估计有50到10万人拥有植入物;这些好处与风险相比如何?
Behold,一种微芯片植入物及其输送装置。
当威斯康星州的科技公司ThreeSquareMarket去年夏天提出为自己的员工自愿进行微芯片支付时,互联网非常吃惊。但就在3SM公司总部所谓的“芯片派对”的前几天,DEFCON黑客大会上的人们急切地排队,并付钱让microchip芯片植入拇指和食指之间的皮下筋膜。
这种并列提出了一个问题:这些芯片是否向侵入性的反乌托邦式的未来迈出了一步:雇主们追踪他们的每一个动作?或者,他们只是一个简单的方式登录到账户,并通过手腕轻弹打开门?社会可能很快就会发现,虽然规模较小但数量不断增长(根据生物危害公司DangerousThings的估计,其数量在5万到10万之间),但社会可能很快就会发现。
当我们谈论微芯片时,我们正在谈论什么
Microchip植入物通常形状像圆柱体。它们包含一个小型微芯片,一种生物安全的环氧树脂和一个装在无铅硼硅酸盐玻璃或碱石灰Schott生物兼容玻璃中的铜制天线线圈。用于动物和人类的微芯片都是现场供电的,没有电池或电源。因此,它们是惰性的,直到它们进入到通过磁场进行通信的读取器设备所产生的场内。
这些植入物通常属于RFID(射频识别)领域,而RFID技术涵盖了非常广泛的频率,设备,协议和接口。RFID通常存在三种频率系列:低频(和千赫),高频(13.56兆赫)和超高频(-兆赫)。出售植入物的芯片通常为低频或高频。RFID芯片使用无线电波来识别,并且近场通信(NFC)芯片是高频无线电波的分支。
为3SM员工安装芯片的公司Biohax销售近场通讯设备,而像DangerousThings这样的其他公司则让用户在RFID和NFC芯片之间进行选择。人们通常使用RFID技术来替换密钥和密码,以便他们可以进入家中,解锁并启动汽车,或者更方便地登录笔记本电脑。NFC标签可用于存储vCard或比特币钱包地址等等。在瑞典,Biohax与铁路合作,芯片可以用作票证载体。也可以将芯片编程为不同类型的触发器,例如,您可以将手机连接到芯片并与您的配偶联系。
DangerousThings的kHzxEM芯片模拟常见的低频EM41xx芯片,具有一些可编程的存储器空间和基本的安全功能,允许您编程或克隆EM或HID标签ID,例如ProxMarkII卡ID。他们的13.56MHzxNT芯片频率更高,基于NTAG芯片。它们具有字节的用户可编程内存和32位密码保护安全功能。他们是NFC兼容的。该公司的13.56MHzxMI微芯片拥有字节的用户可编程内存,并支持Crypto1安全功能,但只有一些NFC设备才支持这些功能。该公司的3.56MHzxIC器件具有字节的可编程存储器,但没有安全功能,这些仅在某些NFC设备上受支持。
危险的东西通常是指微芯片植入物作为发射机应答器的发送应答器的端口。不过,信息安全研究人员,红皇后技术公司的首席安全顾问,新美洲网络安全研究员TarahWheeler认为,这个术语在用于指无动力的磁性存储器(如USB驱动器或植入式微芯片)时是不准确的。再一次,这些芯片没有动力,有小巧的天线,并没有真正传输任何东西。“如果超过一英尺,你是幸运的。实际上,在功能上,你必须触摸它来读取设备,“她说。
DangerousThings首席执行官AmalGraafstra在ToorCamp安装微芯片。
健康风险
现在,微芯片非常安全,被宠物主人用来标记自己的狗和猫。事实上,由于芯片植入物在几个小时内结痂的速度就快得多,所以人耳刺入的风险更大。还是危险的东西首席执行官AmalGraafstra警告说,如果人们试图自己插入芯片并且不遵循无菌程序,他们可能会感染。感染有时(很少)会导致MRSA,这种葡萄球菌感染已经对许多抗生素产生抗药性,有时甚至可能是致命的。通过专业的身体穿孔器与针头和无菌操作技术合作,减少感染的风险,这就是为什么危险物品有一个合作伙伴网络推荐(包括一些谁可以安装更多涉及产品)。生物供应公司的X系列设备通常在无菌注射组件内预先装载。
安装后,标签确实会导致中等程度的肿胀,持续一天左右,并有一些瘀伤几天。标签可能需要2-4周的时间才能被纤维胶原蛋白组织包裹,并且身体在标签周围愈合时,使用者可能会有一些暂时性的瘙痒或压迫感,长达两年。
