В прошлую пятницу многие федеральные агенты, присутствовавшие на хакерской
конференции DefCon, испытали чувство страха после того как им сообщили, что они,
возможно, попались на глаза RFID-сканеру.
Этот сканер, присоединенный к веб-камере, стоял на одном из столов на самом
виду и считывал данные с ID-карт с чипами радиочастотной идентификации,
фотографируя при этом их владельцев. Сканер был частью проекта, призванного
продемонстрировать необходимость внимательного отношения к безопасности
информации, хранящейся на подобного рода чипах.
После того, как федералам рассказали о проведенной акции, у некоторых из них,
по словам одного из организаторов, от удивления просто отвисли челюсти.
Представители спецслужб посещают DefCon ежегодно, чтобы получить информацию о
самых последних уязвимостях и хакерах, эксплуатирующих их. Некоторые из них
приходят на конференцию открыто, однако многие действуют под прикрытием.
Несмотря на то, что RFID-чипы корпоративных и правительственных
идентификационных карт обычно не содержат имени владельца и названия его
организации, там все же содержится уникальный номер объекта, к которому приписан
человек и номер самого сотрудника, привязанный к внутренней базе данных. Поэтому
для исследователя не является невозможным догадаться о местонахождении объекта
по его номеру, а также сличить полученную в ходе проверки фотографию с уже
имеющимся. Кроме того, в кармане посетителей могут быть и другие подобные
идентификационные карты – например, некоторые еще могли не успеть выложить из
карманов RFID-карты с прошедшей ранее конференции Black Hat.
Впрочем, потенциальному злоумышленнику, если бы он задумал просканировать
такие карты в своих целях, вовсе не требуется знать имен их владельцев, чтобы
нанести ущерб. Он может просто клонировать карту и выдать себя за ее держателя,
получив доступ в офис какой-нибудь компании или правительственной организации,
даже не зная имени сотрудника. А поскольку номера сотрудникам выдаются
последовательно, у преступника есть возможность в произвольном порядке поменять
несколько цифр номера и получить доступ более высокого уровня.
Помимо этого, в некоторых случаях такие карты открывают не только двери – они
также используются для доступа к компьютерам. А в случае, если чип
радиочастотной идентификации имеет банковская карта, то злоумышленник сможет
клонировать с нее все данные, включая номер счета, дату истечения срока
действия, код безопасности CVV2 и даже в некоторых случаях имя держателя.
Осталось неизвестным, попался ли в ходе эксперимента в сети сканера
какой-нибудь федерал – исследователи не проводили тщательный анализ данных, а
записанную информацию впоследствии стерли.
