Kalifornien macht es zum Verbrechen RFID Tags zu "überfliegen"

In dieser Woche hat Kalifornien als zweiter Bundesstaat ein Gesetz verabschiedet, das den Diebstahl von Daten von RFID-Karten (Radio Frequency Identification) verbietet.

Das Gesetz sieht eine Strafe vor, die eine Geldbuße von bis zu US $ 1.500 und bis zu US $ 1.500 beinhaltet ein Jahr im Gefängnis für jemanden, der verurteilt wurde, Informationen heimlich von einer RFID-Karte gelesen zu haben.

RFID-Chips, die in einer wachsenden Vielfalt von Anwendungen weltweit verwendet werden, speichern kleine Mengen an Informationen, die ein Gerät in der Nähe lesen kann. Die Chips können unter anderem verwendet werden, um Kundendaten auf einer Kreditkarte zu speichern oder autorisierten Personen zu ermöglichen, verschlossene Bürotüren oder Autotüren in "schlüssellosen" Zugangssystemen zu öffnen.

Die kalifornische Rechnung macht Ausnahmen für bestimmte Notfallsituationen, wie z wie es einem Mitarbeiter im Gesundheitswesen erlaubt, die RFID-fähige Gesundheitskarte einer Person zu scannen, um der Person zu helfen. Polizeibeamte könnten auch Informationen auf einer RFID-Karte mit einem Haftbefehl einsehen.

Der Gesetzentwurf wurde erstmals von Senator Joe Simitian aus Kalifornien im Jahr 2006 eingeführt, und die endgültige Fassung wurde am Mittwoch unterzeichnet. Es wurde von einer Vielzahl von Gruppen unterstützt, die von der American Civil Liberties Union bis zu den Waffenbesitzern Kaliforniens reichen.

Anfang dieses Jahres hat Washington als erster Staat ein Gesetz gegen den Diebstahl von RFID-Daten verabschiedet. Washington macht es zu einem Verbrechen der Klasse C, Daten von einer RFID-Karte speziell für den Zweck von Betrug, Identitätsdiebstahl oder anderen illegalen Zwecken zu stehlen. Das bedeutet, dass ein Verbrecher, wenn er verurteilt wird, eine Geldstrafe von bis zu $ ​​10.000 und fünf Jahren Gefängnis erhalten kann.

Es gibt Sicherheitsmechanismen, die Emittenten von RFID-Karten einsetzen können, um das Stehlen von Daten zu erschweren Die Gesetze, die auf ihnen gespeichert sind, tun es nicht oder tun es nicht so gut, so dass diese Gesetze als Abschreckung gegen mögliche Hacker dienen könnten.

Ein kürzlich veröffentlichter Artikel des Stanford Law Review beschreibt einige alarmierende Beispiele von Sicherheitsforschern, die sich mit RFID beschäftigen Systeme. In einem Fall knackten Forscher der Johns Hopkins University den Verschlüsselungscode von Texas Instruments-Chips, die in Exxon Mobil-Gaskarten verwendet wurden. Mit diesem Code, einem Laptop und einem einfachen RFID-Gerät konnten sie ihre Tanks kostenlos mit Gas füllen.

Das Stanford-Papier zitiert auch die Arbeit von Computer-Sicherheitsforschern von IO Active, die zeigten, wie einfach Informationen geklont werden können gespeichert auf Gebäudeeintrittskarten. In einem anderen Beispiel beschrieben Forscher von der Universität von Massachusetts 150 $, um ein RFID-Lesegerät zu bauen und fanden heraus, dass sie Informationen wie Namen und andere Daten lesen konnten, die auf RFID-fähigen Kreditkarten gespeichert waren. Sie fanden heraus, dass die Daten unverschlüsselt und im Klartext auf den kommerziell genutzten Karten gespeichert waren.

Der kalifornische Gouverneur hatte in dieser Woche ein anderes, ebenfalls von Simitian eingeführtes Gesetz abgelehnt. Diese Gesetzesvorlage hätte verlangt, dass die Schulen die schriftliche Zustimmung der Eltern eingeholt hätten, bevor sie RFID-Karten an Studenten ausgegeben hätten, die für die Aufzeichnung der Anwesenheit oder die Verfolgung des Aufenthaltsortes der Schüler verwendet werden könnten. Die Gesetzesvorlage, die nach einer Kontroverse in einer kalifornischen Schule entworfen wurde, die Schüler mit RFID-Karten ausstattete, hätte auch verlangt, dass die Schulen bestimmte Schritte unternahmen, um die Privatsphäre der Schüler zu schützen.