode passar ao seu lado e escaneá-la, sem você sequer perceber.
  • Leitura não autorizada do chip: Teoricamente, a tecnologia NFC foi desenhada para leitura do chip à pequenas distâncias, menos de 20 cm. Isso significa que, teoricamente, se alguém quiser ler o seu chip, tem que estar bem próximo a você, e assim o dono do chip poderia perceber se alguém tentar escaneá-lo. Teoricamente, pois imagine alguém com um scanner dentro do metrô de São Paulo, as 18h. Além disso, um leitor colocado em um dos batentes laterais de uma porta provavelmente conseguiria escanear a maioria das pessoas que passem por ela. Mas, na verdade, esse limite de 20 cm é apenas teórico: um chip NFC "passivo" (como o biochip, que depende de um campo magnético externo para ser ativado) pode ser lido a até 1 metro de distancia, enquanto um dispositivo "ativo" (que também gera campo magnético próprio) pode ser escaneado a cerca de 10 metros de distância. Mas, ainda assim, será que não poderíamos construir um leitor mais potente, desenhado especialmente para ler chips a maiores distâncias? Isso me lembra dos concursos que haviam antigamente na Defcon para ver quem conseguia acessar uma rede wi-fi a maior distância: em 2005 4 jovens interceptaram uma rede wi-fi a 125 milhas (mais de 200km) de distância. Depois dessa, o concurso perdeu a graça! Ou seja: alguns limites só existem até alguém decidir quebrá-los.
  • Monitoramento e rastreabilidade dos cidadãos: Essa é uma preocupação semelhante ao caso do governo que tem um projeto para colocar chip nos carros: não queremos ser rastreados. Com um chip desse no seu corpo, alguém pode colocar um leitor e ficar rastreando todo mundo que entra em um prédio, passa por uma porta, ou entra no metrô (que estação você entra, qual estação você sai). Com um cartão ou chip RFID/NFC, basta alguém com o leitor passar perto e o dono do chip nem percebe que foi escaneado nem que está sendo rastreado.
  • Clonagem: Será fácil clonar um chip desses? Se alguém escanear o teu biochip, essa pessoa pode criar um outro chip (ou um cartao simples) usando o mesmo identificador e as mesmas informações, e se fazer passar por você? Ou seja, abrir a porta da sua casa, do seu carro, etc?
  • Interferência: seria possível interferir na comunicação entre o leitor e o chip, para adulterar a comunicação ou, ao menos, gerar tanto ruído a ponto de inutilizar o chip momentaneamente?
  • Ataques de Man in the Middle, de Relay e de Replay: Alguém, com um leitor, pode obter dados do chip e utilizá-los para se comunicar com o leitor original e se autenticar no lugar do usuário verdadeiro, seja em real time ou guardando as informações para se autenticar posteriormente. 
Preocupações a parte, o projeto é muitíssimo interessante e tem muita oportunidade ainda de ser melhorado. E o pessoal do Área 31 está de parabéns por se envolver nisso. Certamente eles vão aprender bastante e farão grande diferença no projeto, com uma visão muito mais realista dos potenciais problemas de segurança que um projeto desse pode enfrentar :)

2 comentários:

kern disse...

Muito bacana, fiquei muito interessado em utilizar a tecnologia! E claro que a segurança é algo que todos temos que prezar, nenhum dispositivo de autenticação é safo de ataques. Portanto um ou mais métodos combinados à esse garantiriam um conforto e uma segurança interessantes.

josh rff disse...

Uma Identificação Traiçoeira

Além de servir como indicador visível da devoção ao Anticristo, a marca será a identificação obrigatória em qualquer transação comercial na última metade da Tribulação (Ap 13.17). Este sempre foi o sonho de todos os tiranos da história – exercer um controle tão absoluto sobre seus vassalos a ponto de decidir quem pode comprar e quem pode vender. O historiador Sir William Ramsay comenta que Domiciano, imperador romano no primeiro século, "levou a teoria da divindade Imperial ao extremo e encorajou ao máximo a ‘delação’; [...] de modo que, de uma forma ou de outra, cada habitante das províncias da Ásia precisava demonstrar sua lealdade de modo claro e visível, ou então era imediatamente denunciado e ficava impossibilitado de participar da vida social e de exercer seu ofício".[4] No futuro, o Anticristo aperfeiçoará esse sistema com o auxílio da moderna tecnologia.

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.