Ты узнаешь ее
АрхивКолонка ЗолотоваТехнология радиоидентификации (RFID) таит многочисленные угрозы для личности и общества. Но до сих пор опасность была скорее теоретической из-за редкости необходимого оборудования. С этой недели начался практический этап в освоении RFID: благодаря трудам немецкого хакера работать с радиочипами может теперь каждый желающий.
Чипы радиоидентификации (RFID) - крохотные электронные устройства, хранящие некоторый объём полезной информации и способные предоставить её по первому запросу специального сканера на расстоянии от нескольких сантиметров до нескольких метров - до настоящего момента остаются сравнительно малоизвестным техническим решением. Несмотря на то что число установленных RFID-микросхем в мире наверняка уже исчисляется миллиардами, мы знаем о самой технологии и возможных последствиях её применения непозволительно мало. Громкие скандалы (бойкот Benetton), крупнейшие истории успеха (Wal-Mart, Gillette) и несколько промышленных RFID-стандартов (ISO 15693, ISO 14443, и т.д.) ничего особенно не меняют. Да, многие в состоянии объяснить общий принцип работы RFID-чипов и перечислить основные плюсы (в частности, ускорение и удешевление процесса розничной торговли, искоренение магазинных краж), некоторые знают про подстерегающую обывателей угрозу конфиденциальности, но всё это теория. Практика массовой радиоидентификации находится в зачаточной стадии, доказательством чему программа, о которой пойдёт речь далее.
Впрочем, прежде стоит вспомнить про угрозу конфиденциальности граждан со стороны RFID-технологии подробнее. Разбирающиеся в высоких технологиях правозащитники, которых сейчас особенно много в развитых странах Запада, разработали следующую очевидную теорию. RFID-чипы, имплантированные в предметы и имеющие широкое хождение в быту (одежда, продукты, платёжные инструменты и прочее, что используется нами повседневно), сами по себе не хранят информации о своём владельце. К примеру, RFID-метка в купленной рубашке, может содержать лишь информацию о цене и особенностях данного товара. Тем не менее, использование RFID требует распрощаться с тайной личности. Радиочипы позволяют ускорить процесс покупки (в идеале, не нужна даже касса: вы берёте рубашку с полки и идёте к выходу, по пути сканер, опросив RFID-чип, определяет сумму, которая тут же и списывается с вашей кредитной карты, также оснащённой своим RFID-чипом), но в следующий раз, когда вы придёте в тот же магазин (или его филиал), вас могут опознать по уже знакомой метке в рубашке или кредитной карте. Но и это не самое страшное: злоумышленник, научившийся читать RFID-чипы данного образца, сможет опознавать вас на улице (взломав магазинную базу данных, он узнает и номер вашего карточного счёта, и ваше имя), а вездесущее правительство, расставив сканеры в публичных местах, будет следить за вашими перемещениями. В общем, идея ясна. Как и главное её уязвимое место - до сих пор всё это было лишь теорией, воплотить которую в жизнь, казалось, не так просто из-за дороговизны и редкости соответствующего оборудования. На этой неделе немецкий компьютерщик Лукас Грюнвальд продемонстрировал, как каждый желающий может свободно не только читать, но и записывать информацию на чипы RFID, используя, буквально, подручные средства.
Главное оружие Грюнвальда, предъявленное им участникам хакерской конференции Black Hat Security Briefings - программа RFDump. Существующая в вариантах для MS Windows и Linux, она может работать как на обычной персоналке, так и на Linux-наладоннике, оснащённых универсальным RFID-сканером. Несколько моделей таких сканеров имеются в свободной продаже. RFDump считывает данные с RFID-чипов нескольких стандартов и в большинстве случаев позволяет модифицировать их. Насколько можно судить по описанию программы, она не поддерживает никаких механизмов шифрования, но вероятно, на данном этапе развития RFID-технологии этого и не требуется. Использовать RFDump как средство слежения едва ли удобно - из-за небольшой дальности действия современных RFID-чипов. Но Грюнвальд указывает на другое возможное применение своей разработки: вооружённые наладонником с RFDump злоумышленники могут устраивать настоящий магазинный террор, сбивая цены на товары, "меняя" RFID-чипы местами (точнее, перенося информацию из одного в другой) и т.п. Вот они, скрытые побочные эффекты молодой технологии! Конечно, разработка RFID продолжится, но и RFID-хакеры на месте стоять явно не собираются. К примеру, RFDump уже включает интересную функцию "cookies": в память RFID-чипа можно записать специальную метку и счётчик, так что каждый раз, когда данный чип будет попадать в "поле зрения" сканера, значение счётчика увеличится на единичку. Как это можно использовать? Включайте фантазию, мы на переднем крае!