Jednym z wielu bodźców stymulujących postęp cywilizacyjny dzisiejszego społeczeństwa informacyjnego jest wdrażanie nowych technologii do zastosowań w przemyśle i życiu codziennym. Mają one służyć człowiekowi i sprawiać, by mógł on swobodnie funkcjonować. Stosowanie nowych technologii niesie za sobą wiele korzyści, ale też i wiele nowych zagrożeń, na które niejednokrotnie nie jesteśmy przygotowani lub też świadomie je ignorujemy. W przypadku systemów automatycznej identyfikacji RFID są to przede wszystkim zagrożenia związane z ochroną zdrowia i prywatnością użytkowników, a także bezpieczeństwem środowisk informatycznych wykorzystujących technologie RFID.
Grupa robocza Parlamentu Europejskiego ds. oceny technologii w swym raporcie dużo uwagi poświęca zagrożeniom stwarzanym przez technologię RFID w aspekcie ochrony danych osobowych. Wiemy, że dane te stanowią szczególny rodzaj informacji i utrata ich poufności może nieść za sobą wiele przykrych następstw. Ze względu na możliwość skrytego odczytu i modyfikacji danych zawartych w identyfikatorze radiowym stosowanie RFID do wymiany i przechowywania danych osobowych nie wydaje się być dobrym pomysłem. Dlatego też raport krytykuje zalecenie Komisji Europejskiej wprowadzenia w krajach Unii paszportów z układem RFID. Miałyby one zawierać, oprócz podstawowych danych dotyczących właściciela, również jego cyfrową fotografię, a w przyszłości także dane biometryczne (profil DNA, obraz: linii papilarnych, kształtu twarzy, tęczówki oka). Sceptycy obawiają się też tego, że informacja biometryczna przechowywana w różnych systemach bazodanowych (dla celów weryfikacji) może być wykorzystywana niezgodnie z przeznaczeniem.
Problem ochrony danych osobowych dotyczy także możliwości zbierania i nadużywania różnego rodzaju wzorców zachowań przez firmy, rządy i inne instytucje, za pomocą analizy śladów, jakie pozostawiają użytkownicy w środowisku RFID. Mogą być to informacje dotyczące naszej lokalizacji, preferencji, wydajności pracy, zwyczajów, upodobań itp. Przykładem takiego działania jest umieszczenie metek RFID w kartach lojalnościowych niemieckiej sieci marketów Metro, gdzie system automatycznej identyfikacji rejestrował i analizował przemieszczanie się klientów na terenie sklepu.
Technologia RFID może także służyć zorganizowanym szajkom złodziei do namierzania w naszych domach interesujących ich przedmiotów. Za pomocą odpowiednio czułego sprzętu będzie można zeskanować cały dom i na podstawie odczytanych metek RFID ustalić, jaki sprzęt znajduje się w środku. Oczywiście podczas zakupu w kasie sklepowej identyfikatory radiowe powinny być dezaktywowane poleceniem „kill”, ale jak na razie nie ma aktów prawnych, które nakładałyby na sprzedawców taki obowiązek. Poza tym klient nie zawsze będzie miał świadomość obecności identyfikatora, który może być ukryty wewnątrz opakowania lub artykułu.
Innym bardzo poważnym zagrożeniem ze strony technologii RFID może być możliwość infekowania przez etykiety radiowe systemów informatycznych i bazodanowych. Wirusy przenikające ze środowiska RFID do systemów nadrzędnych mogą mieć na celu wywołanie określonych działań tychże systemów lub ich całkowity paraliż. W przypadku lotnisk wykorzystujących etykiety RFID do kontroli bagażu mogłoby to umożliwić przemyt narkotyków bądź wprowadzenie na pokład samolotu bomby. W marketach za pomocą zainfekowanych metek można byłoby wpływać na cenę lub sposób naliczania określonych towarów. To tylko dwa przykłady scenariuszy z opublikowanego w 2007 roku uniwersyteckiego raportu RFID Viruses and Worms. Jego autorzy ostrzegają, że pojawienie się wirusów zagnieżdżonych w etykietach RFID to tylko kwestia czasu.
Metodę wprowadzenia wirusa do identyfikatora RFID opracował już zespół naukowców z holenderskiego Vrije Universiteit. Udało się to na razie w specyficznych warunkach, które stworzono na potrzeby napisania wirusa. Holenderscy badacze twierdzą, iż założenie przez twórców technologii radiowej, że podczas pobierania informacji z identyfikatora nie będzie możliwa modyfikacja oprogramowania kontrolującego cały proces jest dużym błędem. Badania prowadzone przez naukowców mają na celu opracowanie odpowiednich zabezpieczeń, które w przyszłości pozwolą skutecznie chronić systemy wykorzystujące technologię RFID przed atakami z zewnątrz.
Przed możliwością złamania haseł standardowych metek radiowych ostrzega też znany izraelski informatyk, kryptograf, współtwórca algorytmu RSA, profesor Adi Shamir. Przeprowadził on eksperyment, w którym za pomocą anteny kierunkowej podłączonej do oscyloskopu monitorował fluktuacje energii podczas transmisji pomiędzy czytnikiem a identyfikatorem. Okazało się, że charakterystyka emitowanego sygnału jest zależna od tego, czy chip otrzymywał poprawne, czy niepoprawne hasło. Metoda ta pozwoliła określić, które z transmitowanych bitów informacji są rozpoznawane jako właściwe elementy hasła. Naukowiec przyznał, że wszystkie funkcje i składniki potrzebne do przeprowadzenia podobnego eksperymentu są dostępne w standardowym telefonie komórkowym. Możliwość włamywania się do identyfikatorów radiowych może okazać się przydatna złodziejom sklepowym. Uzbrojeni w czytnik i komputer kieszonkowy zmodyfikują kod towaru tak, aby przy bezobsługowej kasie sklepowej np. aparat cyfrowy był rozpoznawany jako karton mleka.
