Lyg RFID lustai vairuotojo pažymėjimuose ir pasuose dar nepakankamai gąsdintų, Londono Karališkoji Inžinerijos Akademija teigia, kad vieną dieną teroristai galės iš toli perskaityti asmeninius duomenis ir su tinkama antena bei stiprintuvu susprogdinti bombą, kai šalia atsidurs konkretus asmuo.
Jau plačiai žinoma, kad neužšifruotus duomenis, saugomus RFID luste, montuojamame į pasą, bet kas gali slapčia nuskaityti su nuotoliniu skaitytuvu.
Kaip parodė ACLU „Black Hat“ konferencijoje anksčiau šį kovą, internete galima įsigyti tokio skaitytuvo dalių vos už 20 dolerių.
Su skaitytuvu galima peržiūrėti visą RFID lusto siunčiamą informaciją: paso numerį; vardą; adresą; socialinio draudimo numerį; kur ir kada žmogus buvo, etc.
Pasak Karališkosios Akademijos, galimybė panaudoti RFID daug pavojingesniais būdais buvo tik vienas pavyzdžių, kaip besivystanti technologija gali būti išnaudota ateityje.
Akademija kovo 26-ąją išleido Nigelo Gilberto, Akademijos Privatumo ir Stebėjimo grupės pirmininko, pranešimą, pavadintą „Privatumo ir stebėjimo dilemos: technologijos iššūkiai“.
Remiantis Gilberto pranešimu, štai keletas technologinių sukrėtimų, jau įvykusių ar tik galinčių įvykti ateityje:
Neužšifruoti duomenys gali būti padirbti
Jungtinė Karalystė pristatė biometrinius pasus 2006-ųjų kovą.
Vadinamasis e. pasas naudoja veido atpažinimą asmens susiejimui su popieriniu pasu, bei akių tinklainės ir pirštų atspaudų duomenis kaip atsarginiu variantu, ir kitos šalys taip pat išreiškė norą naudoti biometrinius duomenis.
Kadangi duomenys nuskaitomi, pavyzdžiui, pasų kontrolės postuose, norint patvirtinti paso turėtojo tapatybę, būtinas greitas ir patikimas duomenų perdavimas — tad ir buvo pasiūlyti RFID lustai.
Pase galėtų būti padirbama turėtojo biometrinė informacija kartu su padirbtais vardu, pavarde, gimimo data ir pilietybe.
Žinoma, pasą būtų galima patikrinti centrinėje duomenų bazėje, taip užtikrinant, kad paso duomenys atitinka įrašą. Bet duomenis būtina saugoti pase, kol jie bus gauti iš centrinės duomenų bazės.
„ Duomenų, saugomų e. pase, šifravimas galėtų padėti išvengti šių problemų, – rašo Gilbertas. – Bet netgi tada yra klaidos tikimybė. Pirmiausia, jei šifravimo kodai gali būti nulaužti, atsiranda du pažeidžiamumai. Antra problema su e. paso planais Jungtinėje Karalystėje yra ta, kad duomenų raktas saugomas pačiame pase — tad šifravimas išties neapsaugo nuo šniukštinėtojų.“
Vienintelis būdas saugoti RFID paso duomenis tikrai saugiai, pasak Gilberto, būtų juos užšifruoti labai sudėtingu algoritmu ir uždrausti priėjimą prie pase užšifruotų duomenų, pasinaudojant pačiame pase saugomu raktu.
„Kitu atveju pastangos turėtų būti nukreiptos kitokio dizaino e. paso kūrimui“, – rašė jis.
Numanomas dar pavojingesnis duomenų nutekėjimas.
Tai išsipildanti pedofilo svajonė: vaikų duomenys, saugomi nacionalinėje duomenų bazėje.
Jungtinėje Karalystėje planuojama paimti pirštų atspaudus ir adresus vaikų, sulaukusių 11 metų ir saugoti juos valstybinėje duomenų bazėje.
Vaikų duomenys, kaip JK biometrinio paso schemos dalis, būtų perduodami į naują šalies tapatybės duomenų bazę, kai vaikui sukaktų 16.
Tokių duomenų pavogimas ar nutekėjimas iš tokios duomenų bazės būtų „labai pavojingas“, sakoma Gilberto pranešime. „Šia informacija galėtų pasinaudoti pedofilai rinkdamiesi sau aukas“.
Gilbertas nurodo ir kitas pavojingas jau įvykusias ar galinčias įvykti duomenų nutekėjimo pasekmes: nutekinami kredito kortelių duomenys, naudojami kompromituojant viešus asmenis; darbuotojų, dirbančių tokiose visuomeniškai jautriose srityse, kaip abortų klinikos ar tyrimų centrai, kur eksperimentuojama su gyvūnais, adresai; nutekėjimas sveikatos įrašų, galinčių pakenkti įsidarbinant ar netgi keliančių smurto pavojų, tarkim, apie ŽIV statusą ar įrašą, rodantį, kad moteriai atliktas abortas (jei tai buvo nežinoma jos sutuoktiniui ar tėvams), ar duomenys (DNR ar kraujo grupė), rodantys, kad vaikas negali būti numanomo tėvo.
Pranešime detalizuojami ir kiti blogiausio atvejo scenarijai, kaip tapatybės vagystės, pasinaudojus „Semantic Web“ galimybėmis ir jame prieinama asmenine informacija, bei pirštų atspaudų atvaizdais, apgaudinėjant „pay-by-touch“ (angl. apmokėk paliesdamas) sistemas.
Technologijų netinkamo panaudojimo ateitis atrodo bauginanti, bet Gilbertas siūlo būdus, kaip apsaugoti net labiausiai gąsdinančias technologijas.
Pavyzdžiui, biometrinė apmokėjimo prisilietimu sistema, veikianti su dviem saugumo lygiais — PIN ir piršto atspaudu — būtų daug saugesnė, saugantis nuo apgavysčių, nei vieno saugumo lygio, kai pakanka pirštų atspaudo, sako jis.
Dėl pasų su RFID lustais ir galimybės, kad jie gali būti įjungti rengiant bombų sprogdinimus ar kitas, mažiau drastiškas atakas, išeitis būtų RFID lustuose įdiegti dabar Ingenia Technology vystomą technologiją, vadinamą „Laser Surface Authentication“ (lazerinis paviršiaus autentifikavimas).
LSA technologija tikrina duotojo dokumento paviršiaus savybes. Popieriniai dokumentai ir kreditinių kortelių plastikas turi unikalų mikroskopinį raštą, priklausantį nuo popieriaus plaušelių išsidėstymo ar kredito kortelių plastiko gamybos savybių.
„Šios savybės negali būti kontroliuojamos ir negali būti nukopijuotos, ir jos kiekvienu atveju yra unikalios — panašiai kaip žmogaus pirštų atspaudai.“
„Ingenia“ sukūrė būdą, kaip skenuojant dokumentus atskleisti šias paviršiaus savybes, kurias jie vadina „LSA pirštų atspaudais“. Jų sukurta sistema yra „tik skaitymui“, dokumentas yra pasyvus, jis paprasčiausiai nuskenuojamas ir įrašoma jo paviršiaus struktūra.“