Near Field Communication: איום הסייבר שאנו נושאים בכיסנו

(של אורציו דנילו רוסו)
29 / 11 / 21

כחלק מהפעילות למניעת התקפות על נכסי מידע תעשייתיים שבוצעו במהלך יריד בינלאומי שנערך לאחרונה, חוסר המודעות לסיכונים הכרוכים בשימוש המשתולל בכרטיסי ביקור אלקטרוניים, הידוע בדרך כלל במונח של כרטיס ביקור דיגיטלי חכם.

במקום החלפה מסורתית של כרטיסי מצגת מעודנים, למעשה, ישנה העדפה גוברת לשימוש בכרטיסים מגנטיים פלסטיים אלגנטיים (סוג כרטיס אשראי) הנושאים שבב ובתוכם פרטי ההתקשרות שלנו.

מתקרב לזה אסימון לסמארטפון של בן שיחו, אנו משדרים אוטומטית את הגרסה הדיגיטלית של כרטיס הביקור שלנו, וחוסכים בנייר, זמן ומקום.

הפונקציונליות מבוססת על תקן שידור הקרבה הנקרא NFC - תקשורת שדה קרוב: שיהיה ברור, אותה טכנולוגיה שמאפשרת בימינו תשלומים לסופר בטלפון נייד או קריאה אוטומטית של הדרכון בביקורת הגבולות.

בצד טקסי ורומנטי, אין ספק שהאופנה של ה כרטיס ביקור חכם מספק את הצורך במהירות, חסכון וכבוד לסביבה, ומבטל את השימוש בנייר; אך יחד עם זאת, הוא מסתיר איומי סייבר חדשים שצריכים להכיר ולהפחית על מנת להימנע מכך - במיוחד בהזדמנויות מפתות כמו ירידים, סמינרים וכנסים - שחקנים זדוניים יכולים לבצע התקפות סייבר, לגנוב נתונים אישיים, לעשות שירותי רשת אינם זמינים, מזייפים מסמכים או מחבלים במכשירים אלקטרוניים.

האיום גם נהנה מכמה תנאים מקדימים, בשל חוסר הידע של הטכנולוגיות ש"אתה נושא בכיס" וחוסר תשומת הלב הניתנת בדרך כלל לנושאי אבטחה ופרטיות. ניתן לדמיין באופן שגוי, למשל, שהקריאה הפשוטה של ​​תג אלקטרוני דרך רשת הקרבה של הטלפון שלנו אינה יכולה ליזום שום אוטומטיזם; יתרה מכך, רבים משוכנעים - וטועים - כי קיבולת רוחב הפס המוגבלת של טכנולוגיות אלו, בשילוב עם הצורך בהתקני תקשורת להיות במרחק של פחות מ-10 ס"מ, אינם מאפשרים חדירת מחשבים משמעותית.

יש להפריך את המיתוסים הללו. קודם כל, כעיקרון כללי, יש לקחת בחשבון שבכל פעם שדלתו של מכשיר אלקטרוני נפתחת - לא משנה אם היא קווית או רדיו - מוצעת לכל אחד אפשרות לניצול מרחוק. ובנוגע לטכנולוגיות NFC, ישנם מחקרים שמראים כיצד משטח ההתקפה המאפשר שימוש בשידורי קרבה הוא למעשה די גדול. הקוד שאחראי על ניתוח שידורי NFC מתחיל למעשה במנהלי התקנים של הליבה - הליבה של מערכת ההפעלה של המכשיר, המרכיב הקריטי ביותר מנקודת מבט אבטחה - ממשיך בשירותים המיועדים לניהול נתוני NFC ומסתיים ביישומים אשר לפעול לפי הנתונים האלה.

בעצם, ניתן דרך ממשק NFC לגשת לטלפון נייד וללא הסכמת המשתמש לפתוח דפי אינטרנט, לנתח קבצי תמונות, מסמכי אופיס, סרטונים, להפעיל אפליקציות וכו'. וניתן גם ליישם התקפות סייבר מסוג "ממסר", טקטיקות טיפוסיות של "אדם-באמצע" שבאמצעותן יורטו תעבורת הנתונים של אחרים באופן לא חוקי.

לכן סיכון האבטחה והפרטיות קיים ואינו מבוטל.

יש בעצם שלושה אמצעי נגד בטיחות חשמליים ואלקטרוניים. הראשון הוא להשתמש במכשירים ובאפליקציות עם פונקציונליות "תצוגה מקדימה ואישור" שתמיד דורשים אישור מראש של המשתמש לפני הפנייה מחדש לדף אינטרנט או ביצוע הוראות שעלולות להזיק במכשיר. אמצעי הזהירות השני הוא ל השבת את תכונות NFC כאשר אין צורך. לבסוף הזהירות האחרונה, שמפחיתה באופן דרסטי את הסיכון, היא להגן על הטלפון החכם מארז חוסם NFC: בתי מיגון המסוגלים להגן מפני קרינה אלקטרומגנטית בטווחי תדרים RFID ו-NFC. 

יש גם אמצעי נגד ארגוני: נוהג טוב להשתמש במכשירי "מלגזה" ביציאה לחו"ל שאינם מכילים מידע אישי או עבודה, ובכך להפחית את הסיכון לגניבת נתונים או פשרה.

מידע נוסף:

https://csrc.nist.gov/publications/detail/sp/800-98/final

https://ieeexplore.ieee.org/abstract/document/6428872

https://pages.nist.gov/mobile-threat-catalogue/lan-pan-threats/LPN-13.html#fn:33

https://www.welivesecurity.com/2012/04/23/qr-codes-and-nfc-chips-preview-and-authorize-should-be-default/