Помните кинофильм «Терминатор» и прочие страшилки из ближайшего будущего? Пристегните ремни, под катом пара реальных историй про людей, добровольно вживляющих себе под кожу различные чипы. Конечно же, в нашей стране тоже есть доморощенные киборги, но давайте посмотрим, как оно развивается на Западе.
Когда компания Three Square Market, расположенная в Висконсине,
предложила своим сотрудникам денежное вознаграждение, если они добровольно позволят имплантировать себе микрочип, интернет был потрясён. Но всего за несколько дней до так называемой «чип-вечеринки» в штаб-квартире TSM, участники хакерской конференции
DEFCON нетерпеливо выстроились в очередь и сами платили за внедрение микрочипа под кожу между большим указательным пальцами своих рук.
Два этих противоречивых события поднимают вопрос: не являются ли эти чипы-имплантаты шагом к инвазивной утопии, в которой работодатели отслеживают каждое движение своих работников? Или это просто лёгкий способ входа в аккаунты и открывания дверей щелчком пальцев? Благодаря небольшому, но растущему количеству людей (от 50 тыс. до 100 тыс. человек по оценкам биохакинговой компании
Dangerous Things), отважившихся на эту авантюру, общество может скоро узнать ответ на свой вопрос.
Что представляют собой эти микрочипы?
Микрочипы-имплантаты — это маленькие цилидрики из несодержащего свинца боросиликатного стекла, либо биологически нейтрального стекла Schott 8625 на основе натриевой извести, содержащие микрочип, биологически нейтральную эпоксидную смолу и медную катушку-антенну. Микрочипы, имплантируемые и животным, и людям, не имеют встроенного источника энергии и питаются от внешнего электромагнитного поля. То есть они инертны до тех пор, пока не поднести к ним считывающее устройство — источник ЭМ-поля.
Эти имплантаты часто относят к RFID, но под этим термином скрывается очень широкий спектр частот, устройств, протоколов и интерфейсов. RFID-устройства делятся на три частотных группы: низкочастотную (125 и 134 кГц), высокочастотную (13,56 МГц) и сверхвысокочастотную (UHF) (800-915 МГц). Чипы для имплантации обычно относятся к первой или второй группе. RFID-чипы идентифицируются с помощью радиоволн, и NFC-чипы относятся к высокочастотным.
Компания Biohax, имплантирующая сотрудникам TSM NFC-чипы, и другие компании, вроде Dangerous Things, позволяют пользователя выбирать, к примеру, между RFID и NFC-чипам. Обычно RFID-устройства используют как замену ключам и паролям, чтобы входить в дома, открывать и заводить машины или входить в ОС ноутбука. Также NFC-метки можно использовать, помимо прочего, для хранения vCards или адресов биткоин-кошельков. В Швеции компания Biohax стала партнёром железнодорожных компаний и её чипы можно использовать для хранения информации о билетах. Также можно программировать чипы как другие устройства или триггеры, чтобы, к примеру, коснуться телефона и позвонить жене.
xEM-чипы компании Dangerous Things, работающие на частоте 125 кГц, эмулируют распространённые низкочастотные чипы типа EM41xx, имеют программируемую память и базовые функции обеспечения безопасности, так что вы можете запрограммировать их или клонировать EM- или HID-мтеки, вроде идентификационных карт ProxMark II. Их xNT-чипы, работающие на частоте 13,56 Мгц, построены на базе чипа NTAG216. У них есть 888 байтов программируемой памяти и 32-битная парольная защита, они совместимы с NFC. Микрочипы xMI, работающие на частоте 13,56 Мгц, имеют 769 байтов программируемой пользовательской памяти и поддерживают защитные функции Crypto1; эти чипы подходят только некоторых NFC-устройств. Микрочипы xIC имеют 128 байтов программируемой памяти, но лишены всяких функций защиты; чипы тоже подходят только для некоторых NFC-устройств.
