Nečipujte nás

Jde-li o život, nejde o statistiku

Studie NATO: Bezpečnostní rizika RFID! FIN

Riihimaki, Finsko, duben - listopad 2010 (Rd)

Světově uznávaný odborník finských ozbrojených sil („Defence Forces Technical Research Center“ - PVTT)1 v oblasti bezpečnostní informatiky pan Mikko Kiviharju zpracoval v dubnu 2010 a zveřejnil v listopadu téhož roku svou studii s názvem „RFID jako nástroj kybernetického vojenství“ („RFID as a Tool in Cyber Warfare”)2 v rámci sborníku prestižního sympózia3 pořádaného „Centrem pro podporu vzájemné spolupráce“ („Collaboration Support Office“ - CSO) členských států NATOestonském hlavním městě Tallinnu. Na základě svého dlouholetého bádání a nejmodernějších vědeckých poznatků zde autor textu důrazně varoval před velkými bezpečnostními riziky každého RFID systému složeného z očipovaných věcí, osob nebo zvířat (tzv. čipování), EM vlnění, čteček, databází, obslužného personálu atd.

Níže se můžete seznámit s vybranými komentovanými tezemi Kiviharjuovy studie dle tématického zaměření webu Necipujtenas.cz:

  • Každá počítačová síť je schopna ovlivnit jakýkoliv informační systém, který využívá ke své komunikaci nebo přenosu dat externí zařízení a to třeba i bez připojení k Internetu.
  • V dnešní době již existují velmi nebezpečné způsoby útoku na informační systémy propojené s technologii RFID.
  • Rizikové a v masovém měřítku produkované nosiče RFID mikročipů “představují otevřená zadní vrátka pro případného útočníka a to i z hlediska nepřístupných systémů bez jakéhokoliv vlivu lidského faktoru;”.
  • Byť i jen jedna jediná minuta poskytnutá agresorovi vlivem nedostatečného zabezpečení celého systému může způsobit nevyčíslitelné škody.
  • RFID technologie představuje podobnou hrozbu pro informační systémy jako různá zařízení USB. RFID je však z tohoto hlediska mnohem více zákeřnější a to předně díky těmto svým vlastnostem:
    1. I ty nejokrajovější části RFID systému bývají často propojeny elektromagnetickým vlněním přímo s informačním centrem důležitých databázových údajů. Jde o vysoce nebezpečný faktor pro případný útok.
    2. Pokud se už jednou stane RFID technologie integrální součástí nějakého informačního systému, tak zde v tomto prostředí probíhá většina instalačních nastavení automaticky a naprosto bez povšimnutí odpovědných správců.
    3. Skoro všechny důležité procesy RFID systému jsou nastaveny tak, aby vyžadovaly co nejmenší lidskou součinnost.
    4. RFID subsystémy se mohou ´pyšnit´ uměle vytvořenou aureolou své tzv. marketingové “důvěryhodnosti” a lidé se poté již díky tomu často mylně domnívají, že nevyžadují vůbec žádnou nebo jen minimální formu zabezpečení.
    5. RFID technologie je však schopna nakazit celý informační systém například malwarem a způsobit zcizení utajovaných dat včetně osobních údajů apod.
    6. Většinu nosičů RFID čipů lze infikovat virem, který se poté dokáže lavinovitě šířit díky velmi nízkým nákladům na pořízení mikročipů, jejich malému rozměru a odolnosti vůči povětrnostním aj. vlivům. Skenery/čtečky zakoupené a používáné v různých místech světa pak “z mikročipů načtou kontaminovaná data a vyřadí z provozu nebo poškodí kritické informační systémy.Jde ve své podstatě o jednu z nejobávanějších možností velmi dobře skryté bezpečnostní hrozby.
    7. Různé typy počítačových virů v rozsahu 100 až 200 bajtů již v minulosti prokázaly svou schopnost infikovat i nejlépe zabezpečené informační systémy. Velikost těchto nezvaných škůdců se neustále zmenšuje až na desítky bajtů. A tak malé množství dat již může být velmi jednoduše umístěno na běžné nosiče RFID mikročipů (přívěsky, obojky, nálepky, štítky, implantáty apod.). Pak už jen stačí jakákoliv nezabezpečená čtečka/skener/vstupní systémový bod/neodborná manipulace apod. k tomu, aby bylo zkázonosné dílo dokonáno.
    8. Čtečky a skenery mají svou vlastní paměť, která je přirozeně taktéž schopna nakazit třeba databázi osobních údajů aj.
    9. Velmi zranitelným je z hlediska potenciálního útoku především prostor mezi mikročipem a čtečkou/skenerem, ve kterém probíhá vlastní výměna informací. (Modernizace jej neustále zvětšuje.) Zde může být slabší elektromagnetický signál ´přehlušen´ silnějším tak, aby ovlivnil údaje zobrazované skenerem a přenesené do centrální databáze např. za účelem identifikace dané osoby (třeba v rámci policejní kontroly chovatele psa apod.). Taková manipulace s datovým tokem dokáže opět v případě nezabezpečených RFID nosičů mikročipů nepěkně zamávat s celým informačním systémem.
    10. Nejmodernější špičkové čtečky/skenery mohou být zneužity k přepsání většiny údajů obsažených v jednotlivých mikročipech, jelikož dokáží operovat na libovolných frekvencích v současnosti vyráběných čipů. Mohou tak třeba vytvořit úplně novou digitální identitu dané osoby, změnit informace o zboží, velikosti předmětu apod.
    11. Existují další desítky příkladů velmi vážných bezpečnostních hrozeb RFID technologie.


