Az RFID-chipek révén vírussal lehet fertőzött akár egy szelet csokoládé is
A mindennapokban egyelőre gyakorlatilag egyáltalán nem látható, ugyanakkor a vonalkódot leváltó rádiós azonosító (RFID, radio frequency identification) lapkák napjainkban már gyökeresen átalakítják a nagyobb vállalatok háttértevékenységét -- elsősorban a gyártás és a logisztika terén --, és már egyes hazai hiperláncok polcain is feltűntek ilyen chipeket tartalmazó áruk. Most újabb mérföldkőhöz érkeztünk: bizonyítottan lehetséges RFID-chipek révén rendszereket fertőzni, akár egy boltból is.
Veszélytelen?
Az RFID-chipek olyan miniatűr áramkörök, amelyek a vonalkódhoz hasonlóan azonosítják a terméket. Mivel azonban a chipek nagyságrendekkel több adatot képesek tárolni, ezért akár egy-egy termék egyedileg is azonosítható, minden jellemzőével együtt, vagy hogy melyik polcról vette le a vevő. Itt azonban nem áll meg lehetőségek tárháza: rádiós chippel ellátott bankkártyák, jegyek, lakás- és autókulcsok, személyi igazolvány, útlevél, háziállatok -- és gyerekek, ahogyan már erre is van példa Japánból.
Az RFID-vel kapcsolatban több szabadság- és emberjogi érdekvédő szervezet kifejezte már aggályait, mivel ezek segítségével az adatgyűjtő technológiák vészesen rátelepülhetnek az emberek mindennapi életére. De a bűnözők is érdeklődnek -- egy olyan világ van születőben, ahol milliónyi ponton juttatható majd vírus a számítógépes rendszerekbe, a vírusokat pedig maguk az emberek, az általuk vásárolt áruk hordozhatják magukkal.
A lapkák az olvasó által kibocsátott rádióhullámok energiáját felhasználva válaszolnak, azaz küldik vissza a bennük tárolt adatokat. A raktárakban nagy RFID-kapuk révén százával, ezrével regisztrálhatóak egyszerre az adatbázisban a termékek anélkül, hogy emberi beavatkozásra, egyenkénti lézeres leolvasásra lenne szükség. Az eljárás passzív, egyszerű kiolvasásról van szó, nem rejt semmilyen kockázatot -- gondolhatnánk elsőre, illetve próbálják a technológiai beszállítók és az alkalmazó vállalatok ezt velünk elhitetni.
Digitális vírus a csokoládén
Az amszterdami Vrije Egyetemen azonban ennek ellenkezőjének bizonyításául nemrég olyan törpe, mindössze 127 bájt hosszú vírust hoztak létre, amely egy RFID-chipről a kiolvasón keresztül hatol be. Amellett, hogy képes a fertőzött rendszer révén további írható RFID-chipekre átmásolni magát, az internet felé is rejtett hozzáférést nyit a folyamatokat felügyelő kliens számítógépen, amely viszont jogosultságokkal rendelkezhet az adatbázis felé.
Innentől kezdve pedig a bűnözőké a pálya: tetszés szerint kiolvashatják, károsíthatják, vagy módosíthatják az adatbázis tartalmát, további fertőzést indíthatnak, amely akár földrészeken átívelhet az áruk, emberek világméretű mozgása révén -- kísértetiesen hasonlóan a biológiai fertőzések terjedéséhez.
A világ első vírusos RFID lapkája
| Köztesszoftver |
| A köztesszoftver, vagyis middleware, kettő vagy több elkülönülő szoftverrendszert között képez kommunikációs felület. Jelen esetben az RFID szenzorokból érkező adatokat értelmezi, majd az adatbáziskezelővel kapcsolatot felépítve betáplálja azokat. A köztesszoftverek segítségével modulárisak, azaz rugalmasan kezelhetőek maradnak az egyre kiterjedtebb informatikai rendszerek. |
A készítők szerint az RFID-támadások a köztesszoftver gyengeségeit (verem túlcsordulás, szkriptnyelvek), valamint az adatbázisokba történő rosszindulatú "kódfecskendezés" lehetőségét használhatják ki. Az RFID-rendszereket alkalmazó jövőben a fertőzéses kitöréseket rendkívül nehéz lesz megfékezni, mivel a rosszindulatú kód az elszigetelt chipeken utazik, így a megelőzés, a megfelelő biztonsági intézkedések meglépése kritikus jelentőségű.
