Американская школница считае RFID знаком дьявола

Девушку отстранили от учебы за отказ носить RFID-значок

Кирилл Токарев 27 Ноября 2012 - 20:29

Государство

Системы защиты личных данных

Защита персональных данных

Биометрические системы аутентификации

Карты доступа

Родительский контроль

Потеря данных

...

Одну из учениц техасской школы отстранили от занятий за отказ носить с собой ученический значок с вмонтированной идентификационной радио-микросхемой.

Такие необычные «ученические билеты» с RFID начали выдавать в Northside Independent School District еще в начале учебного года. У такой карты имеется штрих-код, напрямую связанный с номером социальной страховки студента. RFID-чип отслеживает движения ученика по кампусу с момента их прибытия и до ухода из школы.

Подобные радио-идентификаторы сейчас используются достаточно часто. Их устанавливают в паспорта, библиотечные и кредитные карты. Предположительно они заменят штрихкоды на продуктах. Теперь данная технология постепенно докатилась и до школ.

Ученицу Андреа Хернандез предварительно оповестили, что она не сможет посещать школу Джона Джея (John Jay High School), если у нее не будет данной карточки (а точнее специального значка, который носят прямо на цепочке). Однако она все равно отказалась, мотивируя свое поведение личными и религиозными убеждениями.

ID-карты со встроенными RFID-чипами.

Между тем представители организации Rutherford Institute, защищающей частные права граждан, крайне обеспокоены новой инициативой школ и пытаются аннулировать ее в суде.

Однако действие учебных учреждений можно понять. Использование RFID-решений позволяет сэкономить деньги. Дело в том, что все государственные школы получают средства напрямую из местного бюджета в зависимости от того, сколько учеников в классе. Если ученик отсутствует, то из бюджета на него просто не выделят нужных денег. RFID позволяет доказать, что даже если ученика нет на уроке, он находится на территории школы, а значит на него следует выделить средства.

Разумеется, подобная практика пока не особенно распространена в школах, но это не первый случай использования RFID для отслеживания положения учеников. Например, в Калифорнии эти радио-метки начали вшивать в одежду учеников еще в 2010 году.

Отметим, что школа в итоге разрешила девушке пойти в школу без идентификатора, при условии, что она перестанет критиковать данную программу и начать ее публично поддерживать. Данный вопрос в итоге разрешит суд.

Следующая главная новость »

Машинное обучение и ИИ в ИБ: где работает, а где — миф? Обсудим на эфире — регистрируйтесь!

Екатерина Быстрова 25 Февраля 2026 - 09:15

Эксплойты Уязвимости программ Общее

Старая уязвимость в telnetd вернулась спустя 27 лет

Уязвимость из конца 90-х неожиданно вернулась и снова позволяет получить полный root-доступ к серверу без аутентификации. Об этом рассказал исследователь в области кибербезопасности Джастин Шварц, проанализировавший проблему в telnetd — демоне устаревшего, но всё ещё используемого протокола Telnet.

По словам Шварца, речь идёт о фактическом «возрождении» CVE-1999-0073 — известной уязвимости, которую многие давно считали закрытой страницей в истории.

Однако в современных реализациях обнаружился схожий механизм, позволяющий обойти проверку подлинности и повысить права. Проблема кроется в том, как telnetd запускает процесс /bin/login в контексте root-to-root.

В таком режиме ядро выставляет флаг AT_SECURE в ноль. А это значит, что динамический линкер не переходит в защищённый режим исполнения. В результате ответственность за очистку переменных окружения ложится на сам telnetd. Именно в этот момент, по словам исследователя, всё идёт не так.

Если демон не фильтрует переменные окружения должным образом, атакующий может подменить их и заставить систему загрузить вредоносную библиотеку (shared object). Шварц продемонстрировал технику повышения привилегий, при которой создаётся копия /bin/sh с SUID/SGID-правами. Фактически это даёт полный контроль над системой.

Ключевой момент: для эксплуатации не требуется никакой аутентификации через telnet. Повышение привилегий происходит без входа в систему.

Шварц считает, что проблема связана с давним подходом к фильтрации и использованием «чёрных списков» переменных. Такой метод, по его мнению, оказался ненадёжным и оставлял лазейки почти 27 лет. В качестве решения он предлагает перейти к модели «белого списка», как это реализовано в OpenSSH, где разрешён строго ограниченный набор безопасных переменных.

Шварц также предлагает объединить проблему в единый CVE с формулировкой «Некорректная очистка среды окружения в telnetd», чтобы закрыть как старые векторы, так и новый сценарий с динамическим линкером.

При этом рабочий код эксплойта исследователь публиковать не стал, чтобы не спровоцировать волну кибератак.

Напомним, в пролом месяце мы писали про ещё критическую уязвимость в telnetd, которая жила почти 10 лет и давала root-доступ.

Машинное обучение и ИИ в ИБ: где работает, а где — миф? Обсудим на эфире — регистрируйтесь!