Развенчание RFID

RFID-чипы и их использование в различных областях человеческой жизни - это уже целая индустрия с многомиллионными оборотами. Такие электронные метки применяются повсеместно - для контроля за товарами в магазинах, для идентификации домашних животных, при роботизированной сборке автомобилей и т.д., и т.п. А на программы по внедрению электронных документов с RFID-чипами (так называемые е-паспорта) некоторые страны уже потратили сотни миллионов долларов. Но, похоже, потратили напрасно.

Создатели RFID-технологии, как и лоббисты повсеместного внедрения чипов радиочастотной идентификации, не устают заявлять об их абсолютной надёжности и устойчивости ко взлому. Понять их несложно: на кону колоссальные бюджетные средства плюс не меньшие корпоративные деньги - одна только сеть магазинов Wal-Mart инвестировала в RFID-метки почти $100 млн.

Но теперь производителям RFID-микросхем явно придётся перейти к активной обороне. Возмутителем спокойствия стал калифорнийский хакер Крис Пейджет, убедительно доказавший, что электронные документы с RFID-чипами на самом деле практически не защищены от взломов. Пейджет наглядно продемонстрировал, как можно автоматически считывать RFID-идентификаторы электронных паспортов и водительских удостоверений нового образца на расстоянии до 10 метров.

Крис Пейджет действовал в классических хакерских традициях. По дешёвке купил набор электронного оборудования: бэушные RFID-ридер, антенну и старенький ноутбук. Всё это обошлось ему в $250. Собранное из упомянутого оборудования устройство без труда скрытно помещается в автомобиле. Отдельно Пейджет сам написал программу, которая постоянно "подбадривает" RFID-считыватель и заставляет его искать в зоне действия радиометки - то есть, собственно, абсолютно любые RFID-чипы. Все обнаруженные радиочастотные идентификаторы и их параметры записываются в файл. Ну а собранные данные можно использовать уже как угодно - например, для создания фальшивых е-документов. Напомню, что встроенный в документ RFID-чип хранит ту же информацию, что и печатный вариант, а также включает цифровую подпись владельца.

Как говорит сам Крис Пейджет, его программа вовсе не является сложной и о каком-либо серьёзном достижении речь не идёт. Тем не менее, хакер-исследователь планирует публично представить свою разработку на хакерском съезде Shmoocon, который вскоре должен пройти в Вашингтоне.

Впрочем, Крис Пейджет не стал первым хакером, скомпрометировавшим RFID-документы. Ещё в 2006 году инженер Лукас Грюнвальд продемонстрировал технологию клонирования немецких электронных паспортов - правда, тогда клонированием всё и ограничилось, тогда как технология Пейджета позволяет "издеваться" над RFID-метками как душе угодно.

Однако, несмотря на весьма скептическое отношение специалистов по безопасности к RFID-технологиям, в правительстве США пока не планируют как-либо совершенствовать электронные документы или, наоборот, отказываться от их использования. К примеру, таможенники напоминают, что, во-первых, к е-паспортам прилагаются специальные защитные конверты, которые не дают считывать данные с радиометок, а во-вторых, даже если идентификатор и попадёт в руки злоумышленников, от него будет мало толку. (Про клонирование документов таможенники предпочитают не вспоминать.)

В рамках дискуссии вокруг RFID-меток исследователи из компании RSA и Вашингтонского университета внимательно изучили американские электронные документы - паспорта и водительские удостоверения. Вывод инженеров таков: защитные конверты для паспортов выполняют свою функцию на должном уровне (сами паспорта имеют дополнительную защиту в виде экранирующей тонкой металлической подкладки). А вот с водительскими удостоверениями не так всё гладко. В данном случае RFID-метки, спрятанные в защитные конверты, всё же могут считываться с расстояния в десятки сантиметров. Кроме того, мятые конверты также не предоставляют сколько-нибудь удовлетворительной защиты.

