Дежавю-технология
RFID-чипы, вне всяких сомнений, — прогрессивная и полезная технология.
То же самое можно сказать практически о любых других распространенных изобретениях, которые становятся «хорошими» или «плохими» лишь в руках конкретных людей или организаций.
Например, микрочипы RFID в «умных бирках» на товарах существенно облегчают труд складских работников.
А вот не менее полезная на первый взгляд идея — помечать аналогичными чипами купюры евро крупных номиналов — оказалась палкой о двух концах.
Эта мера защитит деньги от подделки, но в то же время сильно ударит по безопасности владельцев подобных денежных знаков, поскольку воры и грабители смогут дистанционно «прощупывать» кошелёк потенциальной жертвы, оценивая находящуюся там сумму.
С поспешным и явно необдуманным проектом внедрения RFID в банкноты, к счастью, быстро разобрались, свернув его ещё на начальном этапе.
Однако с другими столь же опасными инициативами ситуация складывается далеко не так благополучно.
В частности, постоянно проводятся исследовательские работы, демонстрирующие рост риска «похищения личности» тех людей, чьи документы (паспорта, водительские права и пр.) оснащены RFID-чипами.
На позицию властей это практически не влияет, и очень похожие истории повторяются из раза в раз с точностью до мелких деталей, невольно вызывая ощущение дежавю.
Так, ровно год назад, летом 2008-го британская газета The Times обратилась к известному хакеру Йерону ван Беку (Jeroen van Beek), чтобы проверить реальную стойкость к подделкам новых RFID-загранпаспортов, изготовляемых ныне по единому общемировому стандарту (см. «КТ» #746).
Несмотря на все декларируемые средства защиты, ван Бек без труда считал и расшифровал содержимое электронного документа, воспользовавшись общедоступной программой другого хакера, англичанина Эдама Лори (Adam Laurie).
Затем он изготовил клон, подменил в нём нужные данные, включая фотографию владельца, и подтвердил «подлинность» паспорта цифровой подписью, генерируемой ещё одной общедоступной программой — от новозеландского умельца Питера Гутмана (Peter Gutmann).
Власти Великобритании эту демонстрацию, по сути дела, проигнорировали, не выказав ни малейшего намерения что-либо менять.
А уже в августе 2009 года другая английская газета рассказала про очень похожее исследование.
Только теперь с помощью Эдама Лори журналисты решили проверить на устойчивость к подделке RFID-карту, выдаваемую иммигрантам и иностранным студентам (в перспективе аналогичное удостоверение получат все взрослые граждане страны).
Опытному Лори на изготовление фальшивой иммиграционной карты понадобилось всего двенадцать минут.
Сделано это было без какой-либо спецтехники, а лишь с помощью мобильного телефона Nokia, программно превращенного в RFID-терминал, и ноутбука с программами от уже известных нам ван Бека и Гутмана.
Манипулируя содержимым поддельного удостоверения, Лори показал, что может не только менять фотографию или возраст владельца, но и прописывать в соответствующих полях права на получение социальных льгот и пособий от государства.
Причём, как показывает опыт, злоумышленникам вовсе не обязательно самим изготовлять фальшивые чипкарты, — например, в прошлом году всё в той же Англии при перевозке были украдены три тысячи подлинных, ещё не заполненных электронных паспортов.
В МВД Британии на тему, затронутую в публикации, отреагировали довольно предсказуемо: эксперименты были названы «чепухой», а выпускаемые в стране электронные документы — отвечающими всем международным стандартам и наиболее защищёнными среди себе подобных.
То есть практически повторили прошлогодние слова представителей МИД.
Не имея возможности достучаться до верхов (устроенную было Daily Mail встречу в МВД в последний момент министерство отменило без объяснения причин), Эдам Лори и другие исследователи избрали иную тактику убеждения.
На недавней конференции DefCon в Лас-Вегасе, в рамках традиционного круглого стола Meet the Fed («Встреча с федералами»), где с хакерами общаются представители ФБР, разведслужб, департамента госбезопасности и прочих подобных структур США, Лори и его коллеги установили в фойе зала ноутбук с вебкамерой и RFID-ридером.
Всякий раз, когда в зону его действия попадал чей-то документ с RFID, содержимое чипа считывалось, а камера делала снимок владельца.
Едва мероприятие началось, один из организаторов «эксперимента» поведал о проделке хакеров.
По свидетельству присутствовавших, многие из гостей были удивлены, а в глазах читалось — «да, об этом мы как-то не подумали».
Особую пикантность происшедшему придавало то, что лишь некоторые из представителей спецслужб посещают подобные встречи под своим настоящим именем, многие же делают это инкогнито, под прикрытием какой-нибудь фирмы.
А считыватель в фойе позволял, грубо говоря, порыться в бумажниках и посмотреть, что там за удостоверения.
Чтобы избежать лишних неприятностей, исследователи тут же уничтожили собранные данные, но выразили надежду, что хоть до кого-то им удалось донести мысль о небезопасности использования RFID-чипов в документах.
Источник: www.computerra.ru