Las
empresas españolas que fabrican tarjetas inteligentes pueden
contarse con los dedos de una mano. Entre ellas destaca de forma
importante Arkocard, con sede en Girona.
Arkocard tiene la respuesta a la gran pregunta que se hacen cada vez
más usuarios: ¿Si no podemos guardar las contraseñas en una
libreta o un post-it, y tenemos demasiadas para memorizarlas, dónde
las guardamos?
Desde 2010 Arkocard dedica buena parte de su I+D a una smartcard
pensada específicamente para almacenar contraseñas y certificados
digitales. La empezó a comercializar en 2012 y ahora
reta a la comunidad de hackers especializados en "cracking"
(crackers) a romperla.
Arkocard
nació en 1996 como fabricante de tarjetas de plástico y hoy en día
la mitad de su producción son tarjetas con tecnologías de última
generación, de las cuales fabrica 3 millones al mes. Una de sus
grandes apuestas han sido las tarjetas RFID, que se leen por medio de
radiofrecuencia, además del desarrollo de tarjetas criptográficas a
las que se puede incorporar firma digital. Entre ellas brilla con luz
propia la Safe
Keeper Card,
que
permite guardar contraseñas cifradas y hasta diez certificados
digitales dentro de su chip. De esta forma, sólo es preciso recordar
una contraseña: la de la tarjeta.
Para
usar la Safe
Keeper Card
hay que disponer de un lector de tarjetas conectado al ordenador. La
tarjeta cuesta 25 euros y puede comprarse en tiendas de informática.
La web Safekeepercard.com
muestra en un mapa los puntos de distribución a nivel mundial. En la
misma web se anuncia el concurso que acabo de poner en marcha
Arkocard, para probar la seguridad de esta tarjeta
(http://pc.safekeepercard.com/concurso_safekeeper.php).
Es un
reto a la comunidad cracker, en el que se premia con 10.000 euros a
quien consiga "romper
su seguridad y hackear sus entrañas para acceder a su contenido".
El premio que ofrece Arkocard es una cantidad alta debido a que hoy
en día la mayoría de smartcards
son productos muy seguros y quien consiga atacarlas necesita una
inversión considerable de tiempo y equipos. Más aún si se trata de
una tarjeta pensada para almacenar contraseñas, con 4 años de I+D
encima, como es la Safe
Keeper Card.
El
reto se presenta en forma de juego,
que consiste en "conseguir
7 bolas por medio de enlaces ubicados en la memoria cifrada de la
tarjeta".
Los participantes deben registrarse en la web, comprar la tarjeta en
http://www.plastics.com.es/44-tarjeta-concurso-hack-safe-keeper-card-pc-.html
y tratar de averiguar el PIN y PUK de la misma. Una vez conseguido el
reto, los ganadores deberán "acreditar
y presentar el método utilizado para lograr acceder al contenido de
la tarjeta",
lo que convierte el juego en una auditoría de la Safe
Keeper Card,
con informe incluido. La
empresa usará el reto para captar nuevos talentos que incorporar a
su plantilla de 30 trabajadores.
La fecha límite del concurso es el 31 de diciembre de 2014.
Akrocard
fabrica también la tarjeta Biocard,
ecológica y biodegradable, que ha recibido la certificación de
biodegradabilidad por parte de un laboratorio independiente, bajo el
acuerdo y supervisión de la Universidad de Milán. Los clientes de
Akrocard son diversos: ayuntamientos; consorcios de transporte,
entidades, asociaciones, empresas de varios ámbitos, cadenas
hoteleras y mutuas de asistencia médica y de viaje. Sus tarjetas se
usan en entornos de transporte público, servicios municipales
(tarjeta ciudadana, bicing/Girocleta), comercial y publicitario,
fidelización de clientela, control de asistencia, identificación de
equipaje, asistencia en viajes, apertura de puertas para cadenas
hoteleras y carnés de socio. Akrocard también cuenta con una línea
de distribución de impresoras de tarjetas plásticas, para ofrecer a
los clientes un servicio integral. Estas impresoras permiten
personalizar las tarjetas y se venden en la misma empresa. La empresa
facturó el año pasado 3 millones de euros.
Más
información en: http://pc.safekeepercard.com/concurso_safekeeper.php
No solo consiguen que trabajen gratis para ellos, con un sistema que obliga a dar hasta los métodos parciales para poder seguir jugando, sino que solo van a pagar 10.000€ por tener un grupo de expertos en smartcards haciendo pentesting... y además cada uno de ellos se tiene que pagar la tarjeta.
ResponderEliminarEsto se llama chorizeo. Lo había visto en otros campos.. pero en el de la seguridad hasta ahora no tan descarado.
Esto es Espartaaaaaaaaa
ResponderEliminarVistos los clientes, se saca bastante mas de 10.000 euros si descubres un fallo y te lo "guardas para ti" Deberán pagar más si quieren a verdadedos expertos rompiendo su seguridad técnica. Por otro lado, los ataques sociales cuentan? porque es la forma mas sencilla de romper esa seguridad e invalidar la técnica e inhabilita de igual forma la seguridad del uso de ese sistema.
ResponderEliminarPues yo lo veo como una oportunidad para los que están en el paro y no estan en una plantilla de una consultora (tb llamada empresa de carne), los cuales se llevan al final casi toda la pasta y encima son a los que se dirigen la mayoría de las empresas que quieren comprobar la seguridad de alguno de sus productos o sistemas....
ResponderEliminarQue la certifiquen a un nivel equivalente al resto de tarjetas inteligentes (EAL4 + AVA_VAN.5 + ALC_DVS.2) y que se dejen de chorradas!! Las empresas de tarjetas inteligentes serias incluyen los procesos de certificación dentro el ciclo de vida del desarrollo y no encargan a crakers sin medios (estaciones de láser, canal lateral y demás) las auditorias de seguridad de sus productos.
ResponderEliminarEstos tios estan flipaos. Es decir pago 25 euros por una tarjeta, invierto todo mi tiempo en acceder a sus datos, por que se han dejado algo ''mal puesto'' se lo digo solucionan esa cosa mal puesta y me envian otran para que busque otra cosa ''mal puesta'' así 7 veces? podemos contar que puede que tenga 1, 2, 3, 4 fallos pero 7? me daria miedo esa empresa entonces, porque seguro que tendria una octava... pensaba mover el culo, pero visto lo visto que pillen a otro pardillo...
ResponderEliminar