В Dangerous Things микрочипы-имплантаты часто называют транспондерами — приёмопередатчиками. Но Тара Уилер, исследователь в сфере информационной безопасности, советник по безопасности в Red Queen Technologies и специалист по кибербезопасности в New America, считает этот термин неточным применительно к не имеющей своего источника питания магнитной памяти вроде USB-флешек или имплантируемых микрочипов. У чипов нет своей батарейки и есть крохотные антеннки, при этом чипы на самом деле ничего не передают: «Вам повезёт, если сможете считать чип хотя бы за 30 см. На практике нужно его практически коснуться».
Риски для здоровья
Сегодня микрочипы настолько безопасны, что могут использоваться для маркировки ваших собак и кошек. Опаснее проколоть ухо для пирсинга, ведь имплантаты рубцуются гораздо быстрее, в течение часов. Однако Амал Граафстра предупреждает, что если вы имплантируете чип самостоятельно и пренебрегаете обеззараживанием, то рискуете получить заражение. Изредка даже подхватить MRSA — разновидность стафилококка, который уже стал устойчивым ко многим антибиотикам и может привести к смерти. Риск заражения ниже, если чип устанавливает опытный специалист по пирсингу с необходимыми инструментами и процедурой обеззараживания. К слову, устройства компании X-series обычно продаются уже вставленными в стерильное приспособление для имплантации.
После установки вокруг чипа может появиться припухлость и даже синяк, которые проходят через несколько дней. Инкапсуляция чипа соединительной коллагеновой тканью занимает 2-4 недели, и в течение двух лет ещё может возникать временный зуд или ощущение сдавливания, пока тело заживает вокруг чипа.
Согласно данным Dangerous Things, после того, как вокруг чипа окончательно сформировался рубец, его уже нельзя почувствовать под кожей, и у большинства людей он не выступает, пока не обхватишь ладонью что-нибудь большое. Если нажать на чип через кожу чем-нибудь твёрдым, то может быть немного больно, но просто не надо ничем нажимать.
Самые дешёвые микрочипы Dangerous Things помещены в корпуса из биологически нейтрального стекла. Они имплантируются под кожу между большим и указательным пальцами. Хотя чипы стеклянные, вероятность разрушения внутри тела невелика.
Имплантируемые микрочипы не являются помехой для проведения магниторезистивной томографии, они не определяются металлодетекторами или сканерами в аэропортах. А если вы решите, что чип вам больше не нужен, то его нетрудно вытащить. Чипы для животных покрывают биобондом (biobond) или париленом (parylene), но чипы для людей ничем не покрывают, поэтому извлекать их быстрее. К примеру, в 2004-м компания Verichip предложила имплантируемый микрочип для разблокирования личных медицинских карт. Он внедрялся в трицепс и был покрыт биобондом. Извлечение не предусматривалось, и вытащить микрочип можно было лишь с помощью болезненной операции, оставляющей шрам. Но современные микрочипы уже подразумевают быстрое и комфортное извлечение.
Как рассказывает Граафстра, некоторые люди жалуются ему, что им имплантировали чип против их воли. Они говорят, что микрочип заставляет их слышать голоса, или видеть вспышки света, или испытывать иные галлюцинации. Иногда причина в недиагностированных психических расстройствах, а иногда следствие запугиваний мошенниками, предлагающими услуги по выявлению и удалению чипов. Если бы существовал настолько продвинутый нейроинтерфейс, он превратился бы в священный грааль для интерфейсов «компьютер-мозг». На самом деле самые лучшие современные нейроинтерфейсные имплантаты способны делать лишь чуть больше, чем общаться с несколькими нейронами. Граафстра даже провёл расследование по некоторым случаям и опубликовал результаты. Теперь, когда кто-нибудь приходит к нему и говорит, что из-за чипа слышит голоса или видит свет, Граафстра рекомендует обратиться к врачу, желательно — к невропатологу.
