Na tohtoročnej konferencii Black Hat DC 2008 predstavil Adam Laurie, bezpečnostný odborník na RFID, svoj skript napísaný v mojom obľúbenom jazyku Python, ktorý umožňuje získať citlivé informácie z tzv. Smart Card platobných kariet (dostupné aj u nás, ako napríklad AMEX Blue).

Laurie na svojej prezentácii vyzval kohokoľvek v sále, kto je vlastníkom takejto karty, aby sa stal dobrovoľníkom v jeho demonštrácii. Bez toho, aby dobrovoľník vybral kartu z peňaženky bol Laurie schopný prečítať informácie na karte a tie potom zobraziť pred celou sálou. Informácie obsahovali meno majiteľa karty, alias (vysvetlené nižšie) číslo karty a expiračnú dobu karty. Táto demonštrácia podporila obavy odporcov RFID technológie, ktorí sú zásadne proti používaniu tejto technológie a snažia sa poukázať na potencionálne nebezpečie a jednoduché zneužitie. Bez toho, aby sa vás niekto čo i len dotkol je schopný zistiť údaje uložené v čipe, s ktorými môže napáchať veľké škody bez vášho vedomia (ak vám ukradnú peňaženku, aspoň to viete). U nás sa RFID čipy majú nasadzovať do nových pasov a obsahovať biometrické a identifikačné údaje majiteľa pasu. Technológia RFID sa masívne presadzuje a dnes je už možné nájsť niekoľko existujúcich implementácií vo svete, ako implantáty v ľudskom tele, terminály, ktoré umožňujú platiť za pomoci RFID čipov, pasové kontroly a samozrejme spomínané platobné karty.

Laruie potvrdil svoj rozhovor so spoločnosťou American Express, ktorej karta bola použitá na prednáške. Spoločnosť Amrican Express sa pri rozhovore vyjadrila: “Sme spokojný s bezpečnosťou nášho produktu”. Laurie bol taktiež upozornený, že číslo karty, ktoré zobrazil na demonštrácii nebolo číslo vytlačené na prednej strane platobnej karty, ale tzv. alias číslo, ktoré je používané pri bezdotykových platbách za použitia RFID čipov, čo Laurie potvrdil pri porovnávaní čísel dobrovoľníkovej karty a získaných údajov potom, ako ju vytiahol z peňaženky.

Ako sa vyjadrila Molly Faust, American Express’ Public Affairs representative, v emaily pre CNET News.com, “Druhé (alias) číslo získane z RFID čipu American Express’ ExpressPay karty nie je možné použiť pri online transakciách. ExpressPay má niekoľko bezpečnostných mechanizmov a spoločnosť American Express Neautorizuje/neoverí platbu len na základe tohoto čísla. Pri platbe je vyžadovaných niekoľko ďalších bezpečnostných mechanizmov, ktoré sú nutné pre úspešné vykonanie platby”. Aké to sú však neuviedla.

Spoločnosti, ktoré vyvíjajú a poskytujú platobné karty potvrdzujú, že RFID je technológia, ktorá ma zákazníkom uľahčiť proces platby a ušetriť im tak čas.

Extrémny príklad používania RFID je možné nájsť v Španielsku. Podľa Laurie-ho sú na verejnej pláži návštevníci povzbudzovaný k implantácií RFID čipov do ich tela (ľavé zápästie). Obchodníci pozdĺž celej pláže používajú skenery RFID, ktorými zoskenujú zápästie zákazníka kde ma implantovaný RFID čip a takto získajú informácie pre prevedenie prostriedkov z účtu zákazníka, ktorými platí za tovar a služby. Výhodou pre zákazníkov je strata povinnosti nosiť peňaženku na pláž, kde je každoročne okradnutých mnoho dovolenkárov.

Laurie je sám nositeľom implantovaného RFID čipu, na ktorom predviedol aké jednoduché je z neho nielen čítať, ale ho aj prepísať. Počas demonštrácie prepísal identifikátor svojho RFID čipu na identifikátor používaný pri značkovaní zvierat. Systém ho od tejto chvíle začal považovať za zviera. Laurie na svojej web stránke RFIDiot.org poskytuje informácie o RFID technológii, zoznam zariadení pre prácu s RFID a ich ceny, a taktiež sprístupnil vyššie zmienený python skript voľne na stiahnutie.

O RFID sa vedú dlhodobo vášnivé diskusie. Sám som veľmi skeptický k používaniu tejto technológie, bohužiaľ ju však asi čoskoro budeme používať na každom kroku.

Video popisuje osudy niekoľkých ľudí, ktorí prišli o množstvo peňazí pri odcudzení ich platobnej karty.