Sesamo II
Sistemi di pagamento mobili e smart-card: aspetti di sicurezza

Programma di finanziamento 
(e relativo sottoprogramma)
Convenzione quadro FUB - ISCOM
Durata 1 marzo 2012 - 30 agosto 2013
Partecipanti

Fondazione Ugo Bordoni

Istituto Superiore delle Comunicazioni e delle Tecnologie dell'Informazione (ISCOM)

Il progetto SESAMO II nasce con lo scopo d’individuare azioni concrete per l’attuazione degli obiettivi perseguiti dall’Agenda Digitale Europea, all’interno del pilastro “Fiducia e sicurezza”.

SESAMO II, come evoluzione del progetto SESAMO I, si focalizza essenzialmente sull’analisi della sicurezza del software impiegato nei sistemi di pagamento mobili. Questi sistemi offrono all’utente la possibilità di eseguire transazioni economiche sfruttando caratteristiche di mobilità dei terminali impiegati. Per l’esecuzione di queste transazioni, l’utente si avvale di terminali portatili (ad esempio smartphone o tablet) i cui componenti, come il software applicativo e le smart-card di tipo SIM, e in alcuni sistemi le interfacce che utilizzano la tecnologia NFC (Near Field Communication), si rivelano fondamentali per la funzionalità e per la sicurezza del sistema di pagamento stesso.

Con la finalità di analizzare gli aspetti di sicurezza correlati all’utilizzo di metodologie software e di tecnologie radio NFC per la realizzazione di sistemi di pagamento in mobilità, il progetto ha previsto la realizzazione di un laboratorio di analisi, mediante metodologie innovative d’individuazione dei requisiti e delle funzionalità richieste. Accanto al problema della tutela delle transazioni in mobilità e della prevenzione di frodi informatiche, si aggiunge la questione rilevante della tutela dei dati personali dei soggetti coinvolti. Sebbene il laboratorio embrionale costituito in SESAMO II sia stato progettato anche nell’ottica di studiare tali aspetti, l’argomento della tutela dei dati personali dei soggetti coinvolti nelle transazioni in mobilità sarà approfondito nella successiva evoluzione del progetto, SESAMO III.

Durante il 2013 è stata completata l’analisi preliminare dello stato dell’arte della sicurezza del software nei sistemi di pagamento in mobilità: tale analisi, condotta in collaborazione con l’Università di Roma Tre attraverso una tesi di laurea di primo livello, è stata specializzata sugli aspetti di sicurezza dei sistemi Android.

Il 2013 ha visto, inoltre, il completamento del benchmark avviato nel 2012 circa i sistemi di pagamento in mobilità: tale benchmark, insieme all’analisi dello stato dell’arte della sicurezza del software nei sistemi di pagamento in mobilità, ha costituito il punto di partenza per la specializzazione e l’aggiornamento dei requisiti del laboratorio individuati in forma preliminare durante le attività del 2012.

Nel 2013 è stata dunque portata a termine la realizzazione delle funzionalità di base del laboratorio per l’analisi della sicurezza del software impiegato nei sistemi di pagamento in mobilità. In attesa della finalizzazione degli acquisti per la sperimentazione, è stata completata una prima configurazione per il laboratorio embrionale SESAMO II: a tal proposito sono state realizzate le principali funzioni di sicurezza previste dall’analisi dei requisiti (ad esempio funzionalità di controllo del traffico, funzionalità di monitoraggio ed ispezione del traffico attraverso reti dedicate isolate, funzionalità di analisi e scansione di vulnerabilità, funzionalità di rilevamento di anomalie ed intrusioni).

È stata inoltre completata l’analisi dell’architettura funzionale e protocollare dei dispositivi mobili che implementano la tecnologia NFC focalizzando le problematiche di sicurezza ed i possibili casi di studio per le sperimentazioni da svolgere negli eventuali sviluppi futuri del progetto.

In attesa della fornitura da parte di ISCOM dei dispositivi per il laboratorio oggetto della sperimentazione (fornitura che è stata rimandata al progetto SESAMO III), durante la collaborazione con Roma Tre, è stata eseguita una sperimentazione su un dispositivo mobile utilizzando tecniche di analisi del traffico e di reverse engineering mirate a rilevare le azioni di potenziale software malevolo che potrebbe prendere il controllo del telefono durante l’esecuzione di pagamenti in mobilità; le due sperimentazioni, eseguite su emulazioni virtuali dei dispositivi mobili e su un dispositivo reale, hanno condotto alla definizione di linee guida per la verifica, in caso di dispositivi con S.O. Android, dell’adeguatezza dei permessi richiesti dalle applicazioni che s’intende istallare sul dispositivo mobile.

In conclusione di progetto è stata predisposta una presentazione interattiva contenente sia la descrizione dei risultati ottenuti, sia una dimostrazione in tempo reale delle metodologie per l’analisi del software impiegato nei dispositivi mobili.