Judit
-2 °C
8 °C

Vírus a csipszes zacskóban

2006.03.17. 10:15
Az RFID lassan kiszorítja a buta vonalkódot, de a váltásnak az az ára, hogy sebezhetővé válnak az elektronikus azonosító címkékre alapozott rendszerek. Holland kutatók 127 karakterből álló vírussal demonstrálták a fenyegető biztonsági rést.

Mindössze 127 karakterből álló vírussal fertőzött meg három holland egyetemi kutató olyan RFID-csipeket, amelyeket többek között áruházak használnak a termékek azonosítására és nyomon követésére. Az amszterdami Vrije Universiteit (szabad egyetem) komputerbiztonsággal foglalkozó munkatársai figyelmeztetésnek szánták a kísérletet; a passzív - csak olvasható - rádiófrekvenciás azonosítókról ugyanis eddig sokan azt gondolták, hogy mivel hétköznapi módszerekkel nem lehet adatot írni rájuk, nem tudnak vírussal fertőződni vagy vírust továbbítani sem.

#alt#
RFID-címke egy áruházi pólón
"Az RFID-technológiával foglalkozók mindeddig kimondatlanul feltételezték, hogy egy RFID-címke beolvasása nem módosíthatja a háttérben futó szoftvert, főleg nem kártékony módon. Sajnos tévednek" - írta a három kutató, Andrew Tanenbaum, Melanie Rieback és Bruno Crispo egy a kísérletet bemutató tanulmányban. A kísérlet azt bizonyítja, hogy a limitált tárkapacitású azonosítókra írt rosszindulatú programok is képesek kárt okozni a hozzájuk kapcsolt adatbázisban, és akár teljesen tönkre is tehetik azt.

Százötven millió autó negyedóra alatt

A tanulmány legfontosabb következtetése, hogy az RFID-technikával foglalkozó cégek nem fordítanak elég figyelmet az adatbiztonságra. Ezt bizonyítja Ari Rubin, az amerikai John Hopkins Egyetem információbiztonsági intézetének professzora is. Rubinnak tavaly sikerült kereskedelmi forgalomban kapható áramkörök segítségével olyan eszközt barkácsolnia, amellyel 15 percen belül feltört egy autónyitó rendszert. Az RFID-technikát, amely az Egyesült Államokban százötven millió autót nyit és hatmillió kulcstartóba építve segíti a benzinkútnál való fizetést, Rubin tizenhat különböző, egyenként 200 dollárnál kevesebbe kerülő csip egybeépítésével törte fel.

Tény, hogy a mostani azonosítóknál több adatot tárolni képes, és távolról is leolvasható RFID- címkék lassan felváltják a vonalkódot - ennek egyelőre az az akadálya, hogy a technika még drágább a réginél. A rádiófrekvenciás azonosítók elterjedését azonban nemcsak technikai és gazdasági, hanem jogi megfontolások is akadályozzák. A személyiségi jogok és az adatvédelem miatt aggódó civil szervezetek, így az amerikai EFF és az ACLU folyamatosan hangoztatják, hogy az RFID-csipek révén egyszerűbbé válik a személyes adatok tárolása, és főleg a különböző adatbázisok összekapcsolása, amit a legtöbb demokratikus országban törvény tilt.

Az EU-nak sem tetszik

Mi az az RFID?
Az úgynevezett RFID tagek kisméretű címkék, amelyek chipen tárolják az információt, az antennával felszerelt RFID-vevők pedig az elektromágnesesség elvén képesek olvasni a címkéken található adatokat. Léteznek passszív és aktív RFID-címkék is: az előbbiek kisebb hatótávolságúak, viszont nem igényelnek külön áramforrást. A rádiófrekvenciás címkéket ma is széles körben használják például könyvtári könyvek, a repülőtéren feladott csomagok nyomon követésére vagy éppen lopásgátlásra.
A termékekbe épített RFID-címkékkel az a legnagyobb baj, hogy azok a vásárlás után is könnyen leolvashatók, így elképzelhető, hogy valaki távolról leltárt készít a bevásárlószatyor vagy a spájz tartalmáról. Az elektronikus címkék azonban nemcsak termékek, hanem állatok, sőt emberek nyomon követésére is használhatók. Az Egyesült Államok külügyminisztériuma már tavaly januárban bejelentette, hogy kísérleti jelleggel felcímkéz bizonyos az Egyesült Államokba látogató turistákat, és folyamatosan igyekszik elérni, hogy a külföldiek útlevele tartalmazzon olyan RFID-csipet, amelyen az alapadatok mellet biometrikus azonosítók - például ujjlenyomat, DNS-minta vagy digitális fénykép - szerepelnek.

A hasonló amerikai próbálkozásokat a civil szervezetek mellett az alapjogokra hivatkozva maga az Európai Unió is fúrja. Peter Hustinx, az EU adatvédelmi felügyelője épp egy a héten kiadott közleményében fejtette ki, hogy a biometrikus azonosítók túlságosan megbízhatatlanok, és megkönnyítik a különböző adatbázisok indokolatlan összekapcsolását.