Компьютерные специалисты Том Чотия (Tom Chothia) и Виталий
Смирнов (Vitaliy Smirnov) из Великобритании опубликовали крайне любопытную
работу, в которой показали возможность слежки за обладателями электронных
паспортов и других биометрических удостоверений личности. Кроме того,
исследователи нашли возможность вообще отключить передачу данных из встроенной
в паспорт радиометки RFID – это создает серьезную угрозу для владельцев электронных паспортов.
Фактически, предложенный способ атаки на электронные
паспорта не компрометирует записанные в них данные, однако позволяет, например,
отследить вход и выход объекта слежки из здания. Для такой слежки достаточно
установить специальный прибор на входе – радиус действия такого гипотетического
прибора составит примерно полметра. Чтобы отследить конкретный паспорт, нужно
сначала перехватить сообщения, которыми обменивается паспорт с официальным
RFID-ридером. Такой перехват можно осуществить в местах, где производится
проверка биометрических удостоверений, например, при прохождении таможенного
контроля в аэропорту, либо в других подобных учреждениях. Получив запись
радиообмена между паспортом и считывающим устройством, злоумышленники могут
затем отслеживать перемещения этого паспорта в любом месте. Самое главное, что
для слежки не нужно даже знать ключи дешифрации.
Атака на биометрическое удостоверение производится путем
подачи в эфир записанного радиообмена. Измеряя время отклика, можно четко определить,
находится ли паспорт в пределах досягаемости устройств. В случае с электронными
паспортами Франции алгоритм слежки еще проще – такие паспорта, если они
находятся в радиусе действия, отправляют в эфир сообщение об ошибке «6A80:
Incorrect parameters», а если нет – модифицированный RFID-ридер сразу выдает
сообщение «6300: no information given».
Новый способ атаки на электронные удостоверения пополнил
список уязвимостей: в прошлом году специалист по безопасности Крис Пэйджет (Chris
Paget) продемонстрировал недорогую мобильную платформу, которая незаметно
перехватывает уникальные цифровые идентификаторы в новых паспортах и
водительских удостоверениях, выдаваемых в США. Среди прочих опасений, защитники
гражданских свобод и приватности считают, что информация электронных
удостоверений может считываться во время политических демонстраций и других
собраний, чтобы потом полиция или частные лица могли определить всех участников
поименно.
Разумеется, практическое применение слежки за электронными
паспортами довольно ограничено, поскольку сначала нужный паспорт необходимо
поместить рядом с легитимным считывающим устройством. Тем не менее, после
преодоления этой преграды, а это относительно легко для неразборчивых
законодателей или чиновников, подобная атака может стать самой серьезной
угрозой.
Чотия и Смирнов, которые сейчас работают в компьютерном
колледже при Бирмингемском университете, считают, что данную брешь в системе
безопасности электронных удостоверений легко закрыть. Для этого, по мнению
авторов, достаточно стандартизовать сообщения об ошибках и задержку отклика в
будущих моделях паспортов – сейчас время отклика и сообщение об ошибке
уникальны для каждого паспорта. С другой стороны, уже выданные 30 с лишним
миллионов паспортов в более чем 50 странах мира защитить технически невозможно.
Полный текст статьи Чотии и Смирнова о возможности слежки за
владельцами электронных паспортов со встроенными радиометками RFID можно найти
в формате PDF на сайте
Бирмингемского университета.
По материалам сайта The
Register.
|
