27.01.2010

Компьютерные специалисты из Великобритании опубликовали работу, в которой показали возможность слежки за обладателями электронных паспортов и других биометрических удостоверений личности.

Компьютерные специалисты Том Чотия (Tom Chothia) и Виталий Смирнов (Vitaliy Smirnov) из Великобритании опубликовали крайне любопытную работу, в которой показали возможность слежки за обладателями электронных паспортов и других биометрических удостоверений личности. Кроме того, исследователи нашли возможность вообще отключить передачу данных из встроенной в паспорт радиометки RFID – это создает серьезную угрозу для владельцев электронных паспортов.

Дефекты в электронных паспортах позволяют следить за человеком в реальном времени

Фактически, предложенный способ атаки на электронные паспорта не компрометирует записанные в них данные, однако позволяет, например, отследить вход и выход объекта слежки из здания. Для такой слежки достаточно установить специальный прибор на входе – радиус действия такого гипотетического прибора составит примерно полметра. Чтобы отследить конкретный паспорт, нужно сначала перехватить сообщения, которыми обменивается паспорт с официальным RFID-ридером. Такой перехват можно осуществить в местах, где производится проверка биометрических удостоверений, например, при прохождении таможенного контроля в аэропорту, либо в других подобных учреждениях. Получив запись радиообмена между паспортом и считывающим устройством, злоумышленники могут затем отслеживать перемещения этого паспорта в любом месте. Самое главное, что для слежки не нужно даже знать ключи дешифрации.

Атака на биометрическое удостоверение производится путем подачи в эфир записанного радиообмена. Измеряя время отклика, можно четко определить, находится ли паспорт в пределах досягаемости устройств. В случае с электронными паспортами Франции алгоритм слежки еще проще – такие паспорта, если они находятся в радиусе действия, отправляют в эфир сообщение об ошибке «6A80: Incorrect parameters», а если нет – модифицированный RFID-ридер сразу выдает сообщение «6300: no information given».

Новый способ атаки на электронные удостоверения пополнил список уязвимостей: в прошлом году специалист по безопасности Крис Пэйджет (Chris Paget) продемонстрировал недорогую мобильную платформу, которая незаметно перехватывает уникальные цифровые идентификаторы в новых паспортах и водительских удостоверениях, выдаваемых в США. Среди прочих опасений, защитники гражданских свобод и приватности считают, что информация электронных удостоверений может считываться во время политических демонстраций и других собраний, чтобы потом полиция или частные лица могли определить всех участников поименно.

Разумеется, практическое применение слежки за электронными паспортами довольно ограничено, поскольку сначала нужный паспорт необходимо поместить рядом с легитимным считывающим устройством. Тем не менее, после преодоления этой преграды, а это относительно легко для неразборчивых законодателей или чиновников, подобная атака может стать самой серьезной угрозой.

Чотия и Смирнов, которые сейчас работают в компьютерном колледже при Бирмингемском университете, считают, что данную брешь в системе безопасности электронных удостоверений легко закрыть. Для этого, по мнению авторов, достаточно стандартизовать сообщения об ошибках и задержку отклика в будущих моделях паспортов – сейчас время отклика и сообщение об ошибке уникальны для каждого паспорта. С другой стороны, уже выданные 30 с лишним миллионов паспортов в более чем 50 странах мира защитить технически невозможно.

Полный текст статьи Чотии и Смирнова о возможности слежки за владельцами электронных паспортов со встроенными радиометками RFID можно найти в формате PDF на сайте Бирмингемского университета.
Источник:  The Register.


Рейтинг статьи