Риски с точки зрения безопасности
Если вы скептически относитесь к чипам-имплантатам, то вряд ли из-за возможных проблем со здоровьем. Голливуд и телевидение часто рассказывают, как устройства отслеживания используются для охоты за людьми. Но как может подтвердить каждый, кто терял домашнее чипованное животное, с помощью чипа невозможно никого отследить.
Чипы могут помочь идентифицировать, к примеру, животное в приюте или ветеринарной лечебнице, но в чипах нет GPS. И невозможно волшебным образом втайне впихнуть GPS в чип. Имплантируемому устройству, имеющему функцию отслеживания, нужен источник питания, который необходимо регулярно менять/перезаряжать. А у современных чипов батарейки нет, так что для считывания данных придётся прижать ладонь к считывающему устройству. К тому же сам имплантат должен быть довольно большим, чтобы получать сигнал GPS-спутников и передавать данные позиционирования по сотовой сети, Wi-Fi или ещё как-то.
Чисто теоретически возможно отследить человека с помощью его биомодификаторов, но в реальности это совершенно непрактично. Злоумышленнику придётся поместить в человека метку в определённом месте, а затем сделать устройство, генерирующее достаточно сильное электромагнитное поле, чтобы чип работал на большом расстоянии. Затем злодею придётся покрыть считывателем каждый квадратный сантиметр той части тела, куда запрятан чип. Не существует ещё экономической модели, оправдывающей такие усилия, особенно когда есть куда более простые и дешёвые способы отслеживания, вроде камер или банальной слежки на своих двоих. К тому же в карманах у нас лежат мобильные телефоны, которые достаточно легко взломать. А компании обычно могут читать вашу рабочую почту и с разной точностью отслеживать местонахождение любого, кто носит ноутбук или планшет, подключённый к корпоративной сети.
Второй большой страх по поводу чипов-имплантатов связан с традиционным хакингом. Потенциальной угрозе заражения чипов вирусом уделяется много внимания. В 2010-м британец Марк Гассон намеренно заразил RFID-чип в своей руке, чтобы посмотреть, сможет ли он передать вирус внешнему контрольному устройству. Ему это и впрямь удалось, но для успешной атаки по SQL-внедрению пользователь должен сканировать чип сначала вредоносным считывателем, а затем считывателем, который должен получить данные с карты доступа и без проверки передать их прямо в базу бэкенда.
Хакер Сет Уэйл с помощью NFC-чипа провёл URL-атаку на браузерную уязвимость, заставив Android-смартфоны открыть ссылку, подключавшую устройства к удалённому компьютеру. На ноутбуке Уэйл с помощью приложения Metasploit для ручного тестирования заставил смартфон сфотогрофировать самого Уэйла. Хотя он использовал NFC-технологию, хакер смог легко отправить вредоносный URL на телефон-жертву.
Помимо этих паркетных доказательств возможности атаки есть боязнь атак клонированием, особенно когда имплантируемые чипы используются вместо ключей или карт доступа. Вряд ли кто-то решит влезть в чужой дом таким способом, когда можно просто разбить окно, вскрыть замок отмычкой или даже сфотографировать хозяйский ключ. Клонированием чипов могут заняться разве что, если цель атаки — компания, а не частное лицо, и имплантируемое устройство, спроектированное для персонального использования, может быть лёгкой жертвой.
Иными словами, можно скопировать карты доступа и даже с расстояния сканировать RFID-чип.
