Tutkijat etsivät ongelmia RFID-passikorttien kanssa

Yhdysvaltojen Yhdysvaltojen valtiovarainministeriön ja EDL: n (Yhdysvaltojen valtion passituskortit) Yhdysvaltojen passikortit (Washingtonin osavaltiossa) sisältävät RFID-tunnisteita (radiotaajuustunnisteita), joita voidaan skannata rajanylityspaikoilla ilman, että ne luovutetaan agentteihin. Molemmat otettiin käyttöön aiemmin tänä vuonna rajanylityspaikoilla vain maalla ja vedellä, eikä niitä voida käyttää lentomatkoihin. New York on ainoa muu Yhdysvaltain osavaltio EDL: llä, vaikka muutkin toimivat.

Näissä tunnisteissa olevat tiedot voidaan kopioida toiselle, off-the-shelf-tunnisteelle, jota voidaan käyttää laillisen haltijan kortti, jos Yhdysvaltain Department of Homeland Security agentit rajalla ei nähnyt korttia itse, tutkijat sanoivat. Toinen vaara on se, että tunnisteet voidaan lukea jopa 150 metrin etäisyydeltä joissakin tilanteissa, joten rikolliset voivat lukea niitä ilman havaitsemista.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

Toinen vaara on se, että hakkerit

"Olisi suhteellisen helppoa, jos joku lukisi passikorttisi tai EDL: n", sanoo tietojenkäsittelytieteen ja -tekniikan apulaisprofessori Tadayoshi Kohno. Washingtonin yliopisto.

Vaikka paniikissa ei ole mitään syytä, "meidän sydämemme pitäisi alkaa voittaa hieman nopeammin", Kohno sanoi. Yksittäisten matkustajien riski on pieni, mutta ongelmat aiheuttavat järjestelmällisiä puutteita rajanylitysjärjestelmässä raportin yhteenvedon mukaan.

Vähittäiskauppa, kuljetus ja muut yritykset käyttävät yhä enemmän RFID-tunnisteita langattomina viivakoodeina, jotka voivat sisältää enemmän tietoa kuin perinteisillä painotuotteilla. Teknologian kasvu on RFID-hakkeroinnin välineiden tekemistä helpommin saatavissa, Kohno sanoi.

kloonattava hyökkäys, hakkeri pystyi lukemaan tiedot pois kortin RFID-tunnisteen joko kortinhaltijan ohi tai virallisen kortinlukija poimii tietoja. Hyökkääjä voi sitten koodata yleistä RFID-tunnistetta samoilla tiedoilla, Kohno sanoi. Kun kyseinen äskettäin koodattu tunniste on, voi joku murtautua rajan läpi näyttämällä RFID-lukijalle laillisen henkilökortin, kunhan kukaan ei pyytänyt katsomaan todellista korttia.

RFID-haavoittuvuudet eivät itsessään ole tarkoittaa sitä, että joku poistuu kloonauksesta tai muista hyökkäyksistä, Kohno huomautti.

"Todellisuudessa rajat ylittävien järjestelmien järjestelmä on paljon suurempi kuin vain tekninen näkökulma", Kohno sanoi. Esimerkiksi viranomaiset todennäköisesti haastattelevat rajat ylittäviä kuljettajia ja matkustajia ja tarkastelevat heidän henkilöllisyystodistuksiaan, hän sanoi.

Kohno ja kolme muuta tutkijaa uskovat, että RFID-tunnisteilla on käytössä mekanismeja, joita Yhdysvaltojen ja Washingtonin hallitukset eivät käytä.

Esimerkiksi, kullakin tagilla on kaksi erikoismerkkiä: PIN (henkilökohtainen tunnusnumero) ja PIN-koodi. (Nämä ovat suurempia kuin pankkikortin PIN-koodit, eikä kortinhaltijat valitsisi niitä.) PIN-koodia voidaan käyttää varmistamaan, että tunniste on oikeutettu ja PIN-koodia voidaan käyttää antamaan tunniste lukemattomaksi.

PIN-koodeja käytetään sekä passikortilla että EDL: issä, mutta on olemassa muita turvatoimia, joita tutkijat eivät usko viranomaisten käyttävän. Esimerkiksi he voisivat testata PIN-koodin tietoja tietokannasta, Kohno sanoi. Lisäksi PIN-koodia ei ole määritetty Washingtonin EDL: ille, mikä saattaa heikentää sellaista hyökkäystä, joka tekisi kaikki tällaiset kortit tietyllä sivustolla luettaviksi, hän sanoi. Tällainen hyökkäys voisi aiheuttaa haittaa tai heikentää matkustajien luottamusta, tiivistelmä sanoi.

Tutkijat ovat antaneet suosituksia sekä Yhdysvaltojen että Washingtonin viranomaisille, Kohno totesi.

Nämä heikkoudet eivät vaikuta täysikokoisiin Yhdysvaltojen passeihin, jotka ovat korttien sijaan vihkoja, koska niiden RFID-tunnisteilla on salaus suojaa ja vihkot ovat metallisia jotka suojaavat tappamista vastaan, tutkijat sanoivat.

Itsensä suojaamiseksi tutkijat suosittelevat kuluttajia käyttämään molempien korttien mukana toimitettavia suojausholkit, jotka voivat auttaa estämään salaisen skannauksen. Matkustajat voivat myös käyttää turvallisempia täysikokoisia Yhdysvaltojen passeja.