Forrás: PCWorld | ERdős Márton | 2021.08.08.

A rádiófrekvenciás azonosítás, eszközpárosítás vagy az "érintős" adatcsere rutinszerűvé vált az utóbbi évtizedben. De mi a helyzet a technológia adatbiztonsági kihívásaival?

Egyre sűrűsödnek az internetes támadások, az átlagfelhasználók ezért jogosan gondolhatják, hogy bár vonzó az új technológiák nyújtotta kényelem, mégis szinte a kezdetektől számolni kell a fenyegető árnyoldallal is. A GDPR-szabályozás bevezetésével valami olyasmi már kezd berögzülni a fejekbe, hogy a személyes adat sokkal fontosabb kincs, mint eddig gondoltuk, és ennek védelme, kezelhetősége kulcsfontosságú. Természetesen itt is szemtanúi vagyunk egy hosszas átmenetnek, sokan továbbra sem tudják, hogy nevük, születési dátumuk és családi állapotuk milyen adatbázisokba épül be egyik napról a másikra. Naponta szembesülhetünk ránk leselkedő veszélyekkel, és alapvetően nem attól kell félnünk, hogy egy illetéktelen személy csak azért szerzi meg a születési adatunkat, mert az a mániája, hogy vadidegen embereket köszöntsön fel azon a bizonyos napon.

A személyes, vagyis a személyünkhöz köthető adataink legtöbbje hozzáférést nyújt valamilyen eszközhöz, tevékenységhez, értékhez, és ez még akkor is igaz, amikor ez az adat nem tőlünk származik, hanem másvalaki, például a munkáltatónk, egy hatóság vagy egy partneri státuszban lévő jogi entitás biztosítja számunkra. Azonosítókártyák, bankkártyák, tokenek; tipikus mindennapi kellékeink, amelyekkel kényelmesebben jutunk be egy épületbe, érintés nélkül fizetünk vagy épp oldunk fel biztonsági szempontból fontos zárakat, tárgyakat. Kézzelfogható eszközökről beszélünk? Igen. Internetre vannak csatlakoztatva? Nem. Akkor mi baj történhet azon kívül, hogy elvesztem őket? Nos, a háttérben működő rádiós RFID-technológia is megnyit pár támadási felületet, ezekre pedig érdemes odafigyelni.

Mi az az RFID-technológia?

Noha a Radio Frequency Identification elnevezés rövidítése ma már sokaknak hangzik ismerősen, még manapság sem sem feltétlenül egyértelmű, hogy miként működik, és milyen alkalmazási területei lehetnek. A legfiatalabb generáció talán már egy kicsit ódivatúnak titulálhatja az RFID-et, hiszen bevetésekor nem történik semmi látványos dolog: a technológia rádiófrekvenciák segítségével közöl adatokat, amelyek zömében azonosításra szolgálnak.

Alapvetően három kategóriába soroljuk az úgynevezett RFID-címkéket: a passzív és aktív verziók mellett az iparág egy félig passzív, apró elemmel működő változatot is számon tart.

Ebből talán már sejthető, hogy az áramforrás megléte és típusa jelenti az egyik fő különbséget, ez pedig kihat a rádióhullámok erősségére és hosszára; tehát amennyivel erősebb az energiaellátás, annyival magasabb a működési frekvenciatartomány és a hatótáv. A különféle tokenek, kártyák és chipek a memóriakezelésükben is fontos különbséget mutatnak. A címkék egy része kizárólag csak olvasható, míg az írható változatok között léteznek egyszeri vagy többszöri írásra kialakított példányok. Aki saját maga szeretne RFID-eszközök mentén azonosítási megoldásokat létrehozni, a megfelelő címkékkel és RFID író-olvasóval könnyedén megteheti ezt.

De hiszen ez csak egy kártya!