***

Výsledky výše citované studie finské armády a NATO především nyní nastolují (staro)nové důležité otázky kolem ochrany osobních údajů všech občanů/chovatelů zvířat v jednotlivých databázích nejen na území České republiky a varují před rizikem případného útoku na informační systémy zdejších obcí/měst např. skrze zvířatům implantované RFID mikročipy, dále policií, úředníky, veterináři aj. osobami používané čtečky/skenery atd. včetně nebezpečí neoprávněného/mylného postihu lidí/voličů při jakékoliv kontrole atd.

Jakými novými a zcela zbytečnými problémy asi občany českých/slovenských/evropských měst/obcí zase v této souvislosti výkonná moc zatíží? Zastupitelé/politici totiž většinou vůbec důkladnou ochranu osobních údajů svých občanů (např. chovatelů psů) neřeší i když tyto citlivé informace jednotlivé úřady pod pohrůžkou pokut vyžadují. Vůbec si neuvědomují potenciální gigantický problém, který lidem vytvořili.

I na takové otázky bude nyní muset bezcitná politická reprezentace reagovat, jelikož danou tristní situaci sama způsobila a na své občany bezohledně uvalila: Např. v Ostravě si nezodpovědní zastupitelé vynutili svými vyhláškami (na Slovensku již dokonce zákonem) povinné/trvalé označování psů RFID mikročipy včetně s tím souvisejících kontrol občanů.

Vědci z řad finských ozbrojených sil a NATO tak nyní zároveň svými výraznými argumenty podpořili - vzhledem ke své znalosti rizik RFID technologie - všechny zastánce DOBROVOLNÉHO a nikoliv povinného čipování.


Zdroj: RTO-MP-IST-091 AC/323(IST-091)TP/328, ISBN 978-92-837-0115-6, https://www.cso.nato.int/Pubs/rdp.asp?RDP=RTO-MP-IST-091

__________________________

1 „Defence Forces Technical Research Centre (PVTT) has the main responsibility for the scientific and technical research in the Finnish Defence Forces, and is a strong centre of excellence in the area of protection. As an expert organisation, PVTT provides research services to support decision-making and to assist developing the capabilities of the Defence Forces and national defence. The Defence Forces Technical Research Centre has three research divisions: The Weapons Technology Division, the Explosives and CBRN Protection Technology Division, and the Electronics and Information Technology Division.“, cit. dle http://bit.ly/12Segc5

2 RTO-MP-IST-091 AC/323(IST-091)TP/328, ISBN 978-92-837-0115-6, https://www.cso.nato.int/Pubs/rdp.asp?RDP=RTO-MP-IST-091

3 „Information Systems and Technology Panel“ - IST. Symposium probíhalo v Tallinnu, Estonsko, 22. - 23. listopadu 2010.