Дежавю-технология
АрхивКолумнистыRFID-чипы, вне всяких сомнений, - прогрессивная и полезная технология. То же самое можно сказать практически о любых других распространенных изобретениях, которые становятся "хорошими" или "плохими" лишь в конкретных руках.
RFID-чипы, вне всяких сомнений, - прогрессивная и полезная технология. То же самое можно сказать практически о любых других распространенных изобретениях, которые становятся "хорошими" или "плохими" лишь в руках конкретных людей или организаций. Например, микрочипы RFID в "умных бирках" на товарах существенно облегчают труд складских работников. А вот не менее полезная на первый взгляд идея - помечать аналогичными чипами купюры евро крупных номиналов - оказалась палкой о двух концах. Конечно, эта мера защитит деньги от подделки, но в то же время сильно ударит по безопасности владельцев подобных денежных знаков, поскольку воры и грабители смогут дистанционно "прощупывать" кошелёк потенциальной жертвы, оценивая находящуюся там сумму.
С поспешным и явно необдуманным проектом внедрения RFID в банкноты, к счастью, быстро разобрались, свернув его ещё на начальном этапе. Однако с другими столь же опасными инициативами ситуация складывается далеко не так благополучно. В частности, постоянно проводятся исследовательские работы, демонстрирующие рост риска "похищения личности" тех людей, чьи документы (паспорта, водительские права и пр.) оснащены RFID-чипами. На позицию властей это практически не влияет, и очень похожие истории повторяются из раза в раз с точностью до мелких деталей, невольно вызывая ощущение дежавю.
Так, скажем, ровно год назад, летом 2008-го британская газета The Times обратилась к известному хакеру Йерону ван Беку (Jeroen van Beek), чтобы проверить реальную стойкость к подделкам новых RFID-загранпаспортов, изготовляемых ныне по единому общемировому стандарту (см. "КТ" #746). Несмотря на все декларируемые средства защиты, ван Бек без труда считал и расшифровал содержимое электронного документа, воспользовавшись общедоступной программой другого хакера, англичанина Эдама Лори (Adam Laurie). Затем он изготовил клон, подменил в нём нужные данные, включая фотографию владельца, и подтвердил "подлинность" паспорта цифровой подписью, генерируемой ещё одной общедоступной программой - от новозеландского умельца Питера Гутмана (Peter Gutmann). Власти Великобритании эту демонстрацию, по сути дела, проигнорировали, не выказав ни малейшего намерения что-либо менять.
А уже в этом августе другая английская газета, Daily Mail, рассказала про очень похожее исследование. Только теперь с помощью Эдама Лори журналисты решили проверить на устойчивость к подделке RFID-карту, выдаваемую иммигрантам и иностранным студентам (в перспективе аналогичное удостоверение получат все взрослые граждане страны).
Опытному Лори на изготовление фальшивой иммиграционной карты понадобилось всего двенадцать минут. Причем сделано это было без какой-либо спецтехники, а лишь с помощью мобильного телефона Nokia, программно превращенного в RFID-терминал, и ноутбука с программами от уже известных нам ван Бека и Гутмана. Манипулируя содержимым поддельного удостоверения, Лори показал, что может не только менять фотографию или возраст владельца, но и прописывать в соответствующих полях права на получение социальных льгот и пособий от государства. Причём, как показывает опыт, злоумышленникам вовсе не обязательно самим изготовлять фальшивые чипкарты, - например, в прошлом году всё в той же Англии при перевозке были украдены три тысячи подлинных, ещё не заполненных электронных паспортов.
В МВД Британии на тему, затронутую в публикации, отреагировали довольно предсказуемо: эксперименты были названы "чепухой", а выпускаемые в стране электронные документы - отвечающими всем международным стандартам и наиболее защищёнными среди себе подобных. То есть практически повторили прошлогодние слова представителей МИД.
Не имея возможности достучаться до верхов (устроенную было Daily Mail встречу в МВД в последний момент министерство отменило без объяснения причин), Эдам Лори и другие исследователи избрали иную тактику убеждения. На недавней конференции DefCon в Лас-Вегасе, в рамках традиционного круглого стола Meet the Fed ("Встреча с федералами"), где с хакерами общаются представители ФБР, разведслужб, департамента госбезопасности и прочих подобных структур США, Лори и его коллеги установили в фойе зала ноутбук с вебкамерой и RFID-ридером. Всякий раз, когда в зону его действия попадал чей-то документ с RFID, содержимое чипа считывалось, а камера делала снимок владельца.
Едва мероприятие началось, один из организаторов "эксперимента" поведал о проделке хакеров. По свидетельству присутствовавших, у многих из гостей "отвисли челюсти, а в глазах читалось - мда, об этом мы как-то не подумали". Особую пикантность происшедшему придавало то, что лишь некоторые из представителей спецслужб посещают подобные встречи под своим настоящим именем, многие же делают это инкогнито, под прикрытием какой-нибудь фирмы. А считыватель в фойе позволял, грубо говоря, порыться в бумажниках и посмотреть, что там за удостоверения.
Чтобы избежать лишних неприятностей, исследователи тут же уничтожили собранные данные, но выразили надежду, что хоть до кого-то им удалось донести мысль о небезопасности использования RFID-чипов в документах.
Из еженедельника "Компьютерра" № 30 (794)