Көрінбейтін осалдық: RFID Smart Card технологиясында келе жатқан қауіпсіздік дағдарысын зерттеу

ЛОНДОН – Кеңсеге кіру кілттері мен контактісіз төлем карталарынан қоғамдық көлік билеттері мен заманауи төлқұжаттарға дейін, радиожиілік сәйкестендіру (RFID) смарт-карталары күнделікті өміріміздің матасына біркелкі еніп кетті. Дегенмен, киберқауіпсіздік сарапшыларының өсіп келе жатқан хоры бұл технологияның ыңғайлылығы маңызды және жиі бағаланбаған қауіпсіздік тәуекелдерінің көрінісін бүркемелейтінін ескертіп, дабыл қағуда.

Мәселенің өзегі RFID байланысының сымсыз сипатында жатыр. Сырғыту қажет дәстүрлі магниттік жолақ картасынан айырмашылығы, RFID картасын иесінің әмиянынан шықпай-ақ қысқа қашықтықтан оқуға болады. Бұл мүмкіндік ыңғайлы болғанымен, зиянды әрекет етушілер үшін көптеген шабуыл векторларын ашады.

«Қоғамның пікірінше, бұл карталар қауіпсіз, бірақ шындық әлдеқайда күрделі», - деп түсіндіреді Жаһандық кибертехнологиялар институтының ендірілген жүйелер қауіпсіздігінің жетекші зерттеушісі, доктор Алина Петрова. "Көптеген бірінші буынды және арзан RFID карталарында негізгі шифрлау жоқ. Олар статикалық, өзгермейтін деректерді жібереді. Бұл арзан, дайын оқу құралы бар шабуылдаушы карта деректерін қалта немесе сөмке арқылы оңай "сығып" алып, жәбірленушінің хабарынсыз оны тамаша клондай алатынын білдіреді."

Қауіптер қарапайым қарап шығудан асып түседі. Неғұрлым күрделі шабуылдарға мыналар жатады:

• Тыңдау: Карта мен оқу құралы арасындағы сымсыз байланысты тоқтату.

• Қайталау шабуылдары: Рұқсат етілмеген қатынасты алу үшін картадан заңды жіберуді басып, кейінірек қайта ойнату.

• Деректерді манипуляциялау: Картада сақталған деректерді өзгерту, егер ол дұрыс қорғалмаған болса.

• Бақылау: Жеке тұлғаның келісімінсіз оның қозғалысын қадағалау үшін картаның бірегей идентификаторын пайдалану.

Салдары ауыр. Клондалған кіру картасы қауіпсіз нысандарға физикалық кіруге рұқсат бере алады. Сақталған төлем картасы қаржылық алаяқтыққа әкелуі мүмкін. Тіпті сенімді шифрлауы бар заманауи электрондық төлқұжаттардың жабылған кезде дұрыс қорғалмаған жағдайда осалдықтары бар екені көрсетілген.

Жеңілдетуге апаратын жол

Өнеркәсіп бір орында тұрған жоқ. AES-128 шифрлау сияқты жетілдірілген криптографиялық протоколдарды пайдаланатын жоғары қауіпсіздікті RFID карталарын қабылдау өсуде. Карточка мен оқырман деректерді тасымалдау алдында бір-бірінің заңдылығын тексеретін Өзара аутентификация және жіберілетін ақпарат әрбір транзакциямен өзгеретін динамикалық деректер алмасу сияқты технологиялар жаңа стандартқа айналуда.

SecurTech Solutions компаниясының техникалық директоры Майкл Торн: «RFID-ті шынымен қорғау көп деңгейлі тәсілді қажет етеді», - дейді. «Бұл тек картаның өзіне ғана қатысты емес. Бұл бүкіл экожүйені — картаны, оқу құралын және серверлік жүйені — қауіпсіздікті ескере отырып жасалғанын қамтамасыз ету туралы. Тұтынушылар физикалық қауіпсіздіктің маңызды қабатын қосу үшін RFID блоктайтын әмияндарды немесе жеңдерді пайдалана отырып, белсенді болуы керек.

Біздің әлем барған сайын байланысқан сайын, RFID қауіпсіздігі туралы әңгіме техникалық алаңдаушылықтан жеке және корпоративтік қауіпсіздіктің негізгі мәселесіне ауысады. Технология даусыз артықшылықтарды ұсынса да, оның осал тұстарын түсіну тәуекелді азайту және ыңғайлылықтың қауіпсіздік құнына келмейтінін қамтамасыз ету жолындағы алғашқы және ең маңызды қадам болып табылады.