< O Globo >

27/03/2006

< Gato (com vírus) escondido e rabo de fora >

RFID é o acrônimo de Radio Frequency IDentification. São minúsculos circuitos integrados (“chips”) que contêm informações. Mais especificamente: “RFID é a última palavra na tendência de miniaturização de computadores. Os chips são computadores minúsculos com recursos limitados que dispensam o uso de bateria... São alimentados de forma indutiva pelos dispositivos externos que efetuam sua leitura, os ‘leitores de RFID’. Quando ativado, o chip decodifica a solicitação e gera uma resposta usando a própria energia da onda de rádio recebida... Sua capacidade de processamento é limitada e armazenam um máximo de 1024 bits de informação” (logo revelarei a fonte desta citação). Esses chips são a grande aposta da indústria, que espera usá-los (e em alguns casos já os estão usando) para finalidades que vão desde a rotulagem de mercadorias e controle de estoques até a identificação de animais, através de implantes subcutâneos, e humanos: o sistema prisional de algumas cidades dos EUA usa pulseiras metálicas com chips RFID para identificar e localizar prisioneiros dentro dos estabelecimentos, muitas empresas estão anexando chips RFID aos crachás de seus funcionários e todo passaporte americano passou a conter um chip RFID. Quando todas as mercadorias de um supermercado dispuserem de seus chips RFID (e essa é a tendência do comércio), basta passar com o carrinho de compras em frente à caixa para computar o total e imprimir a nota discriminada.

Parece um sonho. Mas pode se transformar em um pesadelo.

Há duas semanas a Faculdade de Ciências da Universidade livre de Amsterdam, Holanda, publicou o trabalho científico intitulado “RFID Viruses and Worms” (Vírus e vermes RFID) que descreve a tecnologia RFID e a arquitetura de sistemas RFID, levanta suas vulnerabilidades, explica como desenvolver vírus e vermes para eles e descreve como se defender disso. Uma das autoras, a estudante Melanie R. Rieback, escreveu um trabalho de divulgação, intitulado “Is Your Cat Infected with a Computer Virus?” (seu gato estaria infectado com um vírus de computador?) no qual comenta algumas das possíveis conseqüências. Por exemplo: um container com um chip RFID infectado é desembarcado em um porto. Quando as informações deste chip forem lidas, elas não somente infectarão o banco de dados do porto, que pode ser totalmente corrompido, como também propagarão a infecção para os chips RFID dos containers vizinhos, que agirão como elemento de disseminação do vírus em escala mundial. E uma única caixa de mercadoria com um chip contaminado pode derrubar o sistema de toda uma rede de supermercados.

No trabalho publicado os autores mencionam duas formas básicas de infecção: “SQL Injection” (uma técnica que “embute” código malicioso na resposta fornecida a uma “query” de um banco de dados) ou o velho conhecido “buffer overflow”. Ambas são descritas no trabalho.

A indústria, que já investiu alguns bilhões de dólares na tecnologia RFID, chiou imediatamente. Comentário de Kevin Ashton, da ThingMagic Inc.: “No que toca aos estudantes envolvidos, o trabalho é bastante fraco”. Acontece que o trabalho inclui uma “Proof of concept”, o desenvolvimento de um vírus de menos de 1 Kb (quilobit) sobre uma plataforma Windows usando a base de dados Oracle 10g e um leitor RFID Phillips que provou ser eficaz. E entre os “estudantes envolvidos” consta o orientador, o respeitadíssimo Andrew S. Tanembaum.

A chiadeira foi tamanha que o sítio criado pelos autores do trabalho para divulgar sua descoberta, assim como todos os trabalhos por eles publicados sobre o assunto, simplesmente desapareceu da Internet.

Esconderam o gato mas deixaram o rabo de fora. Uma busca no Google com “RFID vírus” levará a dezenas de artigos sobre o assunto (recomendo particularmente “RFID: attention virus!”, em francês, de Michel Rousseau em < www.silicon.fr/articles/14317/RFID-attention-virus.html > e “Psst, Your shiny new passport has a computer virus”, em inglês, de Robert Vamosi em < http://reviews.cnet.com/4520-3513_7-6466679-1.html?tag=nl.e501 >). Melhor: efetue uma busca com “http://rfidvirus.org” (o URL do trabalho original) e o Google informará que o sítio já não existe mas pode mostrar o que ele continha no último dia 16, armazenado em seu cache. Com sorte, você encontrará a integra do trabalho. Até o momento em que digito estas mal traçadas ele ainda estava lá. Tanto que foi dele que eu retirei aquela citação lá do primeiro parágrafo..