Kalifornie dělá to zločin, aby "skim" tagy RFID

Tento týden se Kalifornie stala druhým státem, který prosazoval zákon, který činil nezákonné krádež dat z RFID (radiofrekvenční identifikace).

Zákon stanovuje pokutu, která zahrnuje maximální pokutu ve výši 1 500 USD a až jeden rok ve vězení pro někoho odsouzeného za tajné čtení informací z RFID karty.

Čipy RFID, používané v rostoucí paletě aplikací po celém světě, ukládají malá množství informací, které mohou číst nedaleké zařízení. Čipy mohou být mimo jiné používány k ukládání údajů o zákaznících na kreditní kartě nebo umožnění oprávněným osobám otevřít zamčené kancelářské dveře nebo dveře vozidel v "bezklíčových" vstupních systémech.

Účet Kalifornie uděluje výjimky pro určité mimořádné situace jako povolit zdravotnickému pracovníkovi skenovat zdravotní kartu s aktivovanou funkcí RFID, aby pomohla osobě. Policejní důstojníci by měli mít možnost získat informace o RFID kartě s oprávněním.

Bill byl poprvé představen senátem v Kalifornii Joe Simitian v roce 2006 a konečná verze byla ve středu podepsána. To bylo podpořeno širokou škálou skupin, od Amerického svazu občanských svobod až po vlastníky zbraní v Kalifornii.

Začátkem tohoto roku se Washington stal prvním státem, který předal zákon proti krádeži dat RFID. Washington je zločinem třídy C, který ukradl data z karty RFID speciálně za účelem podvodu, krádeže totožnosti nebo jiných nezákonných účelů. To znamená, že pokud bude odsouzeno, trestník by mohl dostat pokutu až do výše 10 000 USD a pět let ve vězení.

Zatímco existují bezpečnostní mechanismy, které mohou vydavatelé RFID karet využít k tomu, aby někdo ukradl data které jsou uloženy na nich, mnozí to neudělají nebo tak špatně, takže tyto zákony by mohly sloužit jako odrazující prostředek proti případným hackerům.

Článek, který nedávno zveřejnil Stanford Law Review, podrobně popsal některé alarmující příklady výzkumníků v oblasti bezpečnosti, kteří hackovali do RFID systémy. V jednom případě vědci z Johns Hopkinsovy univerzity popraskali šifrovací kód na čipy Texas Instruments používaných v kartách Exxon Mobil. Vyzbrojeni tímto kódem, notebookem a jednoduchým RFID zařízením, byli schopni plnit své tanky plynem zdarma.

Stanfordský papír také cituje práci, kterou provedli vědečtí pracovníci počítačové bezpečnosti na IO Active, ukazující, jak snadno mohou klonovat informace uložené na vstupních kartách budovy. V jiném příkladu popsaném v tomto článku výzkumníci z University of Massachusetts vynaložili 150 dolarů na vybudování RFID čtečky a zjistili, že mohou číst informace, jako jsou jména a jiná data uložená na kreditních kartách s podporou RFID. Zjistili, že data byla uložena na komerčně používaných kartách nešifrovaných a v prostém textu.

Kalifornský guvernér tento týden vetoval další související účet, který také představil Simitian. Tento zákon by vyžadoval, aby školy obdržely písemný souhlas rodičů před vydáním karet RFID studentům, které by mohly být použity pro záznam návštěvnosti nebo sledování místa pobytu studentů. Návrh zákona, vypracovaný po kontroverzním výbuchu v jedné kalifornské škole, která vydala studentům RFID karty, by také vyžadovala, aby školy podnikly určité kroky k ochraně soukromí studentů.