Hakerzy mogą łatwo klonować karty zbliżeniowe

Rząd Danii wydał ostrzeżenie dotyczące zagrożenia bezpieczeństwa kluczy dostępu w powszechnie używanych kartach zbliżeniowych Mifare Classic, obecnych także w Polsce. Karty te wykorzystywane są do pobierania opłat komunikacji miejskiej, jako karty parkingowe, identyfikatory dostępowe czy bilety na imprezy.

Rząd Danii wydał ostrzeżenie dotyczące zagrożenia bezpieczeństwa kluczy dostępu w powszechnie używanych kartach zbliżeniowych Mifare Classic, obecnych także w Polsce. Karty te wykorzystywane są do pobierania opłat komunikacji miejskiej, jako karty parkingowe, identyfikatory dostępowe czy bilety na imprezy.

Problem bezpieczeństwa w technologii RFID pojawia się wielokrotnie na naszych łamach, najczęściej w aspekcie bezpieczeństwa urządzeń oraz transakcji. Dotychczas karty zbliżeniowe standardu Mifare Classic były uznawane za warunkowo bezpieczne, gdyż nie pojawiły się publicznie doniesienia o złamaniu zabezpieczeń, chociaż niektóre słabości systemu były powszechnie znane od grudnia 2007 r. Dotychczas uważało się, że złamanie zabezpieczeń zajmie crackerom ok. dwóch lat. Stało to się w cztery miesiące. Rząd Danii wydał bowiem ostrzeżenie dotyczące zagrożenia bezpieczeństwa kluczy dostępu w powszechnie używanych kartach zbliżeniowych Mifare Classic. Minister spraw wewnętrznych Danii, Guusje ter Horst, poinformował duński parlament o zaplanowanych działaniach związanych z zapewnieniem bezpieczeństwa.

Mifare Classic jest standardem kart zbliżeniowych opracowanym przez firmę NXP Semiconductors, bazującym na ISO 14443 (RFID) Typ A 13.56 MHz, ale wykorzystującym niestandardowy protokół oraz własne metody uwierzytelnienia. Dzięki prostocie i niskiej cenie, karty te są powszechnie używane w wielu krajach, w samej Danii działa ich ponad 2 miliony. Są używane jako karty opłat komunikacji miejskiej, karty parkingowe, identyfikatory dostępowe oraz bilety na imprezy sportowe.

W poniedziałek niemieccy badacze Karsten Nohl oraz Henryk Plötz opublikowali dokumentację analizy bezpieczeństwa kart Mifare Classic oraz poinformowali o bardzo poważnym zagrożeniu bezpieczeństwa transakcji nimi chronionych, ale odmówili demonstracji ataku na żywo. Atak obejmuje klonowanie karty wraz z pozyskaniem kluczy, co umożliwi również kradzież tożsamości. Karty tego typu są używane nawet do autoryzacji płatności bankowych, zatem ryzyko klonowania kart RFID jest poważne. Film przedstawiający ideę klonowania Mifare Classic jest na stronie http://www.ru.nl/ds/research/rfid/