Компании часто просят сотрудников после работы класть свои рабочие бейджи в непроницаемые для радиоволн чехлы или в сейф, но многие не снимают бейджи даже в баре, или просто кладут в карман. И многие корпоративные карты доступа тоже уязвимы для клонирования. Хотя многие карточные системы были спроектированы десятилетия назад, компании продолжают упорно их использовать из-за обратной совместимости и десятков тысяч долларов, потраченных на развёртывание. Одни системы (например, HIDProx2 и NXP MIFARE Classic) уже взломаны, другие (например, HID iClass и NXP DESFire) уязвимы и требуют дополнительных мер, и лишь некоторые (например, новое поколение карт DESFire EV1, DESFire EV2 и HID iClass Seos) используют шифрование на основе стандартов и не имеют широкоизвестных уязвимостей. Слабее защищённые карты легче клонировать, когда они лежат в чьём-то кармане или в руке.
При всём при этом одним из недостатков биомодификаторов является то, что их нельзя отключить или где-то оставить. Дрю Портер, основатель консалтинговой компании по безопасности Red Mesa, сетует, что люди постоянно носят свои плохо защищённые чипы с собой. Это особенно рискованно, если используется уязвимый RFID-протокол вроде HID PROX items. Вы не сможете оставить чип дома, или вытащить из бумажника, или снять с шеи. Он всегда будет с вами. Причём люди не только не расстаются со своими устройствами доступа, но любят поговорить о том, как они ими пользуются. Злоумышленнику не придётся даже сильно стараться, чтобы разведать подробности, достаточно сесть поблизости в баре от кого-то с имплантированным чипом, и он повсюду будет об этом трезвонить «вот как я вхожу в офис!». Достаточно сказать такому болтуну: «Круто! Очень интересно! Ты сюда придёшь на следующей неделе? Выпьем вместе», а затем просто клонируешь его RFID, получая доступ в здание или офис.
Есть защищающие от электромагнитного поля перчатки, используемые при работе с устройствами вроде клетки Фарадея, но носить их непрактично и неудобно, а для низкочастотных чипов они могут оказаться бесполезны. Существуют приложения для считывания, например, NFC Tools Pro, позволяющие редактировать данные на чипе, так что технически возможно перепрограммировать чип в конце дня. Это словно выпускать новую карту доступа каждый день, но Портер утверждает, что это чревато для бизнеса новыми рисками и затратами, в том числе на администрирование и обучение; приводит к тому, что компании начинают использовать смартфоны в качестве устройств идентификации (вероятно, без соответствующего управления); да к тому же далёкие от техники люди получают возможность создавать карты доступа для посторонних. Однако большинство этих рисков можно снизить, используя более защищённые RFID-протоколы.
Сохранить все преимущества карт доступа (имплантированных и физических) и избавиться от вышеперечисленных недостатков можно с использованием второго фактора, комбинируя криптографическое доказательство с биометрической опцией, вроде отпечатка пальца или рисунка радужки. Компания Граафстры разрабатывает VivoKey, более продвинутое решение, но и более дорогое. Это полноценная криптографическая платформа, предназначенная специально для хранения ключей, шифрования и даже выполнения платежей и биткоин-транзакций. Платформа развёртывает инфраструктуру публичных и приватных ключей. Контроллер доступа шифрует в чипе датаграмму, а приватный ключ расшифровывает её, затем снова шифрует и отправляет обратно считывателю.
Пара косвенных рисков
Вынос секретной информации. Портер отмечает, что RFID-метки могут хранить какое-то количество текстовой информации. Если в компании строгие правила относительно использования флешек, то приносить и выносить их каждый день может быть затруднительно. А если один раз принести считывающе-записывающее устройство, то можно на работе записывать в имплантированный чип какие-то данные, и спокойно покидать с ними офис. При желании можно поместить чип под кожей поближе к обручальному кольцу, чтобы замаскировать его даже для очень чувствительных детекторов. Конечно, есть и более простые варианты, например, можно проглотить или спрятать на теле карту microSD. Тем более что на неё можно записать намного больше, чем на чип.
Получение доступа. Компрометация чьих-нибудь карт доступа — ещё один способ применения имплантированных чипов в высокозащищённой среде. Злоумышленник может носить карту низкого уровня доступа, при этом имея на чипе клонированную карту высокого уровня доступа, притворяясь, что попал в «высокоуровневую» зону по обычной физической карте. То есть эта атака больше связана с людьми, чем с технологиями.
