Pár kattintás és az emberből állat lesz

Egy rádiófrekvenciás azonosítással, azaz RFID-vel foglalkozó biztonsági szakértő, Adam Laurie a hét közepén demonstrálta fejlesztését a Black Hat DC 2008 konferencián. Ennek során bemutatta Python programozási nyelvben írt scriptjét, mellyel képes volt a smartcardoknak nevezett személyes azonosítók adatait úgy eltulajdonítani, hogy ahhoz nem is volt szüksége a kártya fizikai megkaparintására. Előadásán a szakértő hallgatóságának egy önkéntes tagját kérte fel, hogy demonstrálja, milyen veszélyekkel jár az RFID ész nélküli alkalmazása. Az önkéntes ki sem vette okoskártyáját a tárcájából, Laurie a rádiófrekvenciás jelek révén mégis képes volt számos adatot megszerezni. Kiderült, hogyan hívják az illetőt, mi a számlaszáma, és a kártya lejárati dátuma is láthatóvá vált.

Habár ma még csak elvétve lehet találkozni RFID taggel rendelkező elektronikus eszközzel, a hackerkonferencián tartott bemutató rávilágított arra, hogy a jövőben milyen gondokat okozhat a technika szélesebb körben való alkalmazása. Hiszen a tolvajnak hozzá sem kell érnie áldozatához, elég csak a közelébe férkőznie. Ez pedig komoly problémát jelenthet annak a 45 országnak, melyek az elmúlt egy-két évben olyan útlevelet vezettek be, aminek része a rádiófrekvenciás azonosítóchip.

Az igazsághoz azért hozzátartozik, hogy a Laurie által megszerzett adatok nem egyeztek a kártyára nyomtatottakkal; ez derült ki az American Express-szel való konzultálás után. Laurie ezt elismerte, viszont kitartott azon állítása mellett, hogy az elfogott adatokkal továbbra is online tranzakciókat lehet kezdeményezni, vagyis a visszaélés veszélye valós.

Rádiójelek a bőr alól
Mi előnye van az RFID-nek? A hitelkártya bizniszben érdekelt vállalatok szerint az ezzel a technológiával ellátott kártyák időt takarítanak meg a felhasználók számára, mivel nem kell az információhordozó plasztik lapocska előkeresésével és elrakásával bajlódni – a szükséges adatok a rádióhullámok révén jutnak el a leolvasókba. Extrém példa erre az a spanyol nyilvános strand, ahol a látogatók igény szerint RFID taget injekcióztathatnak bőrük alá. A fájdalommentes eljárás révén anélkül vásárolhatnak a strandon áruló kereskedőktől (üdítőt, fagylaltot, gumilabdát stb.), hogy ahhoz magukkal kellene vinniük tárcájukat; amiket a tolvajok könnyen eltulajdoníthatnak, amíg gazdáik a tengerben fürdőznek.

Laurie egyébként maga is rendelkezik bőrbe ültetett RFID azonosítóval. Ezzel demonstrálta, hogy mennyire egyszerű nem csupán leolvasni a benne tárolt adatokat, de annak megváltoztatása sem különösebben bonyolult művelet a hozzáértők számára. Előadása során bemutatta, miként lehet az állatok megjelölésére használatos kódszekvenciával felülírni saját azonosítóját – a szakértő pár kattintást követően a rendszer számára állattá változott.

Laurie saját, RFIDiot névre keresztelt website-ján ingyenesen elérhetővé tette Python scriptjet, illetve RFID tagek és kártyák olvasásához/írásához szükséges eszközöket is árul.