Ostatnio coraz więcej uwagi poświęca się wpływowi promieniowania elektromagnetycznego na organizm człowieka. Mimo, iż badania prowadzone w tym kierunku z wiadomych przyczyn nie są popularne, a ich wyniki mogą być celowo utajniane, wielu z nas ma świadomość, że używanie np. telefonu komórkowego, bezprzewodowego dostępu do Internetu czy choćby kuchenki mikrofalowej nie jest obojętne dla naszego zdrowia.
Implanty RFID, wszczepiane ludziom w celach identyfikacyjnych (ochrona dzieci) czy usprawniających system leczenia, budzą wiele kontrowersji zarówno z przyczyn etycznych, jak i ze względu na możliwość szkodliwego oddziaływania. Według agencji Associated Press przeprowadzone w ostatnich kilku latach badania dowodzą, że wszczepienie chipów RFID zwierzętom mogło zwiększać ryzyko zachorowania na nowotwory. Chociaż wyniki badań nie są jednoznaczne, naukowcy ostrzegają, że może istnieć związek między tagiem RFID a pojawieniem się nowotworowych schorzeń u badanych szczurów i myszy. Zalecają wstrzymanie się z wszczepianiem implantów ludziom do czasu zakończenia długoterminowych testów na większych zwierzętach. Dr Robert Benezra z nowojorskiego centrum onkologicznego Memorial Sloan-Kettering Cancer Center w rozmowie z dziennikarzami agencji Associated Press powiedział, że nigdy w życiu nie zgodziłby się na instalację chipu RFID u siebie lub kogokolwiek z jego rodziny. Natomiast Scott Silverman, szef firmy VeriChip produkującej implanty RFID, odpowiada, że nic mu nie wiadomo o wynikach badań świadczących o szkodliwym wpływie implantów na organizmy żywe. Produkty VeriChip zostały zaakceptowane przez amerykańską rządową agencję ds. żywności i leków FDA (ang. Food and Drug Administration) w 2004 roku. Pozytywna opinia wydana przez FDA dla danego produktu spożywczego lub leku jest uznawana także poza USA za wyznacznik jakości i potwierdzenie niestwierdzenia negatywnego wpływu na zdrowie.
W raporcie Amerykańskiego Stowarzyszenia Medycznego AMA (ang. American Medical Association), który podsumowuje szereg testów i analiz dotyczących wszczepiania ludziom implantów RFID, czytamy, że implanty te mogą stanowić fizyczne zagrożenie z uwagi na możliwość przemieszczania się ich pod ludzką skórą. Może to sprawić, że ich usunięcie będzie bardzo trudne, a w niektórych przypadkach wręcz niemożliwe. Innym zagrożeniem, na które zwracają uwagę autorzy raportu, jest możliwość zakłócania pracy aparatury medycznej (np. rozruszników serca) przez interferencje elektromagnetyczne spowodowane implantami radiowymi.
A zatem, choć oficjalnych dowodów na szkodliwe działanie implantów RFID nie ma, to i tak, podobnie jak to jest w przypadku telefonów komórkowych, większość z nas podejrzewa ich szkodliwy wpływ i świadomie się na to zgadza. Nie sądzę jednak, aby w dniu dzisiejszym było możliwe wprowadzenie w którymkolwiek z państw prawnego obowiązku wszczepiania identyfikatorów radiowych ludziom.
Podsumowanie
Identyfikacja radiowa jest technologią, której znaczenie będzie rosło w miarę jej rozwoju. Już teraz jest ona przedmiotem politycznego zainteresowania, gdyż bardzo szybko może stać się nowym motorem wzrostu gospodarczego i tworzenia miejsc pracy. Przewiduje się, że powszechne stosowanie RFID umożliwi osiągnięcie znacznych korzyści w procesach biznesowych zarówno w sektorze publicznym, jak i prywatnym. Identyfikacja radiowa wzbudza dziś wiele kontrowersji. Jesteśmy świadkami batalii, w której z jednej strony stają rząd, firmy i instytucje, z drugiej zaś obrońcy prywatności i praw człowieka. Jest rzeczą oczywistą, że identyfikacja radiowa musi być wykorzystywana w sposób akceptowany społecznie i politycznie, dopuszczalny etycznie i dozwolony prawem. Konieczne jest zatem stworzenie jasnych i przewidywalnych ram polityczno-prawnych, pozwalających na skrupulatną kontrolę wykorzystywania RFID. Twórcy tej technologii muszą dołożyć wszelkich starań, aby była ona bezpieczna i odporna na wszelkie próby ataków. Należy także zwrócić szczególną uwagę na to, aby końcowi użytkownicy byli świadomi zagrożeń, jakie niesie ona ze sobą, co pozwoli zminimalizować negatywne skutki jej użytkowania.
Przemysław Mierzwiak
Instytut InżynIerii Systemów Bezpieczeństwa
Literatura:
- www.ama-assn.org
- www.networld.pl
- www.rfidvirus.org - RFID Viruses and Worms
- www.washingtonpost.com – Chip Implants Linked to Animal Tumors
- Opinia Europejskiego Komitetu Ekonomiczno-Społecznego w sprawie identyfikacji radiowej RFID – (2007/C 256/13)
Zabezpieczenia 3/4/2008