АссистентНовый вопросИсторияОбласти знаний
Партнёрские проектыСпецпроектыСтать автором
Сменить язык
О РУВИКИ

Кража беспроводной идентификации

Экспертиза РАН

Logo-ran.pngLogo-ran-black.png
Проводится экспертиза
Российской академией наук
Подробнее
Times2.svg

Экспертиза РАН

Arrow-Right.png
Logo-ran.png
Проводится экспертиза
Российской академией наук
Подробнее

Кра́жа беспроводно́й идентифика́ции (англ. Wireless identity theft) — это форма кражи личных данных, определяемая как «акт получения персонально идентифицирующей информации человека с помощью беспроводных технологий (радиочастотных механизмов)»[1].

По поводу данного явления написано множество статей, а телевизионные программы неоднократно проводили собственные расследования этой проблемы[2][3][4]. По словам Марка Ротенберга из Центра информации о компьютерной приватности, угроза кражи беспроводной идентификации является серьёзной проблемой, поскольку конструкция бесконтактных (беспроводных) карт изначально уязвима к атакам[5].

Обзор

Кража беспроводной идентификации — это относительно новый способ добычи персональной информации с карт, оснащённых радиочастотными модулями, которыми могут быть карты доступа, кредитные, дебетовые и государственные удостоверения личности[6]. Каждая такая карта содержит радиочастотный чип, который откликается на определённые частоты. При воздействии радиочастот такие чипы (или «метки») возвращают изменённый сигнал, в котором могут содержаться закодированные персональные данные — такие как имя владельца, адрес, номер социального страхования, телефон, а также реквизиты счёта или персональные сведения сотрудника[7].

Получив (или «собрав») такие данные, злоумышленник может запрограммировать другие карты на схожий отклик («клонирование»). Существуют многочисленные сайты, обучающие этим приёмам, а также предоставляющие необходимое оборудование и программное обеспечение[8][9].

Финансовые компании постепенно переходят от использования магнитных полос на кредитных и дебетовых картах, требующих физического считывания с помощью магнитного устройства, к бесконтактным технологиям. Это позволяет увеличить количество транзакций в минуту и совершать больше операций за меньшее время, что потенциально сокращает очереди на кассе[10].

Спорные вопросы

Академические исследователи и «белые хакеры» анализировали случаи несанкционированного сбора информации с кредитных карт с поддержкой RFID и встретили как отрицание проблемы, так и критику со стороны организаций, выпускающих такие карты[1][11]. Тем не менее, после публикации фактов, что украденные сведения могут быть считаны дешёвыми сканерами — даже через конверты с картами, а также при атаках с машины или с близкого расстояния, производители доработали меры безопасности: имена владельцев карт и другие данные удалялись из передаваемой информации, а полностью нешифрованные карты стали использовать шифрование[1][11].

Доклад RSA

Вопросы, поднятые в докладе 2006 года, были актуальны из-за десятков миллионов уже выданных карт[1][11]. Данные кредитных и дебетовых карт могли быть украдены с помощью специальных дешёвых радиосканеров без физического контакта с картой (она могла оставаться в кармане, сумке или конверте у пользователя)[1][11]. Среди результатов исследования 2006 года «Уязвимости кредитных карт первого поколения с поддержкой RFID» и сопутствующих работ:

  • у некоторых карт сканированием получали имена владельцев, номера и сроки действия[1][11];
  • максимальная сканирующая дистанция, обычно измеряемая в сантиметрах или дюймах, может увеличиваться с помощью технических средств до нескольких футов[1][11];
  • без специальных доработок, злоумышленники в людных местах или даже рассыльщики флаеров могли собирать такие данные прямо с карт и конвертов[1][11];
  • специалисты по безопасности были удивлены масштабом нарушения приватности (в 2006 году)[1][11];
  • электронные платёжные системы (например, брелок Speedpass от ExxonMobil) использовали слабо защищённое шифрование, взламываемое за полчаса вычислений[1][11];
  • некоторые карты при сканировании возвращали настоящие номера и не использовали токены[1][11];
  • полученные у некоторых карт данные можно было использовать для осуществления покупки без проверки кода карты в интернете[1][11];
  • несмотря на развитие технологий безопасности для RFID-карт, лишь банки решают, насколько защищёнными будут карты[1][11];
  • каждая из 20 протестированных карт оказалась уязвима хотя бы к одному способу атак[1][11];
  • подобную опасность представляют и биометрические электронные паспорта, использующие RFID-метки — как и карты, они также подвержены рискам кражи и клонирования данных[1]; правительство США выдаёт такие электронные паспорта с 2006 года[5][11].

В ряде сопутствующих докладов упоминается угроза слежки и агрегации информации о передвижениях граждан со стороны поставщиков карт, сторонних организаций и даже государства (так называемый эффект «Большого брата»)[12]. Согласно экспертам, RFID-технология может стать «самой навязчивой потребительской технологией», вмешивающейся в личную жизнь[12].

