Ofrecen 10.000 euros y trabajo por crackear su smartcard

Una empresa de Girona ofrece empleo y 10.000 euros a quien rompa su producto estrella: una tarjeta-chip para guardar certificados y contraseñas

Las empresas españolas que fabrican tarjetas inteligentes pueden contarse con los dedos de una mano. Entre ellas destaca de forma importante Arkocard, con sede en Girona. Arkocard tiene la respuesta a la gran pregunta que se hacen cada vez más usuarios: ¿Si no podemos guardar las contraseñas en una libreta o un post-it, y tenemos demasiadas para memorizarlas, dónde las guardamos? Desde 2010 Arkocard dedica buena parte de su I+D a una smartcard pensada específicamente para almacenar contraseñas y certificados digitales. La empezó a comercializar en 2012 y ahora reta a la comunidad de hackers especializados en "cracking" (crackers) a romperla.

Arkocard nació en 1996 como fabricante de tarjetas de plástico y hoy en día la mitad de su producción son tarjetas con tecnologías de última generación, de las cuales fabrica 3 millones al mes. Una de sus grandes apuestas han sido las tarjetas RFID, que se leen por medio de radiofrecuencia, además del desarrollo de tarjetas criptográficas a las que se puede incorporar firma digital. Entre ellas brilla con luz propia la Safe Keeper Card, que permite guardar contraseñas cifradas y hasta diez certificados digitales dentro de su chip. De esta forma, sólo es preciso recordar una contraseña: la de la tarjeta.

Para usar la Safe Keeper Card hay que disponer de un lector de tarjetas conectado al ordenador. La tarjeta cuesta 25 euros y puede comprarse en tiendas de informática. La web Safekeepercard.com muestra en un mapa los puntos de distribución a nivel mundial. En la misma web se anuncia el concurso que acabo de poner en marcha Arkocard, para probar la seguridad de esta tarjeta (http://pc.safekeepercard.com/concurso_safekeeper.php). Es un reto a la comunidad cracker, en el que se premia con 10.000 euros a quien consiga "romper su seguridad y hackear sus entrañas para acceder a su contenido". El premio que ofrece Arkocard es una cantidad alta debido a que hoy en día la mayoría de smartcards son productos muy seguros y quien consiga atacarlas necesita una inversión considerable de tiempo y equipos. Más aún si se trata de una tarjeta pensada para almacenar contraseñas, con 4 años de I+D encima, como es la Safe Keeper Card.

El reto se presenta en forma de juego, que consiste en "conseguir 7 bolas por medio de enlaces ubicados en la memoria cifrada de la tarjeta". Los participantes deben registrarse en la web, comprar la tarjeta en http://www.plastics.com.es/44-tarjeta-concurso-hack-safe-keeper-card-pc-.html y tratar de averiguar el PIN y PUK de la misma. Una vez conseguido el reto, los ganadores deberán "acreditar y presentar el método utilizado para lograr acceder al contenido de la tarjeta", lo que convierte el juego en una auditoría de la Safe Keeper Card, con informe incluido. La empresa usará el reto para captar nuevos talentos que incorporar a su plantilla de 30 trabajadores. La fecha límite del concurso es el 31 de diciembre de 2014.

Akrocard fabrica también la tarjeta Biocard, ecológica y biodegradable, que ha recibido la certificación de biodegradabilidad por parte de un laboratorio independiente, bajo el acuerdo y supervisión de la Universidad de Milán. Los clientes de Akrocard son diversos: ayuntamientos; consorcios de transporte, entidades, asociaciones, empresas de varios ámbitos, cadenas hoteleras y mutuas de asistencia médica y de viaje. Sus tarjetas se usan en entornos de transporte público, servicios municipales (tarjeta ciudadana, bicing/Girocleta), comercial y publicitario, fidelización de clientela, control de asistencia, identificación de equipaje, asistencia en viajes, apertura de puertas para cadenas hoteleras y carnés de socio. Akrocard también cuenta con una línea de distribución de impresoras de tarjetas plásticas, para ofrecer a los clientes un servicio integral. Estas impresoras permiten personalizar las tarjetas y se venden en la misma empresa. La empresa facturó el año pasado 3 millones de euros.

Comentarios

  1. No solo consiguen que trabajen gratis para ellos, con un sistema que obliga a dar hasta los métodos parciales para poder seguir jugando, sino que solo van a pagar 10.000€ por tener un grupo de expertos en smartcards haciendo pentesting... y además cada uno de ellos se tiene que pagar la tarjeta.

    Esto se llama chorizeo. Lo había visto en otros campos.. pero en el de la seguridad hasta ahora no tan descarado.

    ResponderEliminar
  2. Vistos los clientes, se saca bastante mas de 10.000 euros si descubres un fallo y te lo "guardas para ti" Deberán pagar más si quieren a verdadedos expertos rompiendo su seguridad técnica. Por otro lado, los ataques sociales cuentan? porque es la forma mas sencilla de romper esa seguridad e invalidar la técnica e inhabilita de igual forma la seguridad del uso de ese sistema.

    ResponderEliminar
  3. Pues yo lo veo como una oportunidad para los que están en el paro y no estan en una plantilla de una consultora (tb llamada empresa de carne), los cuales se llevan al final casi toda la pasta y encima son a los que se dirigen la mayoría de las empresas que quieren comprobar la seguridad de alguno de sus productos o sistemas....

    ResponderEliminar
  4. Que la certifiquen a un nivel equivalente al resto de tarjetas inteligentes (EAL4 + AVA_VAN.5 + ALC_DVS.2) y que se dejen de chorradas!! Las empresas de tarjetas inteligentes serias incluyen los procesos de certificación dentro el ciclo de vida del desarrollo y no encargan a crakers sin medios (estaciones de láser, canal lateral y demás) las auditorias de seguridad de sus productos.

    ResponderEliminar
  5. Estos tios estan flipaos. Es decir pago 25 euros por una tarjeta, invierto todo mi tiempo en acceder a sus datos, por que se han dejado algo ''mal puesto'' se lo digo solucionan esa cosa mal puesta y me envian otran para que busque otra cosa ''mal puesta'' así 7 veces? podemos contar que puede que tenga 1, 2, 3, 4 fallos pero 7? me daria miedo esa empresa entonces, porque seguro que tendria una octava... pensaba mover el culo, pero visto lo visto que pillen a otro pardillo...

    ResponderEliminar

Publicar un comentario