Новости

Дежавю-технология

RFID-чипы, вне всяких сомнений, — прогрессивная и полезная технология.

То же самое можно сказать практически о любых других распространенных изобретениях, которые становятся «хорошими» или «плохими» лишь в руках конкретных людей или организаций.

Например, микрочипы RFID в «умных бирках» на товарах существенно облегчают труд складских работников.

А вот не менее полезная на первый взгляд идея — помечать аналогичными чипами купюры евро крупных номиналов — оказалась палкой о двух концах.

Эта мера защитит деньги от подделки, но в то же время сильно ударит по безопасности владельцев подобных денежных знаков, поскольку воры и грабители смогут дистанционно «прощупывать» кошелёк потенциальной жертвы, оценивая находящуюся там сумму.

С поспешным и явно необдуманным проектом внедрения RFID в банкноты, к счастью, быстро разобрались, свернув его ещё на начальном этапе.

Однако с другими столь же опасными инициативами ситуация складывается далеко не так благополучно.

В частности, постоянно проводятся исследовательские работы, демонстрирующие рост риска «похищения личности» тех людей, чьи документы (паспорта, водительские права и пр.) оснащены RFID-чипами.

На позицию властей это практически не влияет, и очень похожие истории повторяются из раза в раз с точностью до мелких деталей, невольно вызывая ощущение дежавю.

Так, ровно год назад, летом 2008-го британская газета The Times обратилась к известному хакеру Йерону ван Беку (Jeroen van Beek), чтобы проверить реальную стойкость к подделкам новых RFID-загранпаспортов, изготовляемых ныне по единому общемировому стандарту (см. «КТ» #746).

Несмотря на все декларируемые средства защиты, ван Бек без труда считал и расшифровал содержимое электронного документа, воспользовавшись общедоступной программой другого хакера, англичанина Эдама Лори (Adam Laurie).

Затем он изготовил клон, подменил в нём нужные данные, включая фотографию владельца, и подтвердил «подлинность» паспорта цифровой подписью, генерируемой ещё одной общедоступной программой — от новозеландского умельца Питера Гутмана (Peter Gutmann).

Власти Великобритании эту демонстрацию, по сути дела, проигнорировали, не выказав ни малейшего намерения что-либо менять.

А уже в августе 2009 года другая английская газета рассказала про очень похожее исследование.

Только теперь с помощью Эдама Лори журналисты решили проверить на устойчивость к подделке RFID-карту, выдаваемую иммигрантам и иностранным студентам (в перспективе аналогичное удостоверение получат все взрослые граждане страны).

Опытному Лори на изготовление фальшивой иммиграционной карты понадобилось всего двенадцать минут.

Сделано это было без какой-либо спецтехники, а лишь с помощью мобильного телефона Nokia, программно превращенного в RFID-терминал, и ноутбука с программами от уже известных нам ван Бека и Гутмана.

Манипулируя содержимым поддельного удостоверения, Лори показал, что может не только менять фотографию или возраст владельца, но и прописывать в соответствующих полях права на получение социальных льгот и пособий от государства.

Причём, как показывает опыт, злоумышленникам вовсе не обязательно самим изготовлять фальшивые чипкарты, — например, в прошлом году всё в той же Англии при перевозке были украдены три тысячи подлинных, ещё не заполненных электронных паспортов.

В МВД Британии на тему, затронутую в публикации, отреагировали довольно предсказуемо: эксперименты были названы «чепухой», а выпускаемые в стране электронные документы — отвечающими всем международным стандартам и наиболее защищёнными среди себе подобных.

То есть практически повторили прошлогодние слова представителей МИД.

Не имея возможности достучаться до верхов (устроенную было Daily Mail встречу в МВД в последний момент министерство отменило без объяснения причин), Эдам Лори и другие исследователи избрали иную тактику убеждения.

На недавней конференции DefCon в Лас-Вегасе, в рамках традиционного круглого стола Meet the Fed («Встреча с федералами»), где с хакерами общаются представители ФБР, разведслужб, департамента госбезопасности и прочих подобных структур США, Лори и его коллеги установили в фойе зала ноутбук с вебкамерой и RFID-ридером.

Всякий раз, когда в зону его действия попадал чей-то документ с RFID, содержимое чипа считывалось, а камера делала снимок владельца.

Едва мероприятие началось, один из организаторов «эксперимента» поведал о проделке хакеров.

По свидетельству присутствовавших, многие из гостей были удивлены, а в глазах читалось — «да, об этом мы как-то не подумали».

Особую пикантность происшедшему придавало то, что лишь некоторые из представителей спецслужб посещают подобные встречи под своим настоящим именем, многие же делают это инкогнито, под прикрытием какой-нибудь фирмы.

А считыватель в фойе позволял, грубо говоря, порыться в бумажниках и посмотреть, что там за удостоверения.

Чтобы избежать лишних неприятностей, исследователи тут же уничтожили собранные данные, но выразили надежду, что хоть до кого-то им удалось донести мысль о небезопасности использования RFID-чипов в документах.

Источник: www.computerra.ru

`

Рекомендуем к прочтению:

Back to top button