Судя по всему, несмотря на громкие хакерские разоблачения, "отыграть назад" ситуацию с RFID-документами уже не получится - слишком далеко зашло их внедрение. На сегодняшний день е-паспортами уже пользуется порядка 750 тысяч одних только американцев. Эти документы позволяют им свободно перемещаться между США, Мексикой, Канадой, Карибами и Бермудами - об этом в свое время было подписано специальное североамериканское соглашение.

Напомню, что первой - ещё в 1998 году - паспорта со встроенными RFID-чипами начала выдавать своим гражданам Малайзия. Сегодня на использование т.н. RFID-паспортов переходят уже десятки стран мира, включая Россию. В Европе наибольшую активность в этом направлении проявляют Великобритания и Германия.

Виктор ДЕМИДОВ

Версия для печатиВерсия для печати

Номер: 

06 за 2009 год

Рубрика: 

Компьютер и жизнь
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!

Комментарии

Страницы

Аватар пользователя mike
Вся статья - вздор. Ни автор. ни прикалывающийся по ссылке субавтор не говорят, что бесполезно записывать радиобмен с RFID по той простой причине, что прежде, чем обменяться индет-инфой, происходит обмен запрос-ответ, при этом запрос - случайная последовательность, а ответ - функция от нееё. Посему собирать коллекции RFID-обмена - пустое занятие. Автор, вы биолог? Вот и пишите о том, что знаете, а не покупайтесь на сообщения псевдохакеров.
Аватар пользователя mike
>а ответ - функция от неё

Тем, кто не понял: если ответ неверный, то идент не производится. Гуглите, плз, тщательнее.

Аватар пользователя Savely
Любят у нас сенсацию из пальца высосать. RFID - слишком широкое понятие/технология, основным признаком является радиочастотный способ обмена.

Но внутри самой метки может быть что угодно - от тупого серийника, до микропроцессора с триплдесом и честной аутентификацией.

Ессно - если тупую метку вешать не на корову (для чего она в общем-то предназначена), а записывать туда в открытом виде пины своих кредиток - да RFID "развенчан"...

Аватар пользователя Savely
Можно еще написать статью:

Хакер Вася взял радиоприемник и стал крутить ручку. Он нашел 100 станций, вещающих открытым текстом и даже услышал ментов и таксистов. Это круто! Под угрозой ваша приваси - враг знает, куда едет Ваше такси...

Правда было еще 5 станций, где хакер Вася ничего не понял, но это неважно.

Аватар пользователя Инкогнито
майк, но ведь запрос-ответ на идент-инфу, о котором ты говоришь, никак не мешают клонированию RFID-чипа. И второе: получается, что хакер, о котором говорится в статье, поедет в Вашингтон на хакерский съезд Shmoocon, чтобы представить там "вздор"? Ему это надо? по-моему ты путаешь его с "деятелями" из нашей Академии наук с их разработками типа "комбайна по уборке огурцов" (кто видел тот знаменитый видеоролик - меня поймет).
Аватар пользователя Savely
Клонирование - как Вы думаете, сколько стоит клонирование конкретного чипа, имеющего флеш и еепром с заранее неизвестным содержимым?
Аватар пользователя mike
>запрос-ответ на идент-инфу, о котором ты говоришь, никак не мешают клонированию RFID-чипа.

Поржал, пасиб. Восстановить по радиообмену чип то же, что и ДНК больного путём сбора анамнеза. :)

>хакер, о котором говорится в статье, поедет в Вашингтон на хакерский съезд Shmoocon

Аргумент, однако. :) Кстати, о заявках на участие см. на Shmon.com.

Аватар пользователя Николай
Майк, я пишу лишь статьи в научные журналы:)
Аватар пользователя mike
>я пишу лишь статьи в научные журналы:)

А причём тут это? Как-то автор разжёвывал нам фено-гено, дык не грех бы понимать, что одиночная реализация неизвестной функции случайного аргумента также бесполезна, как номера бочонков лото, однажды выпавшие в детстве.

Аватар пользователя Николай
Майк, это к разговору о том, что автор биолог. Ясно, что намек был на меня:). А я заметки в газету "про вашего мальчика" не пишу.

Страницы