פחד ותיעוב בלאס וגאס, נוסח 2009

Blue and Purple RFID tagמשום מה, האקרים וספקנים אוהבים ועידות בווגאס, בוועידה האחרונה חזר נושא הRFIDים לכותרות1 והפעם לא בגלל ששוב הצליחו לקרוא מרחוק ארפיד בניסוי מיוחד, אלא בגלל שהיה מכשיר שעשה את זה סתם כך מול עיני המבקרים בביתן בתערוכה, רק שכולם עברו לידו בלי להתרגש או לחשוב יותר מדי. כולל אנשי ה-FBI שבאו גם להתארח בפאנל וגם להכיר את הטכנולוגיות האחרונות שמשחקים בהן הפורצים הנוצצים. המצחיק הוא שאין להם בעיה להסתובב בכיס עם RFID או שניים אבל יש להם בעיה עם זה שהם גילו שברגע שהם עברו ליד אותו ביתן, האנטנה הקליטה את המספר הסידורי של הכרטיס וצילמה אותם מצלמת WEBCAM קטנה. אני תוהה כמה פעמים זה כבר קרה להם בלי שהם גילו שזה קרה.

להזכירכם, הדרכון הביומטרי של שטרית יהיה אלחוטי וכך גם תעודת הזהות. הובטח לנו שהארפיד "יכובה" בתעודת הזהות, אבל על מי הם עובדים? הוא אולי לא יתן פרטים ומידע מפורט אבל לזהות את מספרו הסידורי כחלק מה־Handshake ברור שהוא יסגיר. אבל יש לזה פתרון, ד"ר אן קווקיאןכבר הזכרתי בעבר) מנסה להחדיר למערכת באונטריו כרטיסים חכמים שבהם הארפיד לא פועל אם לא לוחצים בנקודה מסוימת, שבלעדיה אין פיסית מגע בין הצ'יפ לאנטנה שלו. השיטה הזו כבר זוכה למימוש אצל יצרנים שונים, אבל לא ברור אם נראה אותה בארץ. כאן אנו עלולים לגלות שהארפיד פועל כל הזמן. אם אתם רוצים לקרוא עוד על הטכנולוגיה, האתר שלה (נציבות הפרטיות הציבורית של אונטריו) עשיר במידע ושקפי הרצאה בנושא הזה ואחרים.

(סרטים מוטמעים בהמשך, לבקשת חל מהקהל אני מבצע קיפול)

אז האם מישהו נפגע מזה מלבד כמה סוכני FBI מופתעים? כן, היו שם גם כמה מבקרים מכנס מפצחים "כובעים שחורים" שקדם לו בכמה חודשים ואפשר היה לזהות שהם אותם נושאי הכרטיסים, בקיצור מבוכה רבה. אבל אלו לא חדשות חדשות, הזהרות על הבטיחות של המערכות האלו פורסמו כבר לפני שנים ומדהים שסוכני FBI עדיין מסתובבים עם השטות הזו בכיס. וכאן אין פראנויה בלי אש, גל של כרטיסי אשראי חמושים בארפיד כבר הועתק במאות ואלפים לפני כמה חודשים כשלקוחות וואשינגטון מיוצ'ואל שקרס הועברו בבת אחת לצ'ייס שהנפיק להם כרטיסים אלחוטיים ופתח אותם לגניבות בהיקפים עצומים. הפתרון של המדינה? הוצאת "האזנות ארפידים" מהחוק (כמו בקליפורניה). אזרחים לא חיכו לראות כמה יפה החוק עובד, החזירו עשרות אלפי כרטיסים וחברות האשראי נאלצו לבטלם ולחזור לשולחן הסירטוט. מית'באסטרז רצו לעשות על זה פרק, אבל מתוך נימוס שאלו וחטפו רמזים עבים מחברות האשראי שלא יעיזו לשדר אותו, ולכן מה שנשאר זה סרטונים של מי שלא ביקש רשות. הדגמות בבוינגבוינג הן גיקיות וזו לא חוכמה למצוא כאלו בערוצי מידע שהם נישה, אבל זה משהו שגם טלוויזיית המיינסטרים מדברת עליו:

וזה חשוב להבין, כי כאן לא מדובר רק על הסכנה שיקראו את הכרטיס, או יזהו אותו חד-חד ערכית מרחוק, אלא כי את רוב הכרטיסים האלו מציידים במידע לא מאוד מוצפן, במקום מעבד קטן שיוכל לענות על challenge/response, ובאופן מחליא בפשטותו, הועתקו כך כרטיסי אשראי של אנשים שעברו פשוט עם התיק או הארנק ליד אנטנה כזו, והפושעים רצו לחייב בעזרת המידע השאוב. אני מקווה שהכרטיסים החכמים והיקרים יותר ששטרית רוצה לדחוף לנו לכיס הם אכן יותר טובים מזה.

עוד קריאה: לינקים מרוכזים אצל ברוס שנאייר, אקוסיסטמה של ארפידים, ועוד הרבה מקומות. 

-------
  1. אני מבטא אותם ארפיד, אתם יכולים לבחור מה שבא לכם[^]

2 Replies to “פחד ותיעוב בלאס וגאס, נוסח 2009”

כתיבת תגובה