Kalifornia czyni zbrodnię "tagami" RFID

W tym tygodniu Kalifornia stała się drugim krajem, który uchwalił prawo, które zabrania kradzieży danych z kart RFID (identyfikacja radiowa).

Ustawa określa karę, która obejmuje maksymalną grzywnę w wysokości 1500 USD i do rok więzienia dla osoby skazanej za ukradkowe odczytywanie informacji z karty RFID.

Chipy RFID, używane w coraz większej liczbie aplikacji na całym świecie, przechowują niewielkie ilości informacji, które może odczytać pobliskie urządzenie. Chipy można między innymi wykorzystać do przechowywania danych klientów na karcie kredytowej lub upoważnionych osób do otwierania zamkniętych drzwi biurowych lub drzwi samochodowych w systemach "bezkluczykowych".

Ustawa kalifornijska wprowadza wyjątki w określonych sytuacjach awaryjnych, takich jak jako umożliwiające pracownikowi służby zdrowia zeskanowanie czyjejś karty zdrowia z aktywacją RFID, aby pomóc tej osobie. Ponadto policjanci mogliby przeglądać informacje o karcie RFID z nakazem.

Projekt ustawy został po raz pierwszy wprowadzony przez senatora stanu Kalifornia Joe Simitiana w 2006 r., A ostateczna wersja została podpisana w środę. Był wspierany przez wiele różnych grup, od Amerykańskiej Unii Wolności Obywatelskich po Armatorów Kalifornii.

Wcześniej w tym roku Waszyngton stał się pierwszym państwem, które uchwaliło prawo przeciwko kradzieży danych RFID. Waszyngton czyni z przestępstwa klasy C kradzież danych z karty RFID specjalnie w celu oszustwa, kradzieży tożsamości lub innych nielegalnych celów. Oznacza to, że jeśli zostanie skazany, przestępca może otrzymać karę grzywny w wysokości 10 000 USD i pięć lat więzienia.

Chociaż istnieją mechanizmy bezpieczeństwa, które emitenci kart RFID mogą stosować, aby utrudnić komuś kradzież danych Na wielu z nich nie ma ani nie jest tak źle, więc te przepisy mogą służyć jako środek odstraszający przed potencjalnymi hakerami.

Artykuł opublikowany niedawno przez Stanford Law Review opisał niepokojące przykłady badaczy bezpieczeństwa włamujących się do RFID systemy. W jednym przypadku naukowcy z Johns Hopkins University złamali kod szyfrowania na chipach Texas Instruments stosowanych w kartach paliwowych Exxon Mobil. Uzbrojeni w ten kod, laptop i proste urządzenie RFID, mogli za darmo wypełnić swoje zbiorniki gazem.

Artykuł Stanforda przytacza również pracę wykonaną przez badaczy zajmujących się bezpieczeństwem komputerowym w IO Active, pokazującą, jak łatwo mogli sklonować informacje przechowywane na kartach wejścia do budynku. W innym przykładzie opisanym w artykule naukowcy z Uniwersytetu Massachusetts wydali 150 USD na zbudowanie czytnika RFID i stwierdzili, że mogą czytać informacje takie jak nazwiska i inne dane przechowywane na kartach kredytowych z obsługą RFID. Okazało się, że dane były przechowywane na komercyjnie używanych kartach niezaszyfrowanych iw zwykłym tekście.

Gubernator Kalifornii w tym tygodniu zawetował inny powiązany rachunek wprowadzony przez Simitiana. Rachunek ten wymagałby od szkół uzyskania pisemnej zgody rodziców przed wydaniem uczniom kart RFID, które mogłyby zostać wykorzystane do rejestracji obecności lub śledzenia miejsca pobytu uczniów. Ustawa, opracowana po kontrowersjach, wybuchła w jednej kalifornijskiej szkole, która wydała uczniom karty RFID, również wymagałaby od szkół podjęcia pewnych kroków w celu ochrony prywatności uczniów.