Ko'rinmas zaiflik: RFID Smart Card texnologiyasida yaqinlashib kelayotgan xavfsizlik inqirozini o'rganish

LONDON – Ofisga kirish kalitlari va kontaktsiz toʻlov kartalaridan tortib jamoat transporti yoʻlakchalari va zamonaviy pasportlargacha, Radiochastotani identifikatsiyalash (RFID) smart-kartalari kundalik hayotimizga bemalol kirib keldi. Biroq, kiberxavfsizlik bo'yicha mutaxassislarning ko'payib borayotgan xori ushbu texnologiyaning qulayligi muhim va ko'pincha kam baholangan xavfsizlik xatarlari manzarasini yashirishi haqida ogohlantirmoqda.

Muammoning asosi RFID aloqasining simsiz tabiatida yotadi. Surish kerak bo'lgan an'anaviy magnit chiziqli kartadan farqli o'laroq, RFID kartani qisqa masofadan o'z egasining hamyonidan chiqmasdan o'qish mumkin. Bu xususiyat qulay bo'lsa-da, zararli aktyorlar uchun ko'plab hujum vektorlarini ochadi.

"Jamoatchilik fikriga ko'ra, bu kartalar xavfsiz, ammo haqiqat ancha murakkab", deb tushuntiradi Global Kiber Texnologiya Institutining o'rnatilgan tizimlar xavfsizligi bo'yicha yetakchi tadqiqotchisi doktor Alina Petrova. "Ko'pgina birinchi avlod va arzon RFID kartalarida asosiy shifrlash yo'q. Ular statik, o'zgarmas ma'lumotlarni uzatadi. Bu arzon, tayyor o'quvchiga ega bo'lgan tajovuzkor karta ma'lumotlarini cho'ntak yoki sumka orqali osongina "ko'zdan kechirishi" va jabrlanuvchining xabarisiz mukammal tarzda klonlashi mumkinligini anglatadi."

Tahdidlar oddiy skimmingdan tashqariga chiqadi. Keyinchalik murakkab hujumlarga quyidagilar kiradi:

• Tinglash: Karta va o'quvchi o'rtasidagi simsiz aloqani ushlab turish.

• Takroriy hujumlar: Ruxsatsiz kirish huquqini olish uchun kartadan qonuniy uzatishni yozib olish va uni keyinroq takrorlash.

• Ma'lumotlarni manipulyatsiya qilish: Agar karta to'g'ri himoyalanmagan bo'lsa, unda saqlangan ma'lumotlarni o'zgartirish.

• Kuzatuv: Shaxsning roziligisiz uning harakatini kuzatish uchun kartaning noyob identifikatoridan foydalanish.

Buning oqibatlari og'ir. Klonlangan kirish kartasi xavfsiz ob'ektlarga jismoniy kirishga ruxsat berishi mumkin. Yo'qotilgan to'lov kartasi moliyaviy firibgarlikka olib kelishi mumkin. Hatto mustahkam shifrlashni o'z ichiga olgan zamonaviy elektron pasportlar ham yopilganda to'g'ri himoyalanmagan bo'lsa, zaifliklarga ega ekanligi isbotlangan.

Yumshatish yo'li

Sanoat bir joyda turmaydi. AES-128 shifrlash kabi ilg'or kriptografik protokollardan foydalanadigan yuqori himoyalangan RFID kartalarini qabul qilish ortib bormoqda. Karta va o'quvchi ma'lumotlarni uzatishdan oldin bir-birining qonuniyligini tekshiradigan O'zaro autentifikatsiya va uzatiladigan ma'lumotlar har bir tranzaksiya bilan o'zgarib turadigan Dinamik ma'lumotlar almashinuvi kabi texnologiyalar yangi standartga aylanmoqda.

SecurTech Solutions kompaniyasining texnik direktori Maykl Torn: "RFIDni chinakam ta'minlash ko'p qatlamli yondashuvni talab qiladi", deydi. "Bu faqat kartaning o'zi haqida emas. Bu butun ekotizimni ta'minlash haqida - karta, o'quvchi va backend tizimi - xavfsizlikni hisobga olgan holda ishlab chiqilgan. Iste'molchilar jismoniy xavfsizlikning muhim qatlamini qo'shish uchun RFID blokirovka qiluvchi hamyon yoki yenglardan foydalangan holda faol bo'lishlari kerak.

Bizning dunyomiz tobora bog'langan bo'lsa, RFID xavfsizligi atrofidagi suhbat texnik muammodan shaxsiy va korporativ xavfsizlikning asosiy muammosiga o'tmoqda. Texnologiya shubhasiz afzalliklarni taqdim etsa-da, uning zaif tomonlarini tushunish xavfni kamaytirish va qulaylik xavfsizlik narxiga tushmasligini ta'minlash yo'lidagi birinchi va eng muhim qadamdir.