суббота, 6 февраля 2010 г.

Электронные паспорта как инструмент для слежки

Прочитал сегодня интересную новость в "Компьютерных вестях":

http://www.kv.by/index2010043901.htm
Электронные паспорта как инструмент для слежки

По заявлению исследователей из Университета Бирмингема, им удалось обнаружить новую уязвимость в электронных паспортах. Недостатки применяемой сейчас технологии позволяют создать устройство, которое будет сигнализировать о появлении в радиусе его действия владельца того или иного е-паспорта.
На первом этапе злоумышленникам, задумавшим подобную слежку, надо будет перехватить обмен данными между электронным паспортом жертвы и авторизованным RFID-сканером (например, при пересечении границы объектом их интереса). Конечно, обмен данными шифруется, но расшифровывать перехваченную информацию и не потребуется - достаточно только перехватить и записать сообщение, в котором сканер передает паспорту ключ конкретной сессии. Дело в том, что это сообщение (также закодированное) подписано уникальным для паспорта аутентификационным MAC-кодом - его паспорт предварительно сообщает сканеру.
Инженеры Том Чотиа и Виталий Смирнов, участвовавшие в разработке этой технологии, так объясняют ее суть: "Наше изучение настоящих паспортов показало, что существует отличие между сообщением, которое было отклонено из-за некорректного ключа сессии, и сообщением, которое было отклонено из-за ошибки при проверке аутентификационного кода. Для большинства электронных паспортов это отличие заключается во времени, после которого паспорт возвращает ошибку (потому что в одном из случаев ему приходится тратить время на расшифровку сообщения). Длительность этого интервала зависит преимущественно от того, какая страна выдала паспорт. Для французских паспортов не нужно и этого: в описанных случаях они просто возвращают два разных кода ошибок".
Знающим подобный нюанс злоумышленникам остается создать собственный псевдо-сканер, который будет периодически транслировать в эфир перехваченное сообщение. Если такой сканер разместить в какой-то точке, к примеру, возле квартиры, где живет обладатель паспорта, то с его помощью можно будет в режиме реального времени определять, когда он уходит или возвращается (если, конечно, паспорт будет у него с собой).
Как и положено, в Университете Бирмингема поставили эксперимент. Исследователи взяли у добровольцев (сотрудников лаборатории и членов их семей) их электронные паспорта - всего удалось исследовать три британских паспорта, два немецких и по одному российскому, греческому, французскому и ирландскому. Чтобы воплотить в жизнь описанную выше схему, инженерам из исследовательской группы потребовалось только доступное в продаже (и весьма дешевое) компьютерное оборудование. Уязвимыми оказались все е-паспорта без исключения.


От себя:
Подобные новости все больше демонстрируют постепенное размытие традиционного понятия и восприятия документа как только средства хранения и переноса информации.
"Электронизация" и "виртуализация" документов ведет к появлению своеобразного рода "гибридов": на стыке документальных форм и техники. Документ перестает быть только информационной единицей, несущей осмысленную информацию для человека, становясь точкой пересечения техногенной и социальной сферы.
Как видно из приведенной выше статьи, документ может выступать уже не только в виде традиционного документа, виртуальной единицы (электронный документ), но и в виде специального технического средства, реализующего ряд дополнительных функций помимо фиксирования, хранения и передачи информации.
... и еще: интересно, когда в Беларуси будут вводиться такие паспорта? :)