Tips from our engineers - RFID Labels Printing and Encoding
Deze week werd Californië de tweede staat die een wet goedkeurde waardoor het illegaal is om gegevens te stelen van RFID-kaarten (radio frequency identification).
De wet stelt een boete op die een maximumboete van US $ 1.500 omvat en tot maximaal een jaar in de gevangenis voor iemand die veroordeeld is voor heimelijk lezen van informatie van een RFID-kaart.
RFID-chips, gebruikt in een groeiend aantal toepassingen wereldwijd, slaan kleine hoeveelheden informatie op die een apparaat in de buurt kan lezen. De chips kunnen onder andere worden gebruikt om klantgegevens op te slaan op een creditcard of geautoriseerde personen toestaan om gesloten kantoordeuren of autodeuren te openen in "keyless" toegangssystemen.
De Californische factuur maakt uitzonderingen voor bepaalde noodsituaties, zoals omdat het een gezondheidswerker toestaat iemands RFID-kaart met gezondheidsstatus te scannen om de persoon te helpen. Ook zouden politieagenten informatie over een RFID-kaart met een bevelschrift mogen bekijken.
De rekening werd voor het eerst geïntroduceerd door de staatssecretaris van Californië, Joe Simitian in 2006, en de definitieve versie werd woensdag ondertekend. Het werd ondersteund door een grote verscheidenheid aan groepen, variërend van de American Civil Liberties Union tot de Gun Owners van Californië.
Hoewel er veiligheidsmechanismen zijn die uitgevers van RFID-kaarten kunnen gebruiken om het moeilijker te maken voor iemand om gegevens te stelen opgeslagen, velen doen dat niet of doen het zo slecht, dus deze wetten kunnen als afschrikking dienen tegen potentiële hackers.
Een artikel dat onlangs werd gepubliceerd door de Stanford Law Review, beschreef enkele alarmerende voorbeelden van beveiligingsonderzoekers die RFID hackten systemen. In één geval kraakten onderzoekers van de Johns Hopkins University de encryptiecode op Texas Instruments-chips die worden gebruikt in Exxon Mobil-gaskaarten. Gewapend met die code, een laptop en een eenvoudig RFID-apparaat, waren ze in staat om hun tanks gratis te vullen met gas.
Het Stanford-paper haalt ook werk aan van computerbeveiligingonderzoekers van IO Active, die laten zien hoe gemakkelijk ze informatie konden klonen opgeslagen op toegangskaarten voor gebouwen. In een ander in de krant beschreven voorbeeld gaven onderzoekers van de Universiteit van Massachusetts $ 150 uit om een RFID-lezer te bouwen en ontdekten ze dat ze informatie zoals namen en andere gegevens die op RFID-compatibele creditcards waren opgeslagen, konden lezen. Ze ontdekten dat gegevens op niet-versleutelde en niet-gecodeerde kaarten op de in de handel verkrijgbare kaarten waren opgeslagen. Californië's gouverneur verklaarde deze week zijn veto over een andere gerelateerde factuur die ook door Simitian was geïntroduceerd. Die rekening zou scholen verplichten om schriftelijke toestemming van de ouders te krijgen alvorens RFID-kaarten aan studenten uit te geven die zouden kunnen worden gebruikt voor het registreren van de aanwezigheid of het volgen van de verblijfplaats van de studenten. De rekening, opgesteld nadat de controverse uitbrak op een school in Californië die RFID-kaarten aan studenten gaf, zou scholen ook verplichten om bepaalde stappen te nemen om de privacy van studenten te beschermen.