Kablosuz kimlik hırsızlığı - Wireless identity theft

Kablosuz kimlik hırsızlığı, Ayrıca şöyle bilinir temassız kimlik hırsızlığı veya RFID kimlik Hırsızı"kablosuz kullanarak bir bireyin kişisel kimlik bilgilerini tehlikeye atma eylemi" olarak tanımlanan bir kimlik hırsızlığı biçimidir (Radyo frekansı ) mekanik. "^[1] Kablosuz kimlik hırsızlığı hakkında çok sayıda makale yazılmıştır ve yayın yapan televizyon bu fenomenle ilgili birkaç araştırma üretmiştir.^[2]^[3]^[4] Göre Marc Rotenberg of Elektronik Gizlilik Bilgi Merkezi temassız (kablosuz) kart tasarımı doğası gereği kusurlu olduğundan, saldırılara karşı güvenlik açığını artırdığından kablosuz kimlik hırsızlığı ciddi bir sorundur.^[5]

Genel Bakış

Kablosuz kimlik hırsızlığı, kişilerin kişisel bilgilerini, cihazlarında bulunan RF özellikli kartlardan toplamak için nispeten yeni bir tekniktir. giriş kontrolu, kredi, banka kartı veya devlet tarafından verilen kimlik kartları.^[6] Bu kartların her biri, belirli radyo frekanslarına yanıt veren bir radyo frekansı tanımlama çipi taşır. Bu "etiketler" radyo dalgaları ile temas ettiğinde, biraz değiştirilmiş bir sinyalle yanıt verirler. Yanıt, kart sahibinin adı, adresi, Sosyal Güvenlik Numarası, telefon numarası ve ilgili hesap veya çalışan bilgileri dahil olmak üzere şifreli kişisel olarak tanımlayıcı bilgiler içerebilir.^[7]

Bu verileri yakaladıktan (veya 'topladıktan') sonra, diğer kartlar aynı şekilde yanıt verecek şekilde programlanabilir ("klonlama"). Birçok web sitesi, insanlara bunun nasıl yapılacağını öğretmenin yanı sıra gerekli ekipman ve yazılımı sağlamaya adanmıştır.^[8]^[9]

Finansal endüstri kompleksi göç ediyor^{[itibariyle? ]} manyetik kart okuyucuda teknik olarak kaydırmayı gerektiren banka ve kredi kartlarında manyetik şeritlerin kullanımından. Dakikadaki işlem sayısı artırılabilir ve daha kısa sürede daha fazla işlem gerçekleştirilebilir, bu nedenle kasiyerde muhtemelen daha kısa satırlar oluşur.^[10]

Tartışmalar

Akademik araştırmacılar ve "Beyaz Şapkalı" bilgisayar korsanları Gizli hırsızlığı analiz etti ve belgeledi RFID kredi kartı bilgileri ve RFID kartı veren kuruluşlardan hem red hem de eleştirilerle karşılandı.^[1]^[11] Bununla birlikte, posta zarflarındaki kartları taramak için kullanılan (ve diğer çalışmalarda da arabayla gelen veri saldırıları yoluyla) düşük maliyetli jerry-rigged dedektörler tarafından çalınabilecek bilgilerin kamuya açıklanmasından sonra, çeşitli güvenlik özelliklerinin tasarımı kartlar, kart sahiplerinin adlarını ve diğer verileri kaldırmak için yükseltildi.^[1]^[11] Ek olarak, tamamen şifrelenmemiş bir dizi kart tasarımı, şifreli veri sistemlerine dönüştürüldü.^[1]^[11]

RSA raporu

Bir 2006 raporunda gündeme getirilen sorunlar, halihazırda basılmış on milyonlarca kart nedeniyle önemliydi.^[1]^[11] Kredi ve banka kartı veriler, kartlara fiziksel olarak dokunulmadan veya sahibinin cebinden, çantasından veya taşıma çantasından çıkarılmadan özel düşük maliyetli radyo tarayıcıları aracılığıyla çalınabilir.^[1]^[11] 2006 araştırma çalışmasının bulguları arasında "Birinci Nesil RFID Etkin Kredi Kartlarında Güvenlik Açıkları" ve diğer beyaz şapkalı bilgisayar korsanlarının raporlarında:

taranan bazı kredi kartları sahiplerinin adlarını, kart numaralarını ve son kullanma tarihlerini gösterdi;^[1]^[11]
kartların ve etiketlerin kısa maksimum tarama mesafesinin (normalde inç veya santimetre cinsinden ölçülür) teknolojik modifikasyonlarla birkaç fite kadar uzatılabileceği;^[1]^[11]
menzil genişletme teknolojileri olmasa bile, Siyah Şapkacılar kalabalık mekanlarda yürümek veya el ilanları dağıtmak, diğer kişilerden ve posta zarflarından kart verilerini kolayca yakalayabilir;^[1]^[11]
çalışma bulgularını gözden geçiren güvenlik uzmanlarının çalışmanın mahremiyet ihlallerinden irkildiğini (2006'da yapıldı);^[1]^[11]
diğer e-sistemler, örneğin Exxon Mobil ’S Hız geçişi anahtar zinciri ödeme cihazı, yarım saatlik bir hesaplama süresi ile tehlikeye atılabilecek zayıf şifreleme yöntemleri kullandı;^[1]^[11]
bazı kartların taranmış çalınan verilerinin hızla gerçek kredi kartı numaralarını verdiğini ve veri jetonlarını kullanmadığını;^[1]^[11]
bazı kartlardan yasadışı olarak elde edilen verilerin, kartların doğrulama kodlarının girilmesini gerektirmeyen bir çevrimiçi mağazadan satın alma işlemlerini kabul etmesi için normal bir ticari kart okuyucuyu (çalışma grubu tarafından kullanılan) kandırmak için başarıyla kullanıldığını;^[1]^[11]
RFID kredi kartları için daha yüksek seviyeli güvenlik sistemleri geliştirilmiş ve geliştirilmeye devam ederken, kart sahipleri için ne kadar güvenlik dağıtmak istediklerine karar verenin yalnızca gerçek bankalar olduğunu;^[1]^[11]
o herkes Araştırmada test edilen 20 karttan en az biri, araştırmacıların yerleştirdiği saldırılardan en az biri tarafından mağlup edildi;^[1]^[11]
ilgili başka bir güvenlik tehdidi farklı bir ürünle ilgiliydi: yeni hükümet çıkardı e-Pasaportlar (pasaportlar artık kredi ve banka kartlarına benzer RFID etiketlerini içeriyor). E-Pasaportlardaki RFID etiketleri ayrıca veri hırsızlığı ve klonlama saldırılarına da tabidir.^[1] Amerika Birleşik Devletleri hükümeti 2006'dan beri e-Pasaportlar düzenliyor.^[5]^[11]

İlgili bir konuda, gizlilik grupları ve bireyler de "Büyük kardeş "Birleştirilmiş bilgilerinden ve hatta kart veren kurumlar, diğer üçüncü taraf kuruluşlar ve hatta hükümetler tarafından hareketlerinin takibi nedeniyle kişilere yönelik bir tehdit olduğunda endişeler.^[12] Sektör gözlemcileri, '... RFID, kesinlikle şimdiye kadarki en istilacı tüketici teknolojisi olma potansiyeline sahiptir.’^[12]

Kredi kartı veren kurumlar, kablosuz kimlik hırsızlığı veya dolandırıcılığı ile ilgili red beyanları yayınladılar ve aşağıdakileri doğrudan eleştiren veya ima eden pazarlama bilgileri sağladı:

kart verilerinin ötesinde, tüketicileri korumak için ödeme sistemlerindeki diğer veri koruma ve dolandırıcılıkla mücadele önlemleri mevcuttur;^[11]
2006 yılında yapılan akademik çalışmada sadece 20 RFID kartından oluşan bir örnek kullanıldı ve test edilen kartlardan genellikle daha yüksek güvenlik kullanan genel RFID pazarını tam olarak temsil etmedi;^[11]
Kartların üzerindeki şifrelenmemiş düz metin bilgileri "... temelde faydasızdı" (tek başına) çünkü finansal işlemler güçlü şifreleme teknolojilerine sahip doğrulama sistemlerine bağlıydı;^[11]
tüketiciler RFID kredi kartı dolandırıcılığı veya kimlik hırsızlığının kurbanı olsalar bile, mali olarak bu tür kredi kartı dolandırıcılığından sorumlu^[11] (Kart sahipleri, sahtekarlık işlemleriyle ilişkilendirildikten veya kart sahibi olduktan sonra diğer ciddi sonuçları görmezden gelen bir pazarlama stratejisi. kimlik çalındı );^{[kaynak belirtilmeli ]}