但是,标签已经愈合后,皮肤下就不会感觉到了,除非他们抓住大件物品,否则通常在大多数人的手下是看不到的。覆盖标签的皮肤有可能被夹在标签和其他物体之间,这可能会轻微疼痛,但是通过不在硬表面之间滚动标签可以防止这种情况。
由DangerousThings销售的最便宜的微芯片被封装在生物安全玻璃中,并被插入拇指和食指之间的皮肤中。虽然它们不是坚不可摧的,但它们在人体内部破裂的可能性要小得多。
植入式微芯片与MRI机器兼容,不能被金属探测器或机场扫描仪拾取。如果一个人最终第二次猜出这个东西,他们也不难取出。动物芯片涂有生物胶或聚对二甲苯,但是人造芯片不是,这使得去除更容易。医生可以戴上手套,做一个小切口,并从皮肤上按下芯片,使其正确地出来。(在年,Verichip公司提供了一种植入式微芯片,旨在解开个人健康记录,将其注射到三头肌中,并被涂上生物粘合剂,意味着它是永久性的,所以只能用很多的疼痛和疤痕组织但是这个过程已经发展了,所以这不适用于今天使用的可植入芯片。)
Graafstra有时会听到一个健康问题,那就是人们确信他们已经违背了自己的意愿植入了芯片。这些人说这样的芯片不知怎么让他们听到声音或看到闪光或遇到其他现象。这种恐惧有时是由于未确诊的精神疾病,有时是因为骗子声称扫描芯片和提供清除服务。Graafstra说:“如果有一个好的神经接口,这将是计算机/大脑接口的圣杯。事实上,即使是最先进的神经界面植入物,也只不过是和一些神经元交谈。首席执行官调查了一些这些说法,并报告了他的调查结果。现在当有人向他询问芯片启发的声音或视觉时,他建议他们去看医生,最好是专门从事神经疾病的医生。
微小的芯片植入物,通过X射线。
安全风险
如果您对芯片植入物持怀疑态度,健康问题可能不是您最关心的问题。好莱坞电影和电视节目经常展示用于实时追踪人们的追踪设备。但是,任何一个失踪的宠物都可以证明,你实际上不能用这种方式跟踪或找到动物(或人)。
芯片植入物可能有助于识别,例如,如果宠物被留在避难所或兽医的办公室,但芯片没有安装GPS。事实上,不可能将GPS卡奇迹般地潜入设备中。能够跟踪的植入式设备需要一个需要定期充电的电池(如手机)。请记住,今天植入的芯片甚至没有电源-所以操作范围是有限的。你几乎不得不向读者推手才能工作。
Graafstra说:“想想你的手机和手机里的电池,它可以听GPS卫星,并通过手机信号塔或Wi-Fi或其他方式将位置数据传送到外部世界。“你需要植入的设备将会非常大,并且有一个电池,需要不断充电,最终在两到三年内进行更换。”
虽然使用他们的生物模型来追踪个体在理论上是不可能的,但现在并不是完全可行的。攻击者需要在特定区域标记一个人,然后建立一个能够发出足够强大的电磁电流的设备,以便从长距离激励芯片。这个小人然后需要用阅读器来装备每一平方英寸的特定区域。没有什么经济模式可以做到这一点,特别是当有更容易和更便宜的方法来追踪某个人的下落时,如CCD相机传感器或步行追踪目标。我们还以手机的形式携带我们自己的便携式跟踪设备,这些设备相对来说不难入侵。
除了这种监测之外,围绕芯片植入物的另一个大的安全想法可能涉及更多传统的黑客攻击。芯片植入物感染病毒的潜在安全风险已经得到很大的改善。年,英国科学家MarkGasson随手感染了一个RFID芯片,看他是否可以将病毒传染给外部控制设备。他是成功的,但对于SQL注入攻击在现实生活中工作,用户需要在恶意阅读器扫描他们的芯片,然后一个单独的目标读者需要从密钥卡接收数据并将其直接传递到后端数据库没有先验证它。
HackerSethWahle对NFC芯片上的浏览器漏洞进行了URL攻击,指示Android手机打开将手机连接到远程计算机的链接。Wahle使用笔记本电脑上的Metasploit笔测试软件强制Android设备拍摄他的照片。虽然他利用NFC技术,但是Wahle可以轻松地通过电子邮件发送恶意URL到他的目标。
除了这些精心设计的概念验证攻击之外,还有对克隆攻击的恐惧,特别是当使用植入式微芯片代替钥匙或钥匙卡时。当有人打破窗户,撬锁,甚至拍一个人的钥匙圈的照片时,有人不太可能以这种方式闯入某人的家。更有可能的是,有些人会花大力气来计划这种类型的攻击,如果他们要去做一个企业,而不是一个人,而且为个人使用而设计的植入式安全设备可能是一个更容易的目标。