Что делать, когда чип устаревает?
В некоторых компаниях могут переживать о ситуациях, когда сотрудники увольняются и уносят в себе имплантированные чипы доступа. Но здесь всё работает иначе: вместо того, чтобы записывать ключи на RFID-метки, — как если бы вы давали людям обычные железные ключи, — программируются сами RFID-считыватели, чтобы они давали доступ конкретным чипам. И когда человек уходит из компании, то серийный номер его метки просто удаляется из базы данных разрешённого доступа.
Даже если вы считаете использование имплантата хорошей идеей и знаете, что его легко вытащить или заменить, не так много людей захотят проходить через эту процедуру так же часто, как, скажем, они меняют сотовые телефоны. К счастью, сегодня устаревание микрочипов не является серьёзной проблемой. Граафстра вставил себе в руку первый чип в 2005-м. Это был EM4102, который к тому времени выпускался уже около 20 лет. Даже сегодня вы можете купить считыватель за $10, который будет работать с этим чипом, как если бы вы подключили к новому смартфону Bluetooth-гарнитуру, купленную в 1999-м. Технологии не развиваются так же быстро, как стандарты и приложения. Ошибочно думать, что имплантированный сегодня микрочип через два года устареет. Это не сотовый телефон. Чипы строятся в соответствии со стандартами, и они должны быть обратно совместимы до тех пор, пока поддерживаются сами стандарты.
Для чипов xNT период сохранения данных, то есть продолжительность времени до настолько сильной деградации сигнала, что вы не сможете надёжно считать данные, составляет 10 лет. Количество циклов записи — 100 000, то есть если вы будете записывать на чип каждый день, то вам его хватит на 274 года. И при каждой перезаписи период сохранения записи перезапускается, так что теоретически хранить на чипе данные можно около 1 млн лет.
Те, кто хочет имплантировать себе чипы и антенны из существующих транспортных и платёжных карт могут столкнуться с проблемой устаревания, потому что у платёжных данных есть срок действия, а транспортные системы часто меняют используемые чипы. Но это уже не просто перепрограмирование данных на карте.
Будущее
Поговорив с представителями биохакинговых компаний, пользователями и исследователями, мы получили неожиданные результаты. Обсуждение популярных критических замечаний в адрес микрочипов часто приводило в тупик.
Описание потенциальных проблем с устройствами следующих поколений, которые ещё не существуют, часто связано со слухами, как на китайских фабриках людям принудительно имплантируют чипы, если те хотят сохранить работу. Или вспоминают байки про солдата или младенцев, тоже принудительно очипованных (многие байки уже полностью развенчаны). Нередко статьи смешивают использование имплантированных чипов с самыми настоящими проблемами, связанными с с медицинскими устройствами или GPS-отслеживанием на мобильных телефонах. И всё это вперемешку с невнятными причитаниями по отсутствию законодательного регулирования.
Сегодня потенциал использования имплантируемых чипов, по-видимому, ограничен. Пока что самым популярным применением является замена физических ключей, карт доступа и даже паролей, чтобы упростить процедуру входа и снизить вероятность утечки. В то же время недостатки у чипов пока что пустячные. Многие из самых тревожных опасений проистекают из дезинформации или слухов, а настоящие потенциальные недостатки выглядят не страшнее пирсинга.
Но стоит ли оно того? Неужели ношение ключей или запоминание паролей столь трудно или рискованно? Трудно авторитетно рассуждать о будущих угрозах, но в 2018-м многие проблемы, приписываемые имплантатам, оказываются необоснованными. Конечно, это не означает, что имеющиеся сегодня способы применения оправдывают использование модификаторов для вашего тела, но пока что это не более рискованно, чем потенциально неудачная татуировка.