またしても Black Hat カンファレンスがあり、また脆弱性の暴露騒ぎがあった。 RFID技術が「安全でなく信頼できない」理由を説明するというIOActiveのクリス・パジェット氏の計画は、法的な壁にぶつかっている。
[特許侵害の申し立ての詳細については、下部にある午後 12 時 18 分の更新を参照してください]
またしても Black Hat カンファレンスがあり、また脆弱性の暴露騒ぎがあった。
RFID技術が「安全で信頼できない」理由を説明するというIOActiveのクリス・パジェット氏の計画が、セキュアカードメーカーのHID Corp.の影響で法的なつまずきに陥っている。 特許侵害の可能性を主張する書簡で異議を申し立てた。
InfoWorld の Paul Roberts 氏は、 報告 HID は、明日の Black Hat Federation デモに先立って IOActive に書簡を送り、同社が Paget 氏のプレゼンテーションを阻止しようとする可能性があることを強く示唆しました。
これまでのところ、Black Hat 会議の所有者である IOActive、Paget、または CMP Media に対して法的措置は講じられていません。 カンファレンスの主催者ジェフ・モス氏は「われわれは最悪の事態に備える用意がある」と語った。
HID の広報担当キャスリーン・キャロル氏は、IOActive に書簡が送られたことを認めた。
奇妙な展開として、キャロル氏は、HID は自社の RFID 近接カードがハッキング攻撃に対して脆弱であることを認識しているが、同社の主張はパジェット氏がリスクの深刻さを誇張しているということを認めた。 「これらのシステムはいたるところに設置されています。 HIDに限らず多くの企業で問題は起きていません。 今、会社の宣伝をしてみんなにそのやり方を教えようと言っている人がいますが、それは全員を危険にさらすことになります。 責任感はどこにあるの?」とキャロルは言った。
記事によると、HIDはパジェットのデモンストレーションが「近接カードの脆弱性を広め、多くの顧客を危険にさらす」ことを懸念しているという。
同氏は、同社がこれらのよく知られた脆弱性を修正しない理由については言及しなかった。
簡単なあらすじはこちら パジェット氏の予定されているプレゼンテーション:
初心者向けRFIDRFID タグはますます普及しています。 アクセス バッジから埋め込み型ベリチップに至るまで、RFID タグの用途はますます増えています。 ただし、セキュリティの世界では RFID を実際に理解している人はほとんどいません。 「ラジオ」の要素が邪魔になります。 このプレゼンテーションは、単一のチップである PIC16F628A をベースにして実用的な RFID クローンを設計および構築するための十分な情報を提供することで、そのギャップを埋めることを目的としています。
電子機器の初期知識がないことを前提として、電子機器を使用するために知っておく必要があるすべてのことを説明します。 動作するクローン作成ツールを構築し、それがどのように機能するかを理解し、RFID が非常に安全でない理由を正確に理解します。 信頼できない。 磁場からマンチェスター符号化まですべてをカバーするこのプレゼンテーションは、RFID システムの導入を検討している人に適しています。 RFID システムのハッキングを検討している人、または誘導結合、ASK 変調、後方散乱システムについてもう少し詳しく知りたい人 RFID。
Black Hat カンファレンスの主催者は、こうした欠陥開示に関する議論に対処することに慣れています。 2005 年 8 月、シスコは ハッカーマイケル・リンを告訴 Cisco IOS のホールについて議論し、終わりの見えない欠陥開示の議論を再燃させました。 昨年の Black Hat Federation での David Litchfield の「Breakable」プレゼンテーション オラクルからの反発を引き起こした 何ヶ月も修正されなかった重大な欠陥が露呈したからです。
[更新: 2007 年 2 月 27 日午後 12 時 18 分 (東部時間)]
IOActive 社長 Joshua Pennell、Black Hat 創設者 Jeff Moss との今朝の電話会議のハイライト。 IOアクティブ研究者のクリス・パジェット氏とノーザンACLU技術・市民的自由政策ディレクターのニコール・オーザー氏 カリフォルニア:
ジェフ・モス、ブラックハット:
Chris の講演を受け入れたとき、RFID のすべての原則とセキュリティへの影響についての素晴らしいデモで締めくくられる、本当に素晴らしい基礎的なプレゼンテーションだと思いました。 彼はその意味について話すだけでなく、それを示し、聴衆に何か視覚的なものを与えるつもりでした。
HID がこれに非常に興奮していたことには本当に驚きました。 それは雪だるま式に膨れ上がり、中止要求の手紙が出回る[マイケル・リン型]シナリオの色合いが濃くなってきた。 私は講演者に脅迫されるのが好きではないので、今の賢明なアプローチは、このスピードを上げている電車の邪魔にならないようにすることです。 CMP と Black Hat は HID の脅威にさらされていませんでしたが、IOActive に対する脅威に注意する必要があります。 彼らは小さなセキュリティ調査会社なので、私たちは彼らをサポートする必要があります。
つまり、番組からトークを引き出すことになります。 RFID セキュリティの重要性について、ACLU と別の研究者からの代替講演を交換します。
Josh Pennell、IOActive:
HID の特許については知りませんでした。 当社は彼らの知的財産権を完全に尊重しており、テクノロジーを検討している人には誰の特許も侵害しないよう強く推奨します。 この場合、私たちはセキュリティの観点から RFID を調査し、潜在的なリスクを理解するために研究開発の取り組みを開始しました。 私たちは、RFID の近接によって送信されるセキュリティ コードを読み取る可能性のある方法を発見しました。 これは新しい攻撃ではなく、以前に詳しく説明されています。 私たちは、これらの「代理」バッジが物理的セキュリティの最大かつ最終的なものではないということを一般の人々に知らせたかっただけです。
係争中の訴訟の脅威を考慮すると、私たちは会談をキャンセルせざるを得ませんでした。 HIDと交渉してみましたが、うまくいきませんでした。 妥協点がなかったため、交渉は終了した。 今朝5時まで12時間連続で頑張ったのですが、何も効果がありませんでした。 私たちの小さな会社をめぐる訴訟の脅威があるため、私たちのプレゼンテーションに関連することを先に進めて話すことはできません。
HID は法的主張を続けており、IOActive をより大きなリスクにさらしています。 私たちの目的は常に、セキュリティ リスクについてさらに調査を進めることでした。 私たちはこれまでも常に責任を持って行動してきましたし、今後も責任を持って行動します。
[注記: IOActive は、Microsoft がこの活動を行うために雇用した企業の 1 つでした。 サードパーティによる Windows Vista に対する侵入テスト攻撃.
