Hakerzy mogą łatwo klonować karty zbliżeniowe

Subskrybuj RSS A A A
18 marca 2008 12:13
Marcin Marciniak

TAGI: bezpieczeństwo płatności kartami zbliżeniowymi RFID

Rząd Danii wydał ostrzeżenie dotyczące zagrożenia bezpieczeństwa kluczy dostępu w powszechnie używanych kartach zbliżeniowych Mifare Classic, obecnych także w Polsce. Karty te wykorzystywane są do pobierania opłat komunikacji miejskiej, jako karty parkingowe, identyfikatory dostępowe, czy bilety na imprezy sportowe.

Problem bezpieczeństwa w technologii RFID pojawia się wielokrotnie na naszych łamach, najczęściej w aspekcie bezpieczeństwa urządzeń oraz transakcji. Dotychczas karty zbliżeniowe standardu Mifare Classic były uznawane za warunkowo bezpieczne, gdyż nie pojawiły się publicznie doniesienia o złamaniu zabezpieczeń, chociaż niektóre słabości systemu były powszechnie znane od grudnia 2007 r. Dotychczas uważało się, że złamanie zabezpieczeń zajmie crackerom ok. dwóch lat. Praktyka pokazała, że stało to się w cztery miesiące.

Rząd Danii wydał bowiem ostrzeżenie dotyczące zagrożenia bezpieczeństwa kluczy dostępu w powszechnie używanych kartach zbliżeniowych Mifare Classic. Minister Spraw Wewnętrznych Danii, Guusje ter Horst, poinformował duński parlament o zaplanowanych działaniach związanych z zapewnieniem bezpieczeństwa.

Mifare Classic jest standardem kart zbliżeniowych opracowanym przez firmę NXP Semiconductors bazującym na ISO 14443 (RFID) Typ A 13.56 MHz, ale wykorzystującym niestandardowy protokół oraz własne metody uwierzytelnienia. Dzięki prostocie i niskiej cenie, karty te są powszechnie używane w wielu krajach, w samej Danii działa ich ponad 2 miliony. Są używane jako karty opłat komunikacji miejskiej, karty parkingowe, identyfikatory dostępowe oraz bilety na imprezy sportowe.

W poniedziałek niemieccy badacze Karsten Nohl oraz Henryk Plötz opublikowali dokumentację analizy bezpieczeństwa kart Mifare Classic oraz poinformowali o bardzo poważnym zagrożeniu bezpieczeństwa transakcji nimi chronionych, ale odmówili demonstracji ataku na żywo. Atak obejmuje klonowanie karty wraz z pozyskaniem kluczy, co umożliwi nawet kradzież tożsamości. Karty tego typu są używane nawet do autoryzacji płatności bankowych, zatem ryzyko klonowania kart RFID jest bardzo poważne. Przykładowy film przedstawiający ideę klonowania Mifare Classic jest dostępny na stronie www.ru.nl/ds/research/rfid/.

m.computerworld.pl - sprawdź mobilną wersję serwisu Computerworld
w swoim smartfonie.

Oceń artykuł

średnio: 4 liczba ocen: 3
Podziel się |

Komentarze (8)

+Dodaj komentarz

JAcek

31-01-2011 00:00
odpowiedz zmoderuj

Zobaczcie jak to zabezpieczyc na bezpiecznekarty.pl

~mk

12-01-2011 18:07
odpowiedz zmoderuj

Jak ma ktoś pomysł jak popsuć te "payWave" to miło posłucham. W banku mnie wyśmiali ,pani na infolinii powiedziała że nie da się tego wyłączyć,nie da rady zmniejszyć limitu wypłaty np.na 0zł. Pytałem też czy można sobie dziurkę zrobić dziurkaczem żeby antenę uszkodzić . Nic się nie dowiedziałem.Tylko że "wszystko gra" DLACZEGO W NASZYM KRAJU WPROWADZA SIĘ WSZYSTKO CO NIE SPRAWDZIŁO SIĘ W INNYM KRAJU??? Bardzo proszę o podpowiedź. (zostanę bez karty) A! Karty kredytowe (nie płatnicze) nie będą na razie wymieniane.

qara

19-03-2008 08:18
odpowiedz zmoderuj

ależ jarku, wyłącznik nie musi dotyczyć baterii, może dotyczyć elementów wytwarzających wspomniany przez ciebie prąd lub może rozłączać obwody wykonawcze...

qara

19-03-2008 08:15
odpowiedz zmoderuj

ale mamy przepisy o przetargach publicznych i w takich przetargach cena jest głównym elementem przy deklaratywnym spełnianiu reszty warunków. Ponadto jakże często, cenę najlepszą podają i klarownie spełniają pozostałe warunki zaufani sami swoi.

