קליפורניה עושה את זה פשע כדי 'רזה' תגיות RFID

השבוע, קליפורניה הפכה למדינה השנייה להעביר חוק זה לא חוקי לגנוב נתונים מ RFID (זיהוי תדר רדיו).

החוק קובע עונש הכולל קנס מקסימלי של $ 1500 עד שנה בכלא על מישהו שהורשע בחשש מקריאת מידע מכרטיס RFID.

שבבי RFID, המשמשים במגוון רחב של יישומים ברחבי העולם, מאחסנים כמויות קטנות של מידע שהתקן סמוך יכול לקרוא. בין השאר, השבבים יכולים לשמש לאחסון נתוני לקוחות בכרטיס אשראי או לאפשר לאנשים המורשים לפתוח דלתות משרדים נעולות או דלתות רכב במערכות כניסה "חסרות מפתח".

הצעת החוק בקליפורניה יוצרת חריגים למצבי חירום מסוימים, כגון כפי שמתיר עובד רפואי כדי לסרוק מישהו של RFID מאופשר כרטיס הבריאות כדי לעזור לאדם. כמו כן, השוטרים יורשו להציג מידע על כרטיס RFID עם צו.

הצעת החוק הוצגה לראשונה על ידי הסנטור מדינת קליפורניה ג'ו סימיטיאן בשנת 2006, ואת הגירסה הסופית נחתם החוק ביום רביעי. היא נתמכה על ידי מגוון רחב של קבוצות, החל מארגון החירויות האזרחיות של ארצות הברית ועד לבעלי האקדחים של קליפורניה.

מוקדם יותר השנה, הפכה וושינגטון למדינה הראשונה שהעבירה חוק נגד גניבת נתוני RFID. וושינגטון עושה את זה בכיתה ג פשע לגנוב נתונים מכרטיס RFID במיוחד לצורך הונאה, גניבת זהות או מטרות חוקיות אחרות. כלומר, אם הורשע, פושע יכול לקבל עונש של עד 10,000 $ קנס וחמש שנות מאסר.

אמנם יש מנגנוני אבטחה כי מנפיקים של כרטיסי RFID יכול להעסיק כדי להקשות על מישהו לגנוב נתונים אך רבים מהם לא עושים זאת בצורה גרועה, ולכן החוקים האלה יכולים לשמש כגורם מרתיע נגד האקרים פוטנציאליים.

מאמר שפורסם לאחרונה על ידי סטנפורד חוק סקירה מפורט כמה דוגמאות מדאיגות של חוקרי אבטחה פריצה RFID מערכות. במקרה אחד, חוקרים באוניברסיטת ג'ונס הופקינס פיצחו את קוד ההצפנה על שבבי טקסס אינסטרומנטס המשמשים כרטיסי גז אקסון מוביל. חמושים עם קוד זה, מחשב נייד והתקן RFID פשוט, הם היו מסוגלים למלא את הטנקים שלהם עם גז בחינם.

נייר סטנפורד גם מצטט עבודה שנעשו על ידי חוקרי אבטחת המחשב ב- IO Active מראה כמה בקלות הם יכולים לשכפל מידע מאוחסנים על כרטיסי כניסה הבניין. בדוגמה אחרת המתוארת במאמר, חוקרים מאוניברסיטת מסצ'וסטס השקיעו 150 דולר לבניית קורא RFID ומצאו שהם יכולים לקרוא מידע כגון שמות ונתונים אחרים המאוחסנים בכרטיסי אשראי המותאמים ל- RFID. הם מצאו כי הנתונים מאוחסנים על כרטיסי בשימוש מסחרי ללא מוצפן בטקסט רגיל.

המושל של קליפורניה השבוע הטיל וטו על הצעת חוק נוספת הקשורה גם על ידי Simitian. הצעת החוק הייתה מחייבת את בתי הספר לקבל הסכמה בכתב מההורים לפני הנפקת כרטיסי RFID לתלמידים, שיכולים לשמש להקלטת נוכחות או למעקב אחר מקום הימצאותם של התלמידים. הצעת החוק, שנוסחה לאחר מחלוקת פרצה בבית ספר אחד בקליפורניה שהנפיק כרטיסי RFID לתלמידים, היה גם נדרש בתי ספר לנקוט צעדים מסוימים כדי להגן על הפרטיות של התלמידים.