РАДИОЧАСТОТНАЯ ИДЕНТИФИКАЦИЯ И БИОМЕТРИЧЕСКИЕ ПАСПОРТА

Нидерландские спецы по информационной безопасности из фирмы Riscure первыми взломали прототип электронного паспорта, который собираются вводить в Евросоюзе. Удалось им это вследствие достаточно простого алгоритма, примененного для шифрования личных данных владельца. Такая информация, как день рождения владельца паспорта, серийный номер, срок окончания его действия, легко предсказуема, и помогла «взломщикам» расшифровать остальное содержимое памяти радиометки.

Американские хакеры заявили, что уже создали аппарат для считывания данных с биометрических паспортов, который они продемонстрировали на пресс-конференции в Лос-Анджелесе. Устройство может перехватывать радиосигналы с чипов, которые, как утверждают разработчики биометрических паспортов, уловить невозможно. Хакеры пообещали, что доработают портативное устройство для перехвата радиосигналов биометрических паспортов, хотя запускать его в массовое производство не будут.

Так хакер Крис Паджет придумал, как на расстоянии до 70 метров считывать и клонировать метки RFID-паспортов. Для этого ему понадобились RFID-ридер Symbol XR400 производства Motorola, антенна AN400 той же компании и ноутбук Dell 710m. Все оборудование Крис приобрел за $250. На ноутбук хакер установил разработанную им программу, которая, собственно, и заставляет ридер искать метки. Проехавшись со своей техникой по Сан-Франциско, он успешно скопировал RFID-метки паспортов прохожих, оказавшихся в зоне действия ридера. «Мне важно было предъявить этот аргумент тем, кто говорит, что все это лишь в теории и в реальной жизни такое проделать нельзя, на деле же электронные паспорта, кредитки можно взломать», – поясняет Крис Паджет.

Недавно в прямом эфире голландского телевидения специалисты IT-технологий за два часа сломали код доступа к информации, записанной на чипах RFID. Хакерам удалось считать отпечаток пальца, фотографию и остальные паспортные данные, сообщает Engadget.

Снятие сетчатки глаза

Израильское новостное агентство "Haaretz" сообщило, что в Израиле выпушены приказы, строго запрещающие сотрудникам служб государственной безопасности участвовать в добровольной национальной программе выдачи биометрических паспортов и загранпаспортов. Они касаются сотрудников двух главных ведомств национальной безопасности Израиля: политической разведки Моссад и службы внутренней безопасности Шабак. Кроме того, запрет на получение биометрических документов распространяется на всех военнослужащих, имеющих допуск к государственной тайне. Главной причиной для опасений спецслужб явилось то, что в 2006 году издание «Yeshiva World News" сообщило об аресте подозреваемого в массовом хищении персональных данных Национального Реестра жителей Израиля. Похититель, будучи в офисе в нерабочее время, получил доступ к биометрической базе данных 9 миллионов израильтян, которую продал преступному сообществу. Один из покупателей разместил сведения в Сети под названием «Argon 2006», и они моментально распространились в торрент-сетях.

В России же до конца 2014 года 250 тыс. призывников выдали электронные карты призывника, причем на сборном пункте призывник должен дать письменное согласие на сбор и обработку его личных персональных данных. Пластиковый документ со встроенным микрочипом будет использоваться в различных автоматизированных системах военного назначения, как при прохождении военной службы, так и при увольнении в запас. На электронные карты заносятся биометрические данные военнослужащего, социальные данные, а также информация о его военной подготовке, обеспечении военным имуществом и состоянии здоровья. Карта также становится платежным документом. Так что высшее командование армии России, в отличие от Израиля, не заботит, что любая информация о военнослужащем, включая его местонахождение, перестаёт быть гарантированно закрытой информацией, а значит и обороноспособность страны будет под ударом. Встает вопрос:почему израильское военное руководство понимает опасность электронного удостоверения для военных, а в России, наоборот, видят в этом преимущество. Или безопасность России военное руководство не интересует?

Введение электронных паспортов многими экспертами на Западе все больше подвергается критике. Ведущий специалист по безопасности компании Microsoft Джерри Фишенден заявил: "Программа биометрической идентификации может привести к повышению риска попадания конфиденциальной информации в руки злоумышленников. Опасность прежде всего в том, что биометрические данные собираются в одной базе данных, которая включает информацию обо всех жителях страны. При этом в руки злоумышленников попадет точная копия информации, хранимой на чипе, и это может быть использовано для точной подделки документа".

Вопросами безопасности национальной пластиковой ID-карты озаботилось и правительство Швеции. Так, государственная служба страхования обеспокоена тем, что электронные карты, на которые постепенно заменяют в стране бумажные паспорта, гораздо более уязвима. Беспокойство вызывает тот факт, что система паспортов управляется централизованно, благодаря чему она может быть подвержена DDoS-атакам. Кроме того, ID-карта открывает возможности для мошенничества с использованием персональных данных владельца, которые в Швеции, согласно национальной идее открытости информации, можно запросить в социальной службе, сделав всего один звонок. Эту же уязвимость паспортной системы летом 2013 года уже отмечала шведская полиция.

Не спасает шифрование паспортов и от их клонирования. На одной из хакерской конференции немецкий эксперт Лукас Грюнвальд продемонстрировал, как содержимое электронного паспорта может быть легко считано и отредактировано, а также перенесено на любую другую радиометку. Лукас со своим приятелем занялись изучением возможности взлома различных RFID-систем. Первым делом они изучили RFID-систему местного университетского кафе, где питание для них стало бесплатным. Потом они стали останавливаться в отелях, в которых для входа в номер использовались proximity-карты. Они создали мастер-карту, открывающую любую дверь. Уязвимыми оказались и системы супермаркетов, где начали применять RFID метки на товарах. Хакеры с помощью карманных компьютеров меняли метки дорогих товаров на менее дорогие, тем самым оплачивая на порядок меньше за товар. По словам Грюнвальда, 3/4 всех изученных им RFID-систем оказались так или иначе уязвимы.

Сегодня к уязвимостям технологии RFID, также проявляют интерес и представители криминального мира. Пытаясь привлечь внимание к опасностям, скрывающимися в использовании этой технологии, хакеры даже продемонстрировали возможность использования RFID-сканера в качестве детонатора взрывного устройства, реагирующего на метку, встроенную в паспорт человека, которого необходимо ликвидировать. Так бельгийские СМИ сообщили, что террористы способны превратить электронные биометрические загранпаспорта, вводимые в странах-членах Евросоюза, во взрывные устройства. По их информации, к такому выводу пришли ученые из голландского университета Radboud de Nijmegen, которым удалось "вскрыть" микросхему, встроенную в электронные паспорта граждан Бельгии. По мнению голландских ученых, риск того, что их могут подделать террористы с целью организации терактов, вполне реален. "Террористы могут создать "паспорт-бомбу" - взрывное устройство, которое будет срабатывать при прохождении паспортного контроля", - цитируют СМИ заключение университетских специалистов из Нидерландов.

Из сказанного мы должны понять, что злоупотребление в сфере биометрических электронных карт и паспортов могут иметь куда более тяжкие последствия, чем воровство кода кредитной карты, особенно, если система, производящая идентификацию человека глобальная.