Computerworld, США
Занятые обеспечением безопасности, мы иногда упускаем из вида, как используется взломщиками та или иная технология.
Обратим внимание на проверенную и достаточно надежную технологию радиочастотной идентификации по меткам (RFID). Она многократно подвергалась «пробным» атакам, и академические исследователи оповещали об уязвимостях RFID. Но не думайте, что множество преступников вскоре предпримут подобные атаки. Уж они-то понимают, что «навар» при взломе систем RFID не оправдает затраченных сил.
В апреле университет им. Эдит Коэн в Австралии специально разработал атаку, направленную на отказ в обслуживании RFID. Исследователи из амстердамского университета представили собственную версию вируса для систем RFID. Ученые попытались поставить под сомнение эффективность работы первого поколения микросхем RFID с электронным кодом продуктов (EPC) — предмета гордости органа отраслевой стандартизации EPC Global. Однако киберпреступники проявили к ним ничтожный интерес. Посетители хакерских Web-сайтов и форумов не хвастают атаками на товарные склады. Дело в том, что, заставив кладовщиков перепутать корм для собак с подгузниками, направив контейнеры с игрушками или потребительской электроникой по ложным адресам, вы станете изгоями мира киберпреступников.
Торговля крадеными вещами традиционно считается уделом гангстеров, имеющих отлаженные каналы сбыта. Среда Internet для этого не особо привлекательна. Хакеры «в законе» пытаются сбывать краденое через взломанные или поддельные счета eBay, другие онлайновые каналы торговли или через сети ничего не подозревающих пользователей, обманутых слишком выгодными предложениями. Распространять краденые вещи в Internet рискованно и слишком дорого. Для того чтобы остаться незамеченным, придется разбить партию товара на небольшие части. Другими словами, преступникам выгоднее красть данные (которые легко преобразовать в наличные) а не учетные записи EPC RFID. Люди, разрабатывающие стандарты EPC, знают о риске для цепочек поставок куда больше, чем «кабинетные» ученые.
Коды EPC поддерживаются компаниями, ежегодно теряющими в процессе глобальных поставок миллиарды долларов. Они провели тщательный анализ рисков и установили, что эффект атаки на микросхемы EPC цепочки поставок относительно мал. Определено, что вероятность волны взломов также крайне невелика. А с появлением второго поколения микросхем EPC риск и вовсе становится мизерным. Такие микросхемы оснащены усиленными средствами аутентификации и шифрования, что дает властям множество инструментов для корреляции с внутренними базами данных и предотвращения атак.
Тем не менее банковская отрасль, сторонясь аббревиатуры RFID, разработала свои стандарты «контактных» и «бесконтактных» карт. Самый распространенный тип контактных карт — с магнитной полосой. Во многих случаях их заменяют новыми бесконтактными картами, дистанцию считывания которых банковский стандарт ограничивает 10 см. Системы безопасности бесконтактных карт легко конфигурируются, поддерживают симметричные и асимметричные ключи шифрования. Несмотря на изощренность «проверочных» криптоаналитических атак (которые трудно воспроизвести на практике), не спешите покупать экранированные бумажники для защиты бесконтактных карт. История хакерских преступлений показывает, что одна атака на сервер может принести злоумышленникам больше, чем миллион взломов системы RFID.