也就是说,复制钥匙卡也是可能的,甚至可以增加从远处扫描RFID芯片的范围。企业经常告诉人们下班后将他们的工作胸牌放在RFID防护袖口或保险柜里,但是很多人在下班后去酒吧或者把它们放在口袋里时穿着。许多企业使用的关键卡也容易被克隆。尽管很多卡片系统在几十年前就已经开发出来了,但它们仍然坚持向后兼容,因为公司花费了数万美元来部署它们。一些(如HIDProx2和NXPMIFAREClassic)被破坏,一些(如HIDiClass和NXPDESFire)被削弱,需要额外的步骤,只有一些(如新一代的DESFireEV1和DESFireEV2卡和HIDiClassSeos)利用基于标准的加密技术,没有任何我们所知道的公开漏洞。更弱的钥匙卡更容易克隆,无论是在别人的口袋还是在他们的手中。
尽管如此,对生物模型的一次罢工是它们不能被关闭或者被遗忘。德鲁·波特安全公司RedMesa的创始人指出,将低安全性员工胸章放在手中的人基本上总是带着他们的公司徽章。如果员工的胸牌使用低安全性的RFID协议(如HIDPROX),则这一点尤其危险。“你不能把它拿出来,或者把它从你的钱包或钱包里拿出来,或者把它从你的脖子上拿下来。现在你随身携带,“他说。不仅人们总是有徽章进入,而且Porter也指出他们通常喜欢谈论他们如何使用它来徽章。“作为攻击者,我不必做太多的侦察工作,因为如果我在一家酒吧,而有人有这样的话,他们会四处呐喊,他们就会像“这是我的办公室徽章!”就像好极了知道这真是太好了。你下周会在这里?下周我想给你买一杯饮料“,然后你就可以克隆他们的RFID,并且可以访问它,并且至少可以让你作为那个员工进入外部。
人们使用射频屏蔽手套来与法拉第盒子进行互动,而法拉第盒子是一种金属网格,但穿戴它们是不切实际的,甚至可能无法使用较低频率的芯片。有有阅读器应用程序,如NFC工具Pro应用程序,它允许用户使用应用程序编辑芯片上的数据,因此在技术上可以在一天结束时对芯片进行重新编程。这类似于每天发放一个新的访问徽章,但波特指出,这样做会使企业面临其他风险和成本,包括管理费用和培训成本,拥有公司建设凭证的电话(可能没有适当的设备管理)以及允许非技术用户有能力为他人制作新的通行卡的风险。不过,再一次,通过使用更安全的RFID协议来缓解这些风险中的许多风险。
保持钥匙卡(无论是植入物还是物理卡)的所有好处的好方法是将其作为第二个因素,通过将密码证明与生物特征选项相结合,例如指纹或虹膜扫描。Graafstra正在开发VivoKey,这是一个更高级的产品,会有更高的价格标签。这是一个完整的加密平台,专门用于存储密钥,进行密码学,甚至是支付和比特币交易的领域。它将部署公钥和私钥基础设施。访问控制器将对数据报进行加密,私钥将对其进行解密,然后对其进行重新加密并将其发回给阅读器。
今天的安装过程与刺穿或血液测试(也就是涉及针头)没有多大区别。
一对情况危险
获得安全的信息波特指出,RFID标签可以存储一定数量的文本数据。虽然一次可能将闪存驱动器走私到办公室,但每天都可能会更加困难(虽然不是不可能)。波特说,一次把RFID读写器拿到办公室并不难。“在我的USB闪存盘上,我每天都要走私进出口,但是如果我能把那个读写器放在那里一次,我就可以把数据放在那个芯片上,我可以除了我的皮肤里面的那个芯片上的数据之外,什么都不要留给我。我可以把它放到我的无名指上,如果它有金属探测器的话,它们总是会熄灭我的戒指。他们会看到我有一个金属环,说:“难怪它熄灭了。”这是一种可以从安全设施泄露数据的方法。“当然,还有其他方法可以这样做,比如将microSD卡存入或取出办公室,将其存储在您的身体某处甚至吞下。而这样一个选项的附加好处是,microSD卡可以存储远远超过一个微芯片。
获得信息:信息安全研究人员TarahWheeler指出,妥协别人的徽章是另一种在高安全性环境中利用芯片植入物的方法。攻击者可以携带一枚低级别的安全徽章,同时将一枚较高级别的徽章克隆到微芯片上,假装他们进入了一个禁区,只有他们身上携带的唯一徽章。这就是说,她指出这次攻击与人比起科技来说更重要。
芯片变得过时会发生什么?
