Hakerzy mogą łatwo klonować karty zbliżeniowe

Subskrybuj RSS A A A
18 marca 2008 12:13
Marcin Marciniak

TAGI: bezpieczeństwo płatności kartami zbliżeniowymi RFID

Rząd Danii wydał ostrzeżenie dotyczące zagrożenia bezpieczeństwa kluczy dostępu w powszechnie używanych kartach zbliżeniowych Mifare Classic, obecnych także w Polsce. Karty te wykorzystywane są do pobierania opłat komunikacji miejskiej, jako karty parkingowe, identyfikatory dostępowe, czy bilety na imprezy sportowe.

Problem bezpieczeństwa w technologii RFID pojawia się wielokrotnie na naszych łamach, najczęściej w aspekcie bezpieczeństwa urządzeń oraz transakcji. Dotychczas karty zbliżeniowe standardu Mifare Classic były uznawane za warunkowo bezpieczne, gdyż nie pojawiły się publicznie doniesienia o złamaniu zabezpieczeń, chociaż niektóre słabości systemu były powszechnie znane od grudnia 2007 r. Dotychczas uważało się, że złamanie zabezpieczeń zajmie crackerom ok. dwóch lat. Praktyka pokazała, że stało to się w cztery miesiące.

Rząd Danii wydał bowiem ostrzeżenie dotyczące zagrożenia bezpieczeństwa kluczy dostępu w powszechnie używanych kartach zbliżeniowych Mifare Classic. Minister Spraw Wewnętrznych Danii, Guusje ter Horst, poinformował duński parlament o zaplanowanych działaniach związanych z zapewnieniem bezpieczeństwa.

Mifare Classic jest standardem kart zbliżeniowych opracowanym przez firmę NXP Semiconductors bazującym na ISO 14443 (RFID) Typ A 13.56 MHz, ale wykorzystującym niestandardowy protokół oraz własne metody uwierzytelnienia. Dzięki prostocie i niskiej cenie, karty te są powszechnie używane w wielu krajach, w samej Danii działa ich ponad 2 miliony. Są używane jako karty opłat komunikacji miejskiej, karty parkingowe, identyfikatory dostępowe oraz bilety na imprezy sportowe.

W poniedziałek niemieccy badacze Karsten Nohl oraz Henryk Plötz opublikowali dokumentację analizy bezpieczeństwa kart Mifare Classic oraz poinformowali o bardzo poważnym zagrożeniu bezpieczeństwa transakcji nimi chronionych, ale odmówili demonstracji ataku na żywo. Atak obejmuje klonowanie karty wraz z pozyskaniem kluczy, co umożliwi nawet kradzież tożsamości. Karty tego typu są używane nawet do autoryzacji płatności bankowych, zatem ryzyko klonowania kart RFID jest bardzo poważne. Przykładowy film przedstawiający ideę klonowania Mifare Classic jest dostępny na stronie www.ru.nl/ds/research/rfid/.

m.computerworld.pl - sprawdź mobilną wersję serwisu Computerworld
w swoim smartfonie.

Oceń artykuł

średnio: 4 liczba ocen: 3
Podziel się |

Komentarze (8)

+Dodaj komentarz

JAcek

31-01-2011 00:00
odpowiedz zmoderuj

Zobaczcie jak to zabezpieczyc na bezpiecznekarty.pl

~mk

12-01-2011 18:07
odpowiedz zmoderuj

Jak ma ktoś pomysł jak popsuć te "payWave" to miło posłucham. W banku mnie wyśmiali ,pani na infolinii powiedziała że nie da się tego wyłączyć,nie da rady zmniejszyć limitu wypłaty np.na 0zł. Pytałem też czy można sobie dziurkę zrobić dziurkaczem żeby antenę uszkodzić . Nic się nie dowiedziałem.Tylko że "wszystko gra" DLACZEGO W NASZYM KRAJU WPROWADZA SIĘ WSZYSTKO CO NIE SPRAWDZIŁO SIĘ W INNYM KRAJU??? Bardzo proszę o podpowiedź. (zostanę bez karty) A! Karty kredytowe (nie płatnicze) nie będą na razie wymieniane.

qara

19-03-2008 08:18
odpowiedz zmoderuj

ależ jarku, wyłącznik nie musi dotyczyć baterii, może dotyczyć elementów wytwarzających wspomniany przez ciebie prąd lub może rozłączać obwody wykonawcze...

qara

19-03-2008 08:15
odpowiedz zmoderuj

ale mamy przepisy o przetargach publicznych i w takich przetargach cena jest głównym elementem przy deklaratywnym spełnianiu reszty warunków. Ponadto jakże często, cenę najlepszą podają i klarownie spełniają pozostałe warunki zaufani sami swoi.

cvcv

18-03-2008 18:09
odpowiedz zmoderuj

jarek rfidy nie maja zasilania..... wytwarzaja prad w polu magnetycznym dopiero

Jarek

18-03-2008 17:17
odpowiedz zmoderuj

@moon, a nie łatwiej jest zamontować mały wyłącznik zasilania na karcie? ps. W sumie głupie pytanie - to by było za łatwe :]

moon

18-03-2008 15:44
odpowiedz zmoderuj

zamiast technologie byc bardziej bezpieczne to poszli wszyscy na latwizne najlepiej zeby koszt to byl 1 cent $ lub Euro a zabezpieczenie ala aprima aprilis :D jeszcze troche to kazda karte z ukladem zblizeniowym to wlasciciel powinien miec szkatulke z olowiu o grubosci 2 mm i wszystkie karty; paszporty biometryczne etc trzymac w takiej szkatulce dodatkowow w stali "pancernej o grubosci 2 mