Krádež bezdrátové identity - Wireless identity theft

Krádež bezdrátové identity , známá také jako bezkontaktní krádež identity nebo krádež identity RFID , je forma krádeže identity , která je popisována jako „akt kompromitace osobních identifikačních informací jednotlivce pomocí bezdrátové ( radiofrekvenční ) mechaniky“. O krádeži bezdrátové identity bylo napsáno mnoho článků a televizní vysílání přinesla několik vyšetřování tohoto jevu. Podle Marca Rotenberga z Electronic Information Information Center je krádež bezdrátové identity vážným problémem, protože design bezkontaktní (bezdrátové) karty je ve své podstatě vadný, což zvyšuje náchylnost k útokům.

Přehled

Krádež bezdrátové identity je relativně nová technika pro shromažďování osobních informací jednotlivců z karet podporujících RF, které jsou u osoby přenášeny v jejich přístupových kontrolách , kreditních, debetních nebo státem vydaných identifikačních kartách. Každá z těchto karet nese vysokofrekvenční identifikační čip, který reaguje na určité rádiové frekvence. Když se tyto „tagy“ dostanou do kontaktu s rádiovými vlnami, reagují mírně pozměněným signálem. Odpověď může obsahovat kódované osobní identifikační údaje, včetně jména držitele karty, adresy, čísla sociálního zabezpečení, telefonního čísla a příslušných údajů o účtu nebo zaměstnanci.

Po zachycení (nebo „sklizni“) těchto dat je pak možné naprogramovat další karty, aby reagovaly stejným způsobem („klonování“). Mnoho webových stránek se věnuje výuce lidí, jak to udělat, a také dodává potřebné vybavení a software.

Komplex finančního průmyslu přechází z používání magnetických proužků na debetních a kreditních kartách, které technicky vyžadují přejetí čtečkou magnetických karet. Počet transakcí za minutu lze zvýšit a více transakcí lze zpracovat v kratším čase, takže v pokladně jsou pravděpodobně kratší řádky.

Kontroverze

Akademičtí výzkumníci a hackeři „White-Hat“ analyzovali a dokumentovali skryté krádeže informací o kreditní kartě RFID a setkali se s odmítnutím i kritikou ze strany agentur vydávajících karty RFID. Nicméně po zveřejnění informací, které by mohly být odcizeny nízkonákladovými detektory, které byly použity ke skenování karet v poštovních obálkách (a v jiných studiích také prostřednictvím datových útoků typu drive-by), došlo k návrhu bezpečnostních prvků na různých karty byly upgradovány, aby byla odstraněna jména vlastníků karet a další data. Kromě toho byla řada zcela nešifrovaných návrhů karet převedena na šifrované datové systémy.

Zpráva RSA

Problémy nastolené ve zprávě z roku 2006 byly důležité kvůli desítkám milionů karet, které již byly vydány. Údaje o kreditních a debetních kartách by mohly být odcizeny pomocí speciálních levných rádiových skenerů, aniž by došlo k fyzickému dotyku s kartami nebo jejich vyjmutí z kapsy, kabelky nebo přenosné tašky jejich majitele. Mezi závěry výzkumné studie z roku 2006 „Zranitelnosti kreditních karet s podporou RFID první generace“ a ve zprávách dalších hackerů typu white-hat:

  • některé naskenované kreditní karty odhalily jména jejich majitelů, čísla karet a data vypršení platnosti;
  • že krátká maximální skenovací vzdálenost karet a štítků (obvykle měřená v palcích nebo centimetrech) by mohla být technologickými úpravami prodloužena na několik stop;
  • že i bez technologií pro rozšíření dosahu by Black Hatters procházející přeplněnými místy nebo doručující letáky mohli snadno zachytit data karet od jiných jednotlivců a z obálek pošty;
  • že bezpečnostní experti, kteří přezkoumali závěry studie, byli zaskočeni narušením soukromí studie (provedené v roce 2006);
  • že další elektronické systémy, jako je Exxon Mobil je SpeedPass platební klíčenka zařízení, které se používají slabé šifrovací metody, které by mohly být ohrožena půl hodiny nebo tak výpočetní čas;
  • že odcizená ukradená data některých karet rychle poskytla skutečná čísla kreditních karet a nepoužívala datové tokeny;
  • že data nezákonně získaná z některých karet byla úspěšně použita k oklamání běžné čtečky komerčních karet (používané studijní skupinou) k přijímání nákupních transakcí z internetového obchodu, který nevyžadoval zadání ověřovacích kódů karet;
  • že ačkoliv byly a stále jsou vyvíjeny bezpečnostní systémy vyšší úrovně, které jsou k dispozici pro kreditní karty RFID, o tom, jaké zabezpečení chtějí pro své držitele karet nasadit, rozhodují pouze skutečné banky;
  • že každá z 20 karet testovaných ve studii byla poražena alespoň jedním z útoků, které výzkumníci nasadili;
  • další související bezpečnostní hrozba se týkala jiného produktu: nové vládou vydané ePasy ( pasy, které nyní obsahují štítky RFID podobné kreditním a debetním kartám). Štítky RFID v ePassports jsou také předmětem krádeží dat a klonovacích útoků. Vláda Spojených států vydává ePasy od roku 2006.

V souvisejícím problému skupiny na ochranu osobních údajů a jednotlivci také vznesli obavy ohledně „ Velkého bratra “, kdy jednotlivcům hrozí ohrožení jejich souhrnnými informacemi a dokonce i sledováním jejich pohybu agenturami vydávajícími karty, jinými subjekty třetích stran a dokonce i vládami . Průmysloví pozorovatelé uvedli, že „ ... RFID má určitě potenciál být neinvazivnější spotřebitelskou technologií vůbec. '

Agentury vydávající kreditní karty vydaly prohlášení o odmítnutí týkající se krádeže bezdrátové identity nebo podvodu a poskytly marketingové informace, které přímo kritizovaly nebo naznačovaly, že:

  • kromě samotných údajů o kartě jsou v jejich platebních systémech zavedena další opatření na ochranu údajů a opatření proti podvodům, která chrání spotřebitele;
  • akademická studie provedená v roce 2006 použila vzorek pouze 20 karet RFID a nebyla přesně reprezentativní pro obecný trh RFID, který obecně používal vyšší zabezpečení než testované karty;
  • nešifrované prosté textové informace na kartách byly „... v podstatě zbytečné“ (samy o sobě), protože finanční transakce byly vázány na používané ověřovací systémy s výkonnými šifrovacími technologiemi;
  • i kdyby se spotřebitelé stali oběťmi podvodu s RFID kreditní kartou nebo krádeže identity, nenesli by za takový podvod s kreditní kartou finanční odpovědnost (marketingová strategie, která ignoruje další vážné důsledky pro držitele karty poté, co byli spojeni s podvodnými transakcemi nebo měli ukradená identita );

Po zveřejnění výsledků studie, všechny společnosti kreditních karet kontaktovaných během New York Times " vyšetřovací zprávy řekl, že oni byli odstranění jména držitele karty z přenášených dat se svými novými RFID karty druhé generace.

Kompromitované identifikační dokumenty USA

Některé oficiální identifikační dokumenty vydané vládou USA, americkými pasy , pasovými kartami a také rozšířenými řidičskými průkazy vydanými státy New York a Washington obsahují čipy RFID za účelem pomoci těm, kteří hlídají americké hranice. S jejich používáním byly identifikovány různé bezpečnostní problémy, včetně schopnosti černých klobouků sbírat na dálku svá identifikační čísla a aplikovat je na prázdné padělané dokumenty a karty, čímž se předpokládají identifikátory těchto lidí.

Byly identifikovány různé problémy a potenciální problémy s jejich používáním, včetně obav o soukromí. Přestože identifikační číslo RFID spojené s každým dokumentem nemá obsahovat osobní identifikační údaje, „... čísla se vyvíjejí v průběhu času a používání se vyvíjí v průběhu času, a nakonec tyto věci mohou odhalit více informací, než jsme původně očekávali“, uvedl Tadayoshi Kohno, odborný asistent informatiky na Washingtonské univerzitě, který se podílel na studii těchto vládou vydaných dokumentů.

Viz také

Reference

Další čtení