آسیب پذیری نادیده: بررسی بحران امنیتی در آینده در فناوری کارت هوشمند RFID

لندن – از کلیدهای دسترسی اداری و کارت‌های پرداخت بدون تماس گرفته تا گذرنامه‌های حمل‌ونقل عمومی و گذرنامه‌های مدرن، کارت‌های هوشمند شناسایی فرکانس رادیویی (RFID) به طور یکپارچه خود را در تار و پود زندگی روزمره ما بافته‌اند. با این حال، گروه فزاینده ای از کارشناسان امنیت سایبری زنگ خطر را به صدا در می آورند و هشدار می دهند که راحتی این فناوری چشم اندازی از خطرات امنیتی قابل توجه و اغلب دست کم گرفته شده را می پوشاند.

هسته اصلی این موضوع در ماهیت بی سیم ارتباطات RFID نهفته است. برخلاف کارت‌های نوار مغناطیسی سنتی که باید بکشید، یک کارت RFID را می‌توان از فاصله کوتاهی بدون ترک کیف پول صاحبش خواند. این ویژگی اگرچه راحت است، اما تعداد زیادی از بردارهای حمله را برای عوامل مخرب باز می کند.

دکتر آلینا پترووا، محقق پیشرو در امنیت سیستم های جاسازی شده در موسسه جهانی فناوری سایبری، توضیح می دهد: "تصور عمومی این است که این کارت ها امن هستند، اما واقعیت بسیار پیچیده تر است." بسیاری از کارت‌های RFID نسل اول و کم‌هزینه فاقد رمزگذاری اولیه هستند. آنها داده‌های ثابت و بدون تغییر را منتقل می‌کنند. این بدان معناست که مهاجم با یک خواننده ارزان قیمت و خارج از قفسه می‌تواند به راحتی داده‌های کارت را از طریق یک جیب یا کیسه «پشت» کرده و بدون اطلاع قربانی، آن را کاملاً شبیه‌سازی کند.

این تهدیدها فراتر از یک سرکشی ساده است. حملات پیچیده تر عبارتند از:

• استراق سمع: قطع ارتباط بی سیم بین کارت و خواننده.

• تکرار حملات: ضبط یک انتقال قانونی از کارت و پخش مجدد آن بعداً برای دسترسی غیرمجاز.

• دستکاری داده ها: اگر به درستی ایمن نشده باشد، داده های ذخیره شده روی کارت را تغییر دهید.

• ردیابی: استفاده از شناسه منحصر به فرد یک کارت برای ردیابی حرکت افراد بدون رضایت آنها.

پیامدها شدید است. یک کارت دسترسی شبیه سازی شده می تواند اجازه ورود فیزیکی به امکانات امن را بدهد. کارت پرداخت اسکیم می تواند منجر به کلاهبرداری مالی شود. حتی گذرنامه‌های الکترونیکی مدرن که حاوی رمزگذاری قوی هستند، در صورت بسته نشدن به درستی دارای آسیب‌پذیری هستند.

مسیر کاهش

این صنعت هنوز ایستاده نیست. پذیرش کارت های RFID با امنیت بالا، که از پروتکل های رمزنگاری پیشرفته مانند رمزگذاری AES-128 استفاده می کنند، در حال افزایش است. فن‌آوری‌هایی مانند احراز هویت متقابل، که در آن کارت و خواننده قبل از انتقال داده، مشروعیت یکدیگر را تأیید می‌کنند، و تبادل دینامیک داده، که در آن اطلاعات منتقل‌شده با هر تراکنش تغییر می‌کند، در حال تبدیل شدن به استاندارد جدید هستند.

مایکل تورن، مدیر ارشد فناوری SecurTech Solutions می گوید: «ایمن سازی واقعی RFID نیازمند رویکردی چند لایه است. "این" فقط در مورد خود کارت نیست. این در مورد اطمینان از طراحی کل اکوسیستم - کارت، خواننده و سیستم پشتیبان - با در نظر گرفتن امنیت است. مصرف‌کنندگان همچنین باید فعال باشند و از کیف پول‌ها یا آستین‌های مسدودکننده RFID برای افزودن یک لایه ضروری از امنیت فیزیکی استفاده کنند.

همانطور که دنیای ما به طور فزاینده ای به هم متصل می شود، گفتگو در مورد امنیت RFID از یک نگرانی فنی خاص به یک موضوع اصلی امنیت شخصی و شرکتی تغییر می کند. در حالی که این فناوری مزایای غیرقابل انکاری را ارائه می دهد، درک آسیب پذیری های آن اولین و حیاتی ترین گام در جهت کاهش ریسک و اطمینان از این است که راحتی به قیمت امنیت تمام نمی شود.