cvcv

18-03-2008 18:09
odpowiedz zmoderuj

jarek rfidy nie maja zasilania..... wytwarzaja prad w polu magnetycznym dopiero

Jarek

18-03-2008 17:17
odpowiedz zmoderuj

@moon, a nie łatwiej jest zamontować mały wyłącznik zasilania na karcie? ps. W sumie głupie pytanie - to by było za łatwe :]

moon

18-03-2008 15:44
odpowiedz zmoderuj

zamiast technologie byc bardziej bezpieczne to poszli wszyscy na latwizne najlepiej zeby koszt to byl 1 cent $ lub Euro a zabezpieczenie ala aprima aprilis :D jeszcze troche to kazda karte z ukladem zblizeniowym to wlasciciel powinien miec szkatulke z olowiu o grubosci 2 mm i wszystkie karty; paszporty biometryczne etc trzymac w takiej szkatulce dodatkowow w stali "pancernej o grubosci 2 mm obkute zeby ladniej wygladalo :D wtedy moze nie da sie tego szczytac tylko do tego sugeruje cwiczyc kulturystyke ala sztangi po 100 Kg zeby miec kondyncje do noszenia takiej szkatulki A wyciaganie kart tego typu najpierw pomieszczenie musi byc ekranowane sprawdzic czy nie ma ukrytych czytajacych modolow dopiero mozemy wyciagnac taka karte ;) wedlug mnie taki modol powinien byc zabezpieczony przed kopiowaniem powodujac samozniszczenie takiego procesora przeciez jest to mozliwe technologicznie wiec zamiast isc na taniosc to moze na jakosc i bezpieczenstwo ?? wole doplacic i miec pewnosc ze to bedzie nie do zdobycia niz cena 1 grosz a kopii moich kart beda mld sztuk :D

Dudu

18-03-2008 14:07
odpowiedz zmoderuj

A jaki typ kart jest używany przez warszawski ZTM?


Najpopularniejsze

Najnowsze

MAC, czyli ministerstwo reformowania rządzenia

MAC, czyli ministerstwo reformowania rządzenia
Premier wspiera lojalnie w kryzysie najbliższego współpracownika, Michała Boniego, przyjmując na siebie atak oburzonych internautów podczas debaty o ACTA.

Nowe, unijne zamówienia publiczne

Nowe, unijne zamówienia publiczne
Komisja Europejska proponuje ważne zmiany prawa wspólnotowego w obszarze zamówień publicznych. Warto im się przyjrzeć bo to jeden z elementów nowej perspektywy finansowej UE. Warto zatem przyjrzeć się owej propozycji bliżej.

Bezpieczeństwo rządowych stron - analiza

Bezpieczeństwo rządowych stron - analiza
Zespół zadaniowy ds. ochrony portali rządowych opublikował wytyczne. Trudno stwierdzić, że to najlepsze rekomendacje, jakie można było przy okazji zaistniałych ataków wypracować.

DEBATA: Kiedy walka polityczna w sieci przemienia się w cyberterroryzm?

DEBATA: Kiedy walka polityczna w sieci przemienia się w cyberterroryzm?
Skuteczny atak cybernetyczny przyniesie opłakane skutki dla państwa i gospodarki. Boleśnie się o tym przekonaliśmy, gdy nie można było dostać się na strony internetowe najważniejszych instytucji w Polsce.

Czy MSW chce unieważnienia przetargu na pl.ID?

Czy MSW chce unieważnienia przetargu na pl.ID?
Rośnie ryzyko całkowitego unieważnienia przetargu na nowe dowody osobiste. Krajowa Izba Odwoławcza odrzuciła odwołanie firmy Sygnity, która nie zgadzała się na wydłużenie o trzy miesiące terminu składania ofert na dostawę blankietów nowych dowodów osobistych. Wydłużenie całego postępowania o trzy miesiące może spowodować skargi uczestniczących w nim firm, a w konsekwencji unieważnienie przetargu.

Garść rad dla roztropnego szefa IT

Garść rad dla roztropnego szefa IT
Trudne czasy w gospodarce to okres, kiedy szczególnego znaczenia nabiera hasło: Jak cię widza, tak cię piszą. Osłabienie rynku przekłada się na oszczędności w przedsiębiorstwie, a oszczędności najłatwiej szukać w działach, które, w opinii zarządu, nie są bezpośrednio związane z prowadzoną działalnością - czyli również w dziale IT.

Sprzeczne wizje e-dowodu

Sprzeczne wizje e-dowodu
Koncepcja elektronicznego dowodu osobistego powstała w Polsce wiele lat temu. Starsze są koncepcje elektronicznego systemu świadczeń ochrony zdrowia. Mimo to, nadal są w trakcie budowy.

Rekomendacje


Serwisy IDG - Warunki obsługi - Kontakt - Redakcja - Regulamin - O nas - Polityka prywatności - Serwis zgodny z ASME
Reklama - Licencjonowanie treści
Computerworld Polska i Computerworld Polska online są znakami towarowymi IDG Poland SA.
 © Copyright 2012 International Data Group Poland S.A. 04-204 Warszawa ul. Jordanowska 12 tel.(+4822)321-78-00 fax(+4822)321-78-88