Компании-эмитенты платёжных карт отрицали факты кражи бесконтактных данных, ссылаясь на:

  • наличие дополнительных средств защиты и антифрод-технологий помимо самой информации карты[11];
  • выборка 2006 года была мала (20 карт) и не отражала общую ситуацию, поскольку в большинстве карт используется гораздо более надёжная защита[11];
  • даже если на нешифрованных картах были имена и номера, этого недостаточно, поскольку реальные транзакции защищены современным шифрованием[11];
  • при совершении кражи беспроводных данных или мошенничестве с кредиткой, держатели карт не несут финансовой ответственности[11] (однако последствия для вовлечённых в аферу лиц этим не ограничиваются).

После публикации результатов исследования все компании, упомянутые в расследовании The New York Times, заявили об удалении имён держателей карт из передаваемых по RFID данных[5][11].

Уязвимость официальных документов США

Некоторые официальные документы и удостоверения, выдаваемые правительством США (паспорта, паспортные карты, а также специальные удостоверения водителя в штатах Нью-Йорк и Вашингтон) содержат RFID-чипы, что, по замыслу, должно помогать сотрудникам охраны границы[13]. Тем не менее, выявлены уязвимости: злоумышленники способны считывать идентификатор с расстояния и клонировать такие документы, подделывая личность[13].

Устройства с RFID-протоколом несут потенциальные риски, включая угрозу частичной утечки персональных данных: хотя сам идентификатор не содержит открытых персональных данных, по мнению специалистов, «номера со временем эволюционируют, и возможности их использования могут превосходить первоначальные ожидания», — отмечал профессор Тадаёси Коно из Университета Вашингтона, участвовавший в анализе подобных документов[13].

Примечания

  1. 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 Heydt-Benjamin, Thomas S; Bailey, Daniel V; Fu, Keven E; Juels, Ari; O'Hare, Tom Vulnerabilities in First-Generation RFID-enabled Credit Cards (англ.). University of Massachusetts; RSA Laboratories; Innealta (22 октября 2006). Дата обращения: 14 марта 2009. Архивировано 28 июня 2025 года.
  2. Newitz, Annalee. The RFID Hacking Underground (англ.) (май 2006). Архивировано 10 мая 2006 года. Дата обращения: 21 июня 2024.
  3. Phoenix. KPHO-5. Дата обращения: 21 июня 2024.
  4. Video. KVUE-24. Дата обращения: 25 мая 2008. Архивировано 27 октября 2008 года.
  5. 1 2 3 Weston, Liz Pulliam New Credit Cards Allow Hands-Free Theft (англ.). Money central. MSN (21 декабря 2007). Дата обращения: 14 марта 2009. Архивировано 30 апреля 2011 года.
  6. Position Statement on the Use of RFID on Consumer Products (англ.). Electronic Frontier Foundation. Дата обращения: 21 июня 2024. Архивировано 23 мая 2025 года.
  7. Mansouri, Djamel (август 2017). “Dynamic and adaptive detection method for flooding in wireless sensor networks”. International Journal of Communication Systems [англ.]. 30 (12). DOI:10.1002/dac.3265. S2CID 28210742. Проверьте дату в |date= (справка на английском)
  8. RFIDIOt.org - RFID IO tools (англ.) (14 ноября 2023). Дата обращения: 14 ноября 2023. Архивировано 14 ноября 2023 года.
  9. RFID. Texas Instruments. Дата обращения: 25 мая 2008. Архивировано 16 августа 2013 года.
  10. Paywave (англ.). Visa. Дата обращения: 12 апреля 2009. Архивировано 29 марта 2009 года.
  11. 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 Schwartz, John. Researchers See Privacy Pitfalls in No-Swipe Credit Cards (англ.) (23 октября 2006). Архивировано 24 января 2025 года. Дата обращения: 21 июня 2024.
  12. 1 2 The See-It-All Chip (англ.) (22 сентября 2003). Архивировано 7 марта 2008. Дата обращения: 21 июня 2024.
  13. 1 2 3 Naone, Erica. Identification: RFID's Security Problem: Are U.S. passport cards and new state driver's licenses with RFID truly secure? (англ.), Technology Review, Massachusetts Institute of Technology (декабрь 2008). Архивировано 3 февраля 2009 года. Дата обращения: 21 июня 2024.

Литература

  • Gannsle, Daniel J. How To Do Just About Everything : [англ.]. — декабрь 2008.
  • Herrigel, Alexander; Zhao, Jian (9 февраля 2006). van Renesse, Rudolf L, ed. “RFID identity theft and countermeasures”. Proceedings of the SPIE [англ.]. Harvard. 6075 (6075): 366—379. Bibcode:2006SPIE.6075..366H. DOI:10.1117/12.643310. S2CID 62157071. Специальный выпуск: Optical Security and Counterfeit Deterrence Techniques VI.
  • Markoff, John. Study Says Chips in ID Tags Are Vulnerable to Viruses (англ.) (15 марта 2006). Дата обращения: 14 марта 2009. — о том, как умышленно подготовленные RFID-метки могут заражать вирусами компьютерные системы.
  • Seltzer, Larry. Exposing the Myth of Passport Card Security (англ.) (20 февраля 2009). Дата обращения: 14 марта 2009..

Категории