Çalışma sonuçlarının açıklanmasının ardından, tüm kredi kartı şirketlerinin New York Times ' Araştırma raporu, yeni ikinci nesil RFID kartlarıyla iletilen verilerden kart sahibi adlarını çıkardıklarını söyledi.^[5]^[11]

Güvenliği ihlal edilmiş ABD kimlik belgeleri

ABD hükümeti tarafından verilen bazı resmi kimlik belgeleri, ABD Pasaportları, Pasaport Kartları ve ayrıca New York ve Washington Eyaletleri tarafından verilen gelişmiş sürücü belgeleri, ABD sınırında polislik yapanlara yardımcı olmak amacıyla RFID çipleri içerir.^[13] Kullanımları dahil olmak üzere çeşitli güvenlik sorunları tespit edilmiştir. siyah şapkalar kimlik numaralarını belli bir mesafeden toplamak ve bunları boş sahte belgelere ve kartlara uygulamak, böylece bu kişilerin tanımlayıcılarını varsaymak.^[13]

Gizlilik endişeleri de dahil olmak üzere kullanımlarıyla ilgili çeşitli sorunlar ve olası sorunlar tespit edilmiştir. Tadayoshi Kohno, her belgeyle ilişkili RFID kimlik numarasının kişisel kimlik bilgilerini içermemesi gerekmesine rağmen, "... sayılar zamanla gelişir ve kullanımlar zamanla gelişir ve sonunda bu şeyler başlangıçta beklediğimizden daha fazla bilgi ortaya çıkarabilir" dedi Tadayoshi Kohno, bilgisayar bilimleri yardımcı doçenti, Washington Üniversitesi bu tür devlet tarafından verilen belgelerin bir çalışmasına katılanlar.^[13]

Ayrıca bakınız

Referanslar

^ ^a ^b ^c ^d ^e ^f ^g ^h ^ben ^j ^k ^l ^m ⁿ ^Ö ^p Heydt-Benjamin, Thomas S; Bailey, Daniel V; Fu, Keven E; Juels, Ari; O’Hare, Tom (22 Ekim 2006), Birinci Nesil RFID Özellikli Kredi Kartlarındaki Güvenlik Açıkları (PDF ) (taslak çalışma), Amherst, MA; Bedford, MA; Salem, MA: Massachusetts Üniversitesi; RSA Laboratuvarları; Innealta, alındı 2009-03-14.
^ Newitz, Annalee (Mayıs 2006), "RFID Hacking Underground", Kablolu, 14 (5).
^ Anka kuşu, KPHO-5.
^ Video, Austin: KVUE-24
^ ^a ^b ^c Weston, Liz Pulliam (2007-12-21), "Yeni Kredi Kartları Eller Serbest Hırsızlığa İzin Veriyor", Para merkezi, MSN, arşivlenen orijinal 2011-04-30 tarihinde, alındı 2009-03-14.
^ Tüketici Ürünlerinde RFID Kullanımına İlişkin Konum Beyanı, Electronic Frontier Foundation.
^ Mansouri, Djamel (Ağustos 2017). "Kablosuz sensör ağlarında su baskını için dinamik ve uyarlanabilir algılama yöntemi". Uluslararası Haberleşme Sistemleri Dergisi. 30.
^ RFIdiot.
^ RFID, Texas Instruments.
^ "Mikro etiket", Ödeme dalgası, BİZE: Vize.
^ ^a ^b ^c ^d ^e ^f ^g ^h ^ben ^j ^k ^l ^m ⁿ ^Ö ^p ^q ^r ^s ^t Schwartz, John (2006-10-23), "Araştırmacılar Kaydırılmayan Kredi Kartlarında Gizlilikle İlgili Tuzaklara Bakıyor", New York Times.
^ ^a ^b Booth-Thomas, Cathy; Barnes, Steve; Cray, Dan; Estulin, Chaim; İsrail, Jeff; Mustafa, Nadia; Schwartz, David; Thornburgh, Nathan (22 Eylül 2003), "Her Şeyi Gören Çip", Zaman.
^ ^a ^b ^c Naone, Erica (Aralık 2008), Tanımlama: RFID’nin Güvenlik Sorunu: ABD pasaport kartları ve RFID ile yeni eyalet sürücü belgeleri gerçekten güvenli midir?, Teknoloji İncelemesi, MIT.