A vírust publikáló egyetemi dokumentum által tett javaslatok egybecsengenek az alapvető számítógépes biztonságtechnikai alapelvekkel: egy-egy szoftvernek, felhasználónak csak olyan képességei és jogosultságai legyenek engedélyezve, amelyek feltétlenül szükségesek feladata ellátásához; a szükségtelen szolgáltatások, különös tekintettel a parancssorokra, szkript nyelvek futtatásának képessége legyenek eltávolítva a rendszerből; az adatbázis a rekordok adatait ne értékként kezelje, hanem paraméterként, a tömeges módosítások ne legyenek lehetségesek.
Újabb lehetőségek, újabb fenyegetések
Az RFID vonzereje a vállalatok számára folyamataik hatékonyságának és eredményességének növelésében rejlik. Az RFID révén korábban nem látott részletességű, akár valós idejű információkat láthatnak a döntéshozók a különféle termékek, félkésztermékek állapotáról, helyzetéről, mennyiségéről, és megfigyelhetik azok áramlását is.
Az így kinyert adatok segítségével újratervezhetik folyamataikat, pontosabb megrendeléseket szolgáltatva a beszállítóknak, valamint korábban elképzelhetetlen sebességgel reagálva a kereslet struktúrájának változására. Nincs többé készlethiány miatt elvesztett vevő, nincs álló futószalag, regisztrálatlan, elveszett áru -- vagy mégis?
RFID-kapu a raktárban
Az üzleti előnyök mellett az RFID-technológia napjainkban tömegessé váló használata újabb biztonsági aggályokat is felvet. Vagyis csak felvetne, mivel az érdekelt vállalatok eddig igyekeztek elhessegetni a gondolatát is, hogy az RFID bármiféle személyiségjogi vagy számítógép-biztonsági kockázatot rejtene. Többé nem lehet azonban szőnyeg alá söpörni a problémákat, az RFID-rendszerek utolsó, eddig nem kivitelezhetőnek tartott veszélye is bizonyítást nyert.
A rosszindulatú kód talán a legnagyobb kockázatot hordja magában, ugyanakkor messze nem az egyetlen módszert kínálja visszaélésekre. A chipek távoli, általunk nem érzékelt kiolvasásával kémkedhetnek, személyes adatokat gyűjthetnek rólunk, akár mozgásunkat is részletesen feltérképezhetik. Szintén gondot okozhat az RFID-alapú személyi azonosítás, amelyet épületek, termek, szobák, vagy akár járművek, eszközök védelméhez rendelhetnek.
Egy klónozott RFID-chippel a bűnözők megtéveszthetik az azonosító rendszereket, és jogosulatlanul hatolhatnak be. Ez a kockázat is bizonyításra került már, de további kockázatot jelent az RFID-chip és a leolvasó közötti kommunikáció elfogása, és reprodukálása is, amellyel szintén azonosítókat lehet megtéveszteni, akár más hitelkártyájával is fizethetnek ilyen módon.
A rádiós azonosító chipek tömeges, hétköznapi elterjedésével a számítógépes rendszerek és a fizikai valóság sosem látott módon fonódnak majd össze, hiszen akár minden egyes személynek és fontosabb tárgynak saját azonosítója lehet a virtuális térben. Sokszor (el)használt, mégis szemléletes példa a hűtőszekrény, amely automatikusan utánrendeli a fogyóban lévő ételeket, vagy a családtag hazaérkezésére elinduló sütő.
Mindezen személyes kényelem és üzleti hatékonyság mellett azonban nem szabad megfeledkezni arról, hogy a szofisztikált módszereket bevető, gyorsan tanuló bűnözők saját javukra fordíthatják majd ezeket a technológia adta lehetőségeket is -- akár áruk, poggyászok csempészésére, ellopására.