новости
статьи
.save ass…

скомпрометированный RFID

Изучать возможность внедрения биометрических данных в паспорта начали в разных странах мира еще в 1999 году. Тогда этот процесс был инициирован одной из структур ООН — Международной организацией гражданской авиации. После терактов 11 сентября 2001 г. в 2002-м в США ввели закон, по которому паспорта, выданные после 2006 года, должны включать чип с биометрическими данными своего владельца. По тому же пути пошли в Европе и еще целом ряде стран мира.

Но теперь выясняется, что новые электронные паспорта с RFID-чипами далеко не так надежны, как об этом говорили их разработчики. Оказывается, сделать копию документа с заменой фотографии и биометрических данных на данные любой другой персоны можно менее чем за час.

Соответствующий эксперимент был проведен по заказу британской газеты The Times. Специалисты сумели «клонировать» электронный паспорт со встроенным чипом, то есть создать новый чип, представляющий собой абсолютно идентичную копию оригинала — но с другими, специально подобранными, данными. Чип-клон затем был встроен во второй такой же паспорт без чипа. Для большей наглядности исследователи вклеили в документ фотографию Усамы бен Ладена. В результате в ходе эксперимента удалось создать два фальшивых паспорта, причем стандартный, применяемый в аэропортах и пограничных пунктах, паспортный сканер распознал оба документа как подлинные. Непосредственным исполнителем эксперимента стал специалист по информационной безопасности из Университета Амстердама Джерон Ван Бик. В ходе работы он основывался на исследованиях, которые проводились в Великобритании, Германии и Новой Зеландии. Ван Бик сумел выяснить метод считывания данных с чипа, а затем разработать свой собственный способ клонирования и замены в чипе первоначально записанных биометрических данных. Для создания поддельных паспортов использовалось написанное им самим программное обеспечение, а также некий открытый программный код и и стандартное устройство для чтения карт стоимостью $80. Расходными материалами стали два RFID-чипа стоимостью $20. Весь процесс создания поддельных паспортов занял менее одного часа. В качестве исходного был взят паспорт неназванного ребенка, который в результате манипуляций экспериментатора превратился в паспорт самого известного международного террориста. Строго говоря, существует международная база данных, которая хранит уникальные идентификационные номера каждого паспорта, что позволяет легко распознать подобную подделку. Однако базу данных Public Key Directory (PKD), о которой идет речь, предполагают использовать только 10 из 45 государств, которые участвуют в международной программе замены обычных паспортов на биометрические. На сегодняшний день доступ к ней имеют только пять стран. Так, например, Великобритания официально участвует в программе, но до 2009 года использовать PKD не будет.

Уже не теоретическая, а практическая возможность клонировать RFID-чипы — это весьма серьезная угроза прежде всего для настоящих обладателей паспортов. Ведь во время зарубежных поездок путешественникам часто приходится сдавать свои паспорта гидам или для оформления в гостиницах. За достаточно короткое время злоумышленники могут «клонировать» документ, а его владелец о произошедшем даже не догадается. Джерон Ван Бик так комментирует сложившуюся ситуацию: «Мы не утверждаем, что террористы могут совершить аналогичные манипуляции с любым из выпущенных паспортов сегодня или они сделают это завтра. Тем не менее, наш эксперимент заставляет задуматься о безопасности таких паспортов. Эта проблема должна решаться открыто, всеми вместе».



Антон Платов
обсудить статью
© сетевые решения
.
.