daha fazla okuma

Gannsle, Daniel J (Aralık 2008), "Kendinizi Yüksek Teknolojili RFID Kimlik Hırsızlığından Nasıl Korursunuz", Her Şey Hakkında Nasıl Yapılır.
Herrigel, İskender; Zhao, Jian (2006-02-09), van Renesse, Rudolf L (ed.), "RFID Kimlik Hırsızlığı ve Karşı Tedbirler, Optik Güvenlik ve Sahte Caydırma Teknikleri VI", SPIE'nin tutanaklarıHarvard (6075): 366–379, Bibcode:2006SPIE.6075..366H, doi:10.1117/12.643310.
Markoff, John (15 Mart 2006), "Çalışma Kimlik Etiketlerindeki Yongaların Virüslere Karşı Savunmasız Olduğunu Söyledi", New York Times, alındı 2009-03-14 (kasıtlı olarak bozulmuş RFID etiketlerinin bilgisayar sistemlerine virüsleri nasıl sokabileceği hakkında).
Seltzer Larry (2009-02-20), "Pasaport Kart Güvenliği Efsanesini Ortaya Çıkarma", eWeek, alındı 2009-03-14.

[HB-B-F-J-O-1] ^ ^a ^b ^c ^d ^e ^f ^g ^h ^ben ^j ^k ^l ^m ⁿ ^Ö ^p Heydt-Benjamin, Thomas S; Bailey, Daniel V; Fu, Keven E; Juels, Ari; O’Hare, Tom (22 Ekim 2006), Birinci Nesil RFID Özellikli Kredi Kartlarındaki Güvenlik Açıkları (PDF ) (taslak çalışma), Amherst, MA; Bedford, MA; Salem, MA: Massachusetts Üniversitesi; RSA Laboratuvarları; Innealta, alındı 2009-03-14.

[2] Newitz, Annalee (Mayıs 2006), "RFID Hacking Underground", Kablolu, 14 (5).

[3] Anka kuşu, KPHO-5.

[4] Video, Austin: KVUE-24

[MSN-5] Weston, Liz Pulliam (2007-12-21), "Yeni Kredi Kartları Eller Serbest Hırsızlığa İzin Veriyor", Para merkezi, MSN, arşivlenen orijinal 2011-04-30 tarihinde, alındı 2009-03-14.

[6] Tüketici Ürünlerinde RFID Kullanımına İlişkin Konum Beyanı, Electronic Frontier Foundation.

[7] Mansouri, Djamel (Ağustos 2017). "Kablosuz sensör ağlarında su baskını için dinamik ve uyarlanabilir algılama yöntemi". Uluslararası Haberleşme Sistemleri Dergisi. 30.

[8] RFIdiot.

[9] RFID, Texas Instruments.

[10] "Mikro etiket", Ödeme dalgası, BİZE: Vize.

[NYT-11] ^ ^a ^b ^c ^d ^e ^f ^g ^h ^ben ^j ^k ^l ^m ⁿ ^Ö ^p ^q ^r ^s ^t Schwartz, John (2006-10-23), "Araştırmacılar Kaydırılmayan Kredi Kartlarında Gizlilikle İlgili Tuzaklara Bakıyor", New York Times.

[Time-12] Booth-Thomas, Cathy; Barnes, Steve; Cray, Dan; Estulin, Chaim; İsrail, Jeff; Mustafa, Nadia; Schwartz, David; Thornburgh, Nathan (22 Eylül 2003), "Her Şeyi Gören Çip", Zaman.

[Naone-13] Naone, Erica (Aralık 2008), Tanımlama: RFID’nin Güvenlik Sorunu: ABD pasaport kartları ve RFID ile yeni eyalet sürücü belgeleri gerçekten güvenli midir?, Teknoloji İncelemesi, MIT.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]