California face o crimă pentru a "scoate" etichetele RFID

În această săptămână, California a devenit cel de-al doilea stat care a adoptat o lege care face ilegal să fure date de pe carduri RFID (identificarea frecvențelor radio).

Legea stabilește o pedeapsă care include o amendă maximă de 1.500 USD și până la un an în închisoare pentru cineva condamnat pentru citirea cu ușurință a informațiilor de pe un card RFID.

Chipsurile RFID, folosite într-o varietate tot mai mare de aplicații din întreaga lume, stochează cantități mici de informații pe care un dispozitiv din apropiere le poate citi. Printre altele, jetoanele pot fi folosite pentru a stoca datele clienților pe un card de credit sau pentru a permite persoanelor autorizate să deschidă uși de birou încuiate sau uși de mașină în sisteme de intrare "fără cheie".

Proiectul de lege din California face excepții pentru anumite situații de urgență ca să permită unui lucrător din domeniul sănătății să scaneze cardul de sănătate cu ajutorul căruia funcționează RFID pentru a ajuta persoana respectivă. De asemenea, ofițerii de poliție ar avea permisiunea de a vizualiza informații cu privire la un card RFID cu un mandat.

Legea a fost introdusă pentru prima dată de senatorul statului California, Joe Simitian, în 2006, iar versiunea finală a fost semnată miercuri. Acesta a fost susținut de o mare varietate de grupuri, de la American Civil Liberties Union la proprietarii de arme din California.

La începutul acestui an, Washingtonul a devenit primul stat care a adoptat o lege împotriva furtului de date RFID. Washingtonul face o crimă de clasă C pentru a fura datele de pe o cartelă RFID în mod special în scopul fraudării, furtului de identitate sau a altor scopuri ilegale. Asta inseamna ca, daca este condamnat, un infractor ar putea primi o pedeapsa cu o amenda de 10.000 de dolari si cinci ani in inchisoare.

In timp ce exista mecanisme de securitate pe care emitentii de carduri RFID le pot folosi pentru a face mai dificil ca cineva sa fure date multe dintre ele nu fac sau fac asa de prost, astfel incat aceste legi ar putea contribui la descurajarea hackerilor.

O lucrare publicata recent de revista Stanford Law Review detaliaza cateva exemple alarmante de cercetatori de securitate care se hartuiesc in RFID sisteme. Într-un singur caz, cercetătorii de la Universitatea Johns Hopkins au spart codul de criptare pe cipurile Texas Instruments folosite în cardurile de gaze Exxon Mobil. Înarmați cu acest cod, un laptop și un dispozitiv RFID simplu, au reușit să-și umple rezervoarele cu gaz liber.

Hârtia Stanford citează, de asemenea, munca făcută de cercetătorii de securitate informatică la IO Active, care arată cât de ușor pot clona informațiile stocate pe cardurile de intrare a clădirii. Într-un alt exemplu descris în lucrare, cercetătorii de la Universitatea din Massachusetts au cheltuit 150 de dolari pentru a construi un cititor RFID și au constatat că pot citi informații cum ar fi numele și alte date stocate pe cardurile de credit activate cu RFID. Ei au descoperit că datele au fost stocate pe cardurile utilizate în mod necriptat și în text simplu.

Guvernatorul de la California a respins săptămâna aceasta un alt proiect de lege similar introdus de Simitian. Acest proiect de lege ar fi cerut școlilor să obțină consimțământul scris al părinților înainte de a emite carduri RFID studenților care ar putea fi folosite pentru înregistrarea participării sau pentru urmărirea locului studenților. Proiectul de lege, elaborat după controversa care a izbucnit la o școală din California care emite carduri RFID studenților, ar fi cerut școlilor să ia anumite măsuri pentru a proteja confidențialitatea studenților.