Уязвимость биометрических паспортов - данные считываются злоумышленниками дистационно

Данные с RFID-чипа в электронных документах и пластиковых картах можно мгновенно считывать простым сканером, лежащем в небольшой барсетке, проведя ей возле кармана или сумки человека, носящего электронный документ. Вся информация о владельце тут же выводится на экране мини-ноутбука.



Более мощное (но вполне общедоступное) оборудование позволит считывать такие персональные данные с расстояния в сотни метров.

“Хакер Крис Паджет придумал, как на расстоянии до 9 метров считывать и клонировать метки RFID-паспортов. Для этого ему понадобились RFID-ридер Symbol XR400 производства Motorola, антенна AN400 той же компании и ноутбук Dell 710m. Все оборудование Крис приобрел на аукционе eBay примерно за $250. На ноутбук хакер установил разработанную им программу, которая, собственно, и заставляет ридер искать метки. Проехавшись со своей техникой по Сан-Франциско, он успешно скопировал две RFID-метки паспортов прохожих, оказавшихся в зоне действия ридера. «Мне важно было предъявить этот аргумент тем, кто говорит, что все это лишь теории и в реальной жизни такое проделать нельзя», — поясняет господин Паджет.

Паспорт с RFID можно прочитать с расстояния в 70 метров.

Информацию из идентификационных радиометок в американских паспортах можно считывать с расстояния в десятки метров, как продемонстрировал исследователь Крис Паже на конференции Black Hat 2010. Пользуясь доступным в продаже оборудованием, которое он приобрел за 2,5 тыс. долл., исследователь собрал систему, позволяющую считывать RFID в паспортах с расстояния в 66 м, но по его утверждению, в более удачных условиях дистанцию можно увеличить и до 300 м.

По официальной информации, в RFID-чипах содержится те же сведения, что и в самом паспорте, то есть имя, национальность, возраст, адрес держателя и т. д. По сведениям Паже, такие же радиометки — EPC Gen 2 — используются в канадских паспортах, в водительских правах в штате Нью-Йорк и в системах контроля товаров в магазинах Wal-mart.

Чтобы RFID-метка передала информацию, ей необходима энергия, которую она получает от радиоволн. RFID работают в диапазоне 900 МГц, как и любительские радиостанции. Паже увеличил мощность передатчика для RFID со стандартной 1 Вт до максимально допустимой для любительской радиостанции в 1,5 кВт, за счет чего ему и удалось добиться возможности считывания метки с большого расстояния.”

Еще несколько фактов о «кражах личности»:
“Недавно в прямом эфире голландского телевидения специалисты IT-технологий за два часа сломали код доступа к информации, записанной на чипах RFID. «Хакерам» удалось считать отпечаток пальца, фотографию и остальные паспортные данные, сообщает Engadget. Выяснилось, что код паспорта шифровался на основе даты рождения, даты выдачи паспорта и срока его действия.



…Эксперты по безопасности настроены против использования технологии RFID для аутентификации людей, основываясь на риске кражи идентификатора. Для примера, атака Mafia Fraud Attack делает возможным атакующему в реальном времени украсть идентификатор личности. На данный момент, из-за ограничений в ресурсах RFID меток, теоретически не представляется возможным защитить их от таких моделей атак, поскольку это потребует сложных протоколов передачи данных.

…наличие дистанционно считываемых RFID-чипов и отсутствие шифрования личной информации, прописанной в памяти микросхемы. Из-за этого содержимое важного, удостоверяющего личность документа становится доступно любому, кто имеет к такой информации интерес. Для постоянно растущих в числе «краж личности» новые электронные документы предоставляют прямо-таки бескрайнюю урожайную ниву.

Да и вообще, люди предпочитают предъявлять личные документы лишь в тех случаях, когда считают это необходимым, а не любому встречному. Короче говоря, государство, на словах заботясь о безопасности граждан, в данном случае создает лишь новые проблемы и угрозы, защищаться от которых каждому придется самостоятельно.

Почему власти отдали предпочтение радиочастотной форме считывания информации, а не заведомо более безопасной контактной, внятно объяснять никто не хочет…По той же причине, судя по всему, в качестве базовой технологии биометрической идентификации в паспортах США выбрано опознание по лицу — гораздо менее надежное, чем по радужке глаза, но зато применимое на куда больших расстояниях и опять же без ведома владельца”

3. Причина, по которой власти отдают предпочтение радиочастотной дистанционной форме считывания информации с RFID-чипов, а не заведомо более безопасной контактной, очевидна:

«Сегодня микрочипы действуют с помощью направляемых на них низкочастотных радиоволн. Через спутник чипированное лицо может быть отслежено в любой точке земного шара”



К. В. Сивков: первый вице-президент Академии геополитических проблем. Доктор военных наук. Специалист в области военной политологии. Закончил ВМА. В 1992 году закончил Академию Генштаба. С 1995 по 2007 год служил в Генштабе ВС. Принимал участие в разработке доктринальных документов определения строительства и применения ВС РФ.

Интервью в документальном фильме «Пандемия лжи»:
“…чип, который вставляется в наши паспорта и который будет в дальнейшем вживляться под кожу, не является активным элементом. Это пассивный элемент, то есть для того, чтобы он заработал, дал какой-то отклик, его нужно облучить внешним сигналом. И в зависимости от того, какой сигнал мы дадим на этот чип, такой будет и отклик. Если мы дадим один сигнал, то мы получим координаты этого человека, его паспортные данные, радужку глаза, отпечатки пальцев, то есть биометрические данные. И тогда мы можем четко определить, где он находится, скажем – с использованием спутниковых систем”

Таким образом, очевидно, что классические документы на бумажных носителях, несмотря на их простоту, намного эффективнее защищают наши персональные данные, чем документы, содержащие электронные RFID-чипы. Как и биометрия, RFID-технология, вместо того, что бы бороться с «кражами личности», фактически их облегчает.

Внедрение RFID-чипов в документы и пластиковые карты совершенно не имеет отношения к защищенности наших персональных данных и нашей безопасности. Напротив, RFID-чипы созданы для того, чтобы лишить нашу личную жизнь неприкосновенности и конфиденциальности, поместить нас в “прозрачный аквариум” для полного контроля, дистанционной слежки и идентификации структурами, об истинных целях которых граждан никто не ставит в известность.