Buon pomeriggio, sono nuovo in questo forum, vorrei avere un chiarimento su un dubbio che mi ha fatto sorgere un mio amico. Si può clonare una tessera sanitaria? Recentemente ho visto un servizio su come fanno i criminali a clonare le carte di credito (usano un apparecchio che si può trovare su Amazon e si chiama Deftun MSR605X). Questo servizio è molto vecchio e non sono informato nè su come questo apparecchio riesca a leggere i dati delle carte, nè tantomeno come possa scriverli su dei chip, probabilmente però, in questi anni le carte di credito avranno adottato una sorta di blocco sul chip che permette la sola lettura e non la sovrascrizione (almeno credo). Ora mi chiedevo, questa “vulnerabilità” è solo per le carte di credito o anche per le tessere sanitarie? Inoltre su quel servizio mostravano anche come un semplice smartphone (con una funzione che mi pari si chiami NFC) riuscivano a fare la stessa cosa senza comprare quel lettore su Amazon. Sono un tipo molto paranoico e ho paura che quando inserisco la tessera sanitaria nei distributori per il controllo età possano rubarmi i dati. Grazie in anticipo per chiunque saprà dissipare il mio dubbio e la mia preoccupazione.
Da una tessera sanitaria e’ molto facile leggere il codice fiscale, che non e’ criptato. La data di nascita e’ pertanto direttamente accessibile in quanto fa parte del C.F. L’unica informazione protetta e, almeno in teoria, non clonabile e’ quella per l’identificazione sicura online. Peraltro questa funzione e’ usata pochissimo in confronto a SPID e CIE.
Occhio a non confondere le carte di credito e le carte di autenticazione, per quanto abbiano lo stesso formato meccanico non hanno lo stesso formato elettronico. Per clonare una carta di credito fanno leva sul preauth eseguito per importo sotto una certa soglia, per clonare una tessera di autenticazione hai una procedura più arzigogolata. Tolto che dovresti dargli l’accesso a pin e alla tessera, se i certificati installati non hanno la spunta “rendi chiavi esportabili”, chi prova a clonare la tessera avrebbe un artefatto parziale. Non è impossibile, solo particolarmente difficile.
Ho trovato questo video online dove questo ragazzo modifica a suo piacimento la tessera sanitaria. Credo che oltre ad inserire i dati della carta di credito nella tessera sanitaria possa anche clonare direttamente la tessera sanitaria stessa.
Video carino, ma l’unica copiatura effettiva e’ quella delle bande magnetiche, che ormai sono in disuso. Per le altre carte, con chip, sono mostrate le stesse operazioni che si farebbero con PC e lettore NFC, in particolare le risposte ai vari comandi APDU. Nel caso di MC viene mostrato come si possono generare mille domande, registrare le risposte e riprogrammare un’altra carta che emuli la prima.
In ogni caso, gli addebiti sono andati sul conto giusto. Bibite, gelato e biglietto da 50 EUR sono stati regolarmente caricati sul conto del possessore. Tutto il lavoro mostrato non ha apportato alcun beneficio economico netto, ne’ al contrario nessuna grana con la giustizia.
Tuttavia c’è da dire che ad esempio i distributori automatici degli h24 o i distributori di sigarette usano ancora la verifica della banda magnetica perchè è più facile programmare un lettore che legga i dati in plain text sulla banda magnetica. Quindi qualche malavitoso potrebbe creare un passepartout per le vendita e consumazioni di alcol e fumo che sarebbe riservata solo ai maggiorenni.
Se questo e’ l’obiettivo non c’e’ neppure bisogno di clonare una carta magnetica esistente. Se ne puo’ inventare una nuova. A nome Matusa Lemme, nato 90 anni fa, magari in un Comune inesistente. Generare il C.F. e’ facilissimo, c’e’ anche su Wikipedia, per il Comune si inventa un codice catastale a caso, o si sceglie quello di Roma/ Milano. E’ improbabile che il distributore si colleghi a basi dati per verificare le informazioni, al massimo verifica il codice di controllo. Con carte programmate in modo diverso si possono testare le verifiche che il distributore fa e non fa.
Ai minorenni non basta usare la Tessera Sanitaria dei genitori? I distributori mantengono un registro delle vendite, oppure no? Sarebbe anche un caso interessante per la privacy.
Allora in teoria i minorenni possono utilizzare la Tessera Sanitaria di qualcun’altro, ma se i genitori li scoprono, parlo almeno di come avrebbero reagito i miei genitori se avessi fatto una cosa del genere da minorenne, sarebbero andati su tutte le furie. Ho un amico che gestisce un h24 Sandenvendo (la marca del distributore) e in teoria il registro delle vendite c’è, ma non ci dovrebbe essere un apparecchio che controlla i dati su un database e memorizza ogni singola tessera sanitaria, quindi effettivamente l’esempio che hai fatto tu dovrebbe funzionare. Per quanto riguarda il funzionamento di questi dispositivi di controllo età in teoria è molto semplice: questo lettore legge la banda magnetica, ne capisce il codice fiscale, utilizza il metodo per risalire alla data di nascita dal codice fiscale, fa una richiesta al sistema principale di determinare data e ora precisa, probabilmente non è collegato a Internet, avrà un orologio interno lui, e poi fa una semplice sottrazione tra la data attuale e quella di nascita per capire se sei minorenne o meno. Nel caso tu fossi maggiorenne tramite un relè aziona l’erogazione del prodotto, in caso contrario ti dice “Tessera sanitaria rilevata ma età non valida”.
Tenderei a credere, anche in pratica.
Anzi, visto che la cosa e’ cosi’ semplice non capisco perche’ non ci sia un giro di tessere con date di nascita adeguate su striscia magnetica. O forse c’e’, e non ne sono informato.
Nei paesi dove gira molto alcool e ci sono restrizioni di eta’, paesi europei nordici, USA, il 19enne che compra alcol per 17enni e’ un classico, uno stereotipo da serial televisivo.