Развенчание RFID

RFID-чипы и их использование в различных областях человеческой жизни - это уже целая индустрия с многомиллионными оборотами. Такие электронные метки применяются повсеместно - для контроля за товарами в магазинах, для идентификации домашних животных, при роботизированной сборке автомобилей и т.д., и т.п. А на программы по внедрению электронных документов с RFID-чипами (так называемые е-паспорта) некоторые страны уже потратили сотни миллионов долларов. Но, похоже, потратили напрасно.

Создатели RFID-технологии, как и лоббисты повсеместного внедрения чипов радиочастотной идентификации, не устают заявлять об их абсолютной надёжности и устойчивости ко взлому. Понять их несложно: на кону колоссальные бюджетные средства плюс не меньшие корпоративные деньги - одна только сеть магазинов Wal-Mart инвестировала в RFID-метки почти $100 млн.

Но теперь производителям RFID-микросхем явно придётся перейти к активной обороне. Возмутителем спокойствия стал калифорнийский хакер Крис Пейджет, убедительно доказавший, что электронные документы с RFID-чипами на самом деле практически не защищены от взломов. Пейджет наглядно продемонстрировал, как можно автоматически считывать RFID-идентификаторы электронных паспортов и водительских удостоверений нового образца на расстоянии до 10 метров.

Крис Пейджет действовал в классических хакерских традициях. По дешёвке купил набор электронного оборудования: бэушные RFID-ридер, антенну и старенький ноутбук. Всё это обошлось ему в $250. Собранное из упомянутого оборудования устройство без труда скрытно помещается в автомобиле. Отдельно Пейджет сам написал программу, которая постоянно "подбадривает" RFID-считыватель и заставляет его искать в зоне действия радиометки - то есть, собственно, абсолютно любые RFID-чипы. Все обнаруженные радиочастотные идентификаторы и их параметры записываются в файл. Ну а собранные данные можно использовать уже как угодно - например, для создания фальшивых е-документов. Напомню, что встроенный в документ RFID-чип хранит ту же информацию, что и печатный вариант, а также включает цифровую подпись владельца.

Как говорит сам Крис Пейджет, его программа вовсе не является сложной и о каком-либо серьёзном достижении речь не идёт. Тем не менее, хакер-исследователь планирует публично представить свою разработку на хакерском съезде Shmoocon, который вскоре должен пройти в Вашингтоне.

Впрочем, Крис Пейджет не стал первым хакером, скомпрометировавшим RFID-документы. Ещё в 2006 году инженер Лукас Грюнвальд продемонстрировал технологию клонирования немецких электронных паспортов - правда, тогда клонированием всё и ограничилось, тогда как технология Пейджета позволяет "издеваться" над RFID-метками как душе угодно.

Однако, несмотря на весьма скептическое отношение специалистов по безопасности к RFID-технологиям, в правительстве США пока не планируют как-либо совершенствовать электронные документы или, наоборот, отказываться от их использования. К примеру, таможенники напоминают, что, во-первых, к е-паспортам прилагаются специальные защитные конверты, которые не дают считывать данные с радиометок, а во-вторых, даже если идентификатор и попадёт в руки злоумышленников, от него будет мало толку. (Про клонирование документов таможенники предпочитают не вспоминать.)

В рамках дискуссии вокруг RFID-меток исследователи из компании RSA и Вашингтонского университета внимательно изучили американские электронные документы - паспорта и водительские удостоверения. Вывод инженеров таков: защитные конверты для паспортов выполняют свою функцию на должном уровне (сами паспорта имеют дополнительную защиту в виде экранирующей тонкой металлической подкладки). А вот с водительскими удостоверениями не так всё гладко. В данном случае RFID-метки, спрятанные в защитные конверты, всё же могут считываться с расстояния в десятки сантиметров. Кроме того, мятые конверты также не предоставляют сколько-нибудь удовлетворительной защиты.

Судя по всему, несмотря на громкие хакерские разоблачения, "отыграть назад" ситуацию с RFID-документами уже не получится - слишком далеко зашло их внедрение. На сегодняшний день е-паспортами уже пользуется порядка 750 тысяч одних только американцев. Эти документы позволяют им свободно перемещаться между США, Мексикой, Канадой, Карибами и Бермудами - об этом в свое время было подписано специальное североамериканское соглашение.