Keveset hallani olyan illetéktelen adatszerzési kísérletről, amelyet kifejezetten a rádiófrekvenciás azonosításon alapuló eszközök ellenében hajtottak végre. Az autólopásokkal kapcsolatos trükkök ugyan valami ilyesmit jeleznek, de a statisztikákat érdemes lenne úgy is szétbontani, hogy hány járművet loptak el a tulajdonos hanyagsága miatt, és mekkora az az esetszám, amikor a konkrét kulcsos-távirányítós kommunikációt zavarták vagy másolták le. Nem egyértelmű tehát a veszély mértéke, mint ahogy az sem feltétlenül kimutatható, hogy például az érintés nélkül használatos bankkártyákkal kapcsolatos visszaélések között mekkora arányú az RFID-alapú lopás. A kockázat azonban ettől még létezik - csak azért, mert nem látjuk naponta a hírekben, a lehetőség adott és kihasználható.

Az RFID-eszközök ugyanis típustól és frekvenciatartománytól függően rendelkeznek egy olyan mini elektromágneses mezővel, amely utat nyithat azok számára, akik szeretnének hozzáférni a chipeken tárolt adatokhoz, vagy a futó adatfolyamból szednének ki értékes információt.

Hogy mekkora az esély erre, azt jól jelzi a tény, hogy egy pulton hagyott pénztárca mellé különösebb feltűnés nélkül elhelyezhető egy leolvasásra alkalmas, de ártatlan kinézetű eszköz; a lopás láthatatlan, érzékelhetetlen, így a lebukás esélye is kicsi.

Ugyanez igaz bármilyen azonosítást segítő tokenre is: elegendő azt a kódsort kinyerni, amely később másolhatóvá válik, ezáltal pedig maga az azonosításra szolgáló eszköz is replikálható.

Egyszerűen védhető

Sokszor komoly befektetést és tervezést igényel az illetéktelen, rosszindulatú támadás megelőzése, a konkrét védelem kiépítése, és még így is érhetnek meglepetések. Örömteli, hogyha valaki szeretné megóvni RFID-n alapuló eszközeit; házi praktikát és kifejezetten erre tervezett megoldásokat is bevethet. A rádiójelek befogását (és egyébként működését is) a víz és a fém remekül meggátolja, de ezek közül utóbbi kínál kényelmes megoldást. Egy egyszerű alufólia-tekercsből gondosan kihasított darab már egy fokkal magasabb védelmet kínál a semminél a pénztárcába, útlevélbe, egyéb okmányba helyezve, de nem örök életű a védelem, a fólia hatékonysága idővel csökken, ahogy az elhasználódik.

A fólia cserélgetése helyett érdemes magát a pénztárcát, kártyatokot, táskát lecserélni egy olyan példányra, amibe egy kis méretű Faraday-kalitkát (fémháló) építettek a textil- vagy bőranyagok közé helyezve. Talán erre süthető rá leginkább a "biztonságos" jelző, hiszen hatásosabb, mint a házi trükkök, a kész termékről pedig feltételezhető, hogy hosszú távú használatra tervezték. Az egyesült államokbeli hatóságok konkrét ajánlást is megfogalmaztak ezzel kapcsolatosan, az elvárt követelményeknek megfelelő termékeket több gyártó szállít az ottani piacra.

Lopás kizárva?

Nos, ahogy az élet minden területén, itt is létezik az a bizonyos "felhasználói hibafaktor", ami adódhat egyébként a hamis biztonságérzetből is. Az RFID-kütyük védelme ugyanis csak bizonyos helyzetekre és tárolási módokra korlátozódik, amint lekerül a fémpajzs az eszközről, ugyanúgy támadhatóvá válik, mint korábban. Sőt, mivel a védelem nem "ragadós", a speciális tárcából kivéve a bankkártya azonnal sérülékenynek számít, és például egy ATM-en keresztül azonnal ellophatják róla a szükséges azonosítókat.

Az odafigyelés tehát továbbra is elengedhetetlen a kártya vagy a token használatakor, lehetőleg még tárcával se adjuk oda másnak, akkor se, ha egyébként megbízunk az illetőben.

Ha szívesen olvasnál további hasznos cikkeket, akkor szerezd be a 2021/07-es PC World magazint, amely mellé ajándékba jár néhány remek szoftver és egy PC-s játék is. 

Komolyabban érdekel az IT? Informatikai, infokommunikációs döntéshozóknak szóló híreinket és elemzéseinket itt találod.