Chris Paget、IOActive
この問題は、私が約 20 ドル相当の既製の電子部品を使って構築したデバイスに関するものです。 ほとんどの部品は eBay から入手しました。 それはまったく複雑ではありません。実際、75 分のプレゼンテーションでそれについてすべて説明するつもりでした。
組み立てには約 1 か月かかりましたが、その中には(AM ラジオの組み立ての)電子工学を学び直す時間も含まれていました。 私たちの懸念は、重要な国家インフラがこの近接技術によって保護されている一方で、いくつかの重大な問題があることです。 私たちの目的は、人々が RFID テクノロジーの使用に伴うリスクについて十分な情報に基づいた意思決定ができるように、情報を広めることです。
私たちは、HID によって法的脅しにより、その議論を妨げられてきました。
この問題が完全に解決するまで、クローン作成者を信託します。
[注記: アップルの共同創設者スティーブ・ウォズニアック パジェットのクローン作成者のプロトタイプを所有している. 訴訟が係争中であるにもかかわらず、そのデバイスの将来について尋ねられると、ペネル氏は「ノーコメント」と答えた。
ニコール・オザー、ACLU
私たちは特許法の施行を全面的に支持しますが、言論の自由は保護されなければなりません。 私たちは、知的財産法の過度の使用によって特定の権利が踏みにじられることを許すことはできません。 IOActive にこのプレゼンテーションを行わないようにすることは、最も重大な結果をもたらします。 国土安全保障省は、RFIDチップを含む、運転免許証にどのような種類の機械可読技術を含めるかを規定するRealID規制を発表すると予想されている。 ここでは、プライバシーとセキュリティに実際の影響が生じます。
この種の研究は重要です。 身分証明書に RFID タグを使用すると、街を歩いているとき、政治集会に参加しているとき、 など、RFID スキャナを持っている人は誰でも、安全ではない RFID チップに保存されている個人情報を、ターゲットにされることなく読み取ることができます。 知っていること。 その情報は、あなたの動きを不適切に追跡したり、名前や住所などの個人情報を取得したりするために悪用される可能性があります。 深刻な影響を伴う、本当に深刻な問題が存在します。
ジェフ・モス、ブラックハット:
HID の行為はカンファレンス ビジネスにとって脅威です。 すべてが無意味になり、議論できるすべてのことが製品メーカーのセールスシートから得られるようになるでしょう。 私はそれがまったく好きではありません。セキュリティ研究にとっては良い前兆ではありません。
セキュリティ業界にはある程度の礼儀正しさが必要です。 豊富なリソースを持った企業が小規模な研究者に対して弁護士を派遣するのは、まったく善意とは言えません。 シスコにとっては(マイケル・リン論争で)大混乱となったが、他の企業はまだその教訓を学んでいない。
すべての研究がどこかの特許を侵害していると主張することもできます。 これはカンファレンスビジネス全体を脅かします。 近いうちに、私は債券を発行した人々か、法的脅威を阻止するためのリソースを持っている巨大企業からのスピーチのみを受け入れなければならなくなるでしょう。
私たちは HID の脅威にさらされていませんでした。 しかし、私たちは IOActive を全面的にサポートする必要があるため、問題が迫っていると彼らが言ったとき、私たちは話を中止し、会議資料をすべて削除することにしました。
まるでまたデジャヴのようでした。 私たちは会議ハンドブックのページを切り取らなければなりませんでした。 ジョシュは数日前に通知を受けましたが、多くの選択肢を考える時間がありませんでした。 土壇場で爆弾を投下したのが HID の戦略の一部だったのかどうかはわかりませんが、これは独立したセキュリティ研究の将来にとって良い前兆ではなく、それが私を本当に怒らせます。
[注記: HID が 2 件の特許侵害を主張 -- #5,041,826 そして #5,166,676. 特許に記載されている発明者である Thomas Milheiser は、3 番目の RFID 関連特許も取得したとされています (#4,730,188)