Kłopoty z systemami bezpieczeństwa RFID

Kłopoty z systemami bezpieczeństwa RFID

Firma VeriChip o której pisaliśmy w kontekście kontrowersji z wszczepianiem ludziom mikrochipów RFID mierzy się z kolejną falą krytyki.

VeriChip jest pierwszą na świecie firmą, która dostała zezwolenie na komercyjne użycie mikrochipów RFID wszczepianych ludziom (więcej). Jak nietrudno się domyślić fakt ten budzi ogromne kontrowersje wśród obrońców ludzkiej prywatności. Teraz mają oni kolejny argument przeciw nowej technologii – okazuje się, że informacje zawarte w urządzeniach VeriChip są bardzo łatwe do przechwycenia i skopiowania.

Jak podaje Journal for American Medical Informatics Association (JAMIA) – fakt, iż dane zapisywane w mikrochipach RFID są tak łatwo dostępne, uniemożliwia użycie tej technologii w systemach dostępu do budynków.

VeriChip Corporation sprzedaje dwa rodzaje systemów opartych na implantowanych mikrochipach: VeriMed, służący do identyfikacji pacjentów w szpitalach i natychmiastowego dostarczania informacji medycznych; oraz VeriGuard, służący do kontroli dostępu do budynków.

Autorom artykułu z JAMIA udało się przy pomocy samodzielnie skonstruowanych urządzeń skopiować informacje z chipu i nadać ją do urządzenia identyfikującego. Dowiedli tym samym, że oferowane przez VeriChip systemy nie zapewniają odpowiedniego poziomu bezpieczeństwa. Powodem tego jest brak protokołu szyfrującego przesyłane dane.

VeriChip Corporation podaje, iż system VeriGuard służy do identyfikacji osoby, a nie do udzielenia dostępu i powinien być używany łącznie z innymi systemami w celu zapewnienia bezpieczeństwa.

Z kolei przechwycenie informacji z mikrochipu systemu VeriMed nie może się nikomu przydać dopóty dopóki nie chce on wykraść danych o stanie zdrowia jakiegoś pacjenta. Jednak w takim przypadku, aby uzyskać te dane, oprócz identyfikatora zawartego w mikrochipie, niezbędny jest także login i hasło pacjenta. VeriChip twierdzi, że baza danych pacjentów jest dobrze zabezpieczona. Dodatkowo każde zdarzenie dostępu do kartoteki potwierdzane jest e-mailem wysyłanym do pacjenta, dzięki czemu łatwo można wykryć nieautoryzowany odczyt danych.

Gorąca dyskusja nad bezpieczeństwem systemów oferowanych przez VeriChip trwa. Firma twierdzi, że poziom bezpieczeństwa jaki oferuje jest wystarczający do zastosowań, jednak adwersarze nie ustają i nadal poszukują słabych punktów kontrowersyjnych urządzeń VeriChip.