Напомню, что первой - ещё в 1998 году - паспорта со встроенными RFID-чипами начала выдавать своим гражданам Малайзия. Сегодня на использование т.н. RFID-паспортов переходят уже десятки стран мира, включая Россию. В Европе наибольшую активность в этом направлении проявляют Великобритания и Германия.

Виктор ДЕМИДОВ

Версия для печатиВерсия для печати

Номер: 

06 за 2009 год

Рубрика: 

Компьютер и жизнь
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!

Комментарии

Страницы

Аватар пользователя mike
>намек был на меня:)

Не, на автора, кот. тож себя позиционировал, аки "биолог".

Аватар пользователя Николай
Чей-то в статье такого позиционирования не заметил:) Может, плохо смотрел?
Аватар пользователя mike
>плохо смотрел?

Да. См. глубинно лет на 5. За это время автор стал виртуозом в поиске, но порой не видит липу. Ааа, дошло; статья-то -- утка! Это типа конкурс такой, кто утку распознает. А что? Нормальный конкурс!

Аватар пользователя Savely
Кстати, я полазил, изучил вопрос. Проблема там не в RFID, а в конкретном применении с конкретной технологией - штатовские EDL (водительские права) и Passport Card. Похоже, они используют тупые метки как тупой ID...
Аватар пользователя Savely
Ну, и существует проблема цены - нормальные "смарт-кардовые" RFID-чипы пока еще стоят дорого и производство напряжное, посему народ извращается как может - проприетарные упрощенные алгоритмы, ограничения на дальность считывания и т.п.

Т.е. при данном уровне развития RFID как технологии я бы на некий ширпотребный продукт пины от карты не положил бы, при использовании в документах ввел обязательные оргмеры. При заказной разработке с известным и нормальным в плане секурити ТЗ и неэкономии при производстве - уже можно пользоваться.

Еще пару лет поразвиваться им надобно.

Но для контроля доступа или вон в метро - самое то.

Аватар пользователя mike
Набрав в Гугле EDL+RFID можно неслабо повеселиться: у досужих журналистов клонирование метки и чипа, хаха, одно и то же. Можно подумать, что подслушав метку (она, кстати, и в графическом виде имеется во многих e-документах) можно подделать серьёзный e-документ и воспользоваться им. Напомню: чтобы e-док отозвался меткой, его надо возбудить, а это обмен последовательностями. С какими свойствами - см. в моих постах выше, а также Гугл в руки. Кроме того, серьёзный док содержит и э-подпись владельца. Метка - это просто идентификатор типа ФИО+регномер. От того, что вы узнаете, как зовут владельца тачки, подслушав метку, конечно, можно извлечь пользу, например, найти его телефон и сообщить жене, чем он занят. Но проклонировать его права - фигушки. В рфидах для скота, ессно в стадии возбуждения рфида допустИм и обмен ФИКСИРОВАННЫМИ последовательностями на радость клонировщикам, если им больше нефиг делать. В общем, гуглите больше, лучше, выше, сильнее и не только по-русски.

Заодно поинтересуйтесь: а не выдают ли публичным тёлкам рфиды для скота?

Аватар пользователя mike
Автор отмалчивается - его право, его "фирменная система" общения с читателями. Кстати, набрав в Гугле "массовое клонирование" + RFID можно узнать кое-что интересное о происхождении статьи.
Аватар пользователя Инкогнито
>>набрав в Гугле "массовое клонирование" + RFID можно узнать кое-что интересное о происхождении статьи

Ой, Майк, не заигрывай, как девочка. Ссылочки сюда быстренько, цитатки, сравнение со статьей по буквочкам. Народ оценит. Или заткнись.

Аватар пользователя mike
>Ссылочки сюда быстренько

Икс, а чё, хехе, колбасит? Будешь нормальным юзером, а не иксом, тогда и поговорим.

Аватар пользователя Инкогнито
Да, лажанулся автор слегка, тут согласен с Майком полностью

Страницы