Журнал «Компьютерра» N 42 от 14 ноября 2006 года
Шрифт:
Уроки RFIDиотизма
Автор: Киви Берд
Британский исследователь Эдам Лори (Adam Laurie) опубликовал в Сети последнюю версию своей разработки - инструментального комплекса программ для исследования RFID, чипов радиочастотной идентификации. Библиотека программ с открытыми исходными кодами написана на языке Python и в первую очередь нацелена на исследование RFID-чипов в паспортах нового образца, реализующих стандарт ICAO 9303 для «машиночитаемых дорожных документов». Инструментальный комплекс носит подобающее название RFIDIOt (от Input/Output Tools) и выложен для всеобщего
Среди прочего в библиотеке имеется программа, которая обменивается криптоключами с теми видами RFID-паспортов, где информация хранится не в открытом, а в зашифрованном виде. И если ключ верный, то программа выводит на дисплей компьютера расшифрованную информацию - фотографию и занесенные в чип персональные данные владельца паспорта.
Согласно стандарту ICAO (Международной организации гражданской авиации, с подачи США курирующей переход всего мира на RFID-документы единого образца), каждая страна может сама выбирать, как хранить данные в чипе паспорта - зашифрованными или в открытом виде. Если информация шифруется (с целью защиты от скрытного считывания без ведома владельца), то для этого используется «секретный ключ», формируемый из данных, напечатанных на страницах паспорта и оптически считываемых на постах проверки.
Проблема в том, что на самом деле эти данные отнюдь не являются секретом и могут быть добыты злоумышленниками без физического доступа к страницам паспорта. Для формирования криптоключа требуется следующая информация: номер паспорта, дата рождения владельца, дата истечения срока действия документа. Все эти данные являются неслучайными и уязвимыми для целенаправленного перебора (в «КТ» #626 рассказывалось, как голландские специалисты из фирмы Riscure вскрывали перебором зашифрованное содержимое паспорта за два часа). Кроме того, тот же Эдам Лори ранее демонстрировал, что «ключевая» информация о пассажирах в массовых количествах накапливается авиатранспортными предприятиями, хранится на сайтах без должной защиты и без особого труда может быть получена всеми интересующимися.
Короче говоря, чрезвычайно дорогостоящая кампания по вводу новых технологий защиты для паспортов оказывается вопиюще неэффективной и даже вредной с точки зрения владельца документа. Причем об этом, естественно, знают и те, кто затеял весь этот проект в госадминистрации США, однако приоритеты данных структур существенно отличаются от частных интересов граждан, будь они американские и тем более иностранные. Предельно выпукло этот факт продемонстрировала судьба интересного документа под названием «Использование RFID для идентификации личности», исследовательского отчета ["The Use of RFID for Hu-man Identification", A Draft Report from DHS Emerging Applications and Technology Subcommittee], подготовленного специалистами внешнего Консультативного совета при DHS, Департаменте государственной безопасности США.
Подготовка этого сравнительно небольшого - на полтора десятка страниц - документа была завершена довольно давно, однако он так и не дошел до стадии обсуждения/принятия даже внутри Консультативного совета. Более того, авторы отчета подозревают, что ему уготована участь «вечного черновика», поскольку выводы исследования сильно расходятся с генеральной линией госадминистрации, явно или неявно поощряющей внедрение RFID в самых разных средствах идентификации людей - от паспортов до кредитных карт и чипов подкожной имплантации.
В выводах же отчета для DHS резюмируется следующее: «Технология RFID может давать небольшие преимущества в терминах ускорения процессов идентификации, но она не способна противостоять подделкам и злоупотреблениям больше, чем любая другая цифровая технология. В то же время использование RFID предрасполагает применение систем идентификации в целях надзора и слежки. Наконец, RFID порождает такие уязвимости в безопасности, которые не свойственны другим процессам идентификации, не опирающимся на радиочастотную передачу данных. Департаменту государственной безопасности следует тщательно продумать, надо ли использовать RFID, если существует множество технологий, служащих тем же самым целям, но с меньшими рисками для приватности и сопутствующих аспектов безопасности».
Понятно, что в условиях, когда внедрение RFID в документы уже давным-давно запущено по полной программе, принося всем участникам процесса фантастические прибыли, подобные выводы специалистов представляются… оторванными от жизни, мягко говоря. А кроме того, может статься, что RFID-кампания и затевалась-то именно с умыслом о тех самых сценариях «надзора и слежки», на явную угрозу которых указывается в выводах отчета. Но только кто к этим предупреждениям прислушивается?
Ибо события идут своим запланированным чередом. И что бы ни говорили специалисты, озабоченные ущербом для безопасности и приватности граждан, RFID-паспорта уже стали реальностью во множестве стран. В частности, как объявил Департамент госбезопасности США, фактически все 27 стран из списка государств с безвизовым въездом в Америку перешли на новые электронные паспорта. Исключение составили лишь Андорра, Бруней и Лихтенштейн, но они погоды не делают. На аналогичные паспорта в ближайшее время переходят и американцы, и россияне, и граждане прочих стран мира. Так что всем добро пожаловать в дивный новый мир.
РЕПОРТАЖ: Увидеть Билла: Каждое утро он сосредоточенно думает о Google
Автор: Леонид Левкович-Маслюк
89-ю годовщину Октябрьской революции председатель правления корпорации Microsoft (Chairman, Microsoft Corporation) Билл Гейтс отметил деловой поездкой в Москву. Седьмого ноября он участвовал в целой серии мероприятий. На семинар «Технологии и инновации», который Гейтс провел в зале «Санкт-Петербург» гостиницы «Националь», были приглашены молодые научники и технари и пара «технически ориентированных» журналистов.
Разумеется, для любого инфотехнолога очень важно узнать о политике Microsoft из первых рук. Но для меня, как, видимо, и для многих, не менее любопытным было просто увидеть и послушать человека, который отождествляется с целой эпохой в истории компьютинга, а иногда и в истории вообще: недавно я наткнулся в Сети на список вопросов, по которым американским школьникам рекомендуют готовиться к сочинению о детстве и юности Гейтса - примерно так готовились пионеры к сочинению о Ленине….
Аудитория семинара насчитывала 30-35 человек, по виду большей частью студентов-вундеркиндов (из нескольких явных нестудентов мне удалось с ходу опознать лишь директора Института программных систем РАН Сергея Абрамова, бизнесмена-софтовика Феликса Мучника, а также скромно устроившегося на «задней парте» телекомментатора Владимира Познера). Для начала Андрей Фурсенко произнес краткую речь о том, что образование все больше отстает от требований времени - тогда как добиться успеха можно, лишь поняв эти требования (а Microsoft в этом смысле образец). Кроме того, образование не должно быть нацелено только на производство инноваторов, ибо армия не может состоять из одних генералов (тут знаменитая печально-виноватая улыбка Гейтса стала почти ослепительной); надо помнить о подготовке людей, способных понимать и использовать достижения прогресса.