随着流行的关键用例,一些企业可能会担心被解雇的员工或离开工作仍然有植入式访问设施。但是这不完全是如何工作的。而不是将钥匙编程为RFID标签-就像您将物理钥匙交给雇主一样-门或系统RFID阅读器实际上已经被编程为允许标签工作。因此,如果雇主想要删除特定人员的标签,使他们不被允许进入建筑物,他们只需要从列表中删除他们的标签序列号,它将停止接受它。
从用户的角度来看,即使您认为获得芯片植入是一个好主意,并且知道去除或替换它很容易,但并不是很多人想要像经常那样经历这个过程,比如换一个新的手机。幸运的是,过时并不是一个严重的问题。Graafstra在年拿到了他的第一个筹码(他不仅仅是危险的东西,他也是客户!)。它使用了EM芯片,当时已经有20年左右的时间了。即使是现在,你也可以购买一个价格为10美元的读卡器,就像你可以把你在年购买的蓝牙耳机连接到一个新的智能手机一样。他说:“技术确实发展得非常快,但是标准和应用却不行。“你打算植入种植体的想法,在两年内不会有好处是错误的。这不像一部手机。它基于标准的合规协议,只要标准得到支持,本质上就是向后兼容的。“
对于xNTs,数据保留期或信号衰减到足以使您无法可靠地记录该数据的时间长度为10年。写周期数是10万个写周期,这意味着如果你每天写一些东西,它会持续10万天。而且每次重写都会重新开始数据保存期,这意味着数据可能会保留近一百万年。
那些想要从现有的运输卡和支付卡中植入芯片和天线线圈的人可能不得不面对过时的问题,因为支付数据到期并且运输系统通常逐渐淘汰特定的芯片类型而偏向于其他芯片类型。但是,这不同于简单地将信息编程到卡片上。
未来
与生物技术公司,用户和研究人员交谈后,结果让我们吃惊。引起人们对微芯片植入物的批评常常导致死路一条。它出乎意料地觉得像一个鼹鼠沮丧的游戏。
下一代设备中潜在问题的描述还不存在,这往往伴随着传言,中国工厂强迫雇主打断他们的工作或死亡的链接,讲述有关士兵或婴儿被强行拆除的故事(其中许多已经彻底揭穿)。在许多情况下,文章将医疗设备或带有植入式芯片的手机的GPS跟踪与真正的问题混为一谈。所有的注意力再加上监管模糊的呼喊。
今天,芯片植入物的好处似乎是有限的。到目前为止,最流行的用例似乎是删除访问管理-替换物理密钥,访问卡,甚至可能是密码,以便于输入和损失风险最小。同时,植入物的缺点现在是微不足道的。许多最令人担忧的恐惧源于错误信息或谣言,真正的潜在缺点并不比许多身体穿孔看起来更糟糕。Biohack公司介绍植入物是可移动的穿孔或纹身启动。
但是这值得吗?拿着钥匙还是忘记密码如此困难或潜在的风险?很难对未来的威胁进行权威性的说明,但到了年,围绕芯片植入物的许多担忧都是没有根据的。这并不意味着当前的使用案例证明了一个新的添加到你的身体,当然,但似乎没有比现在可能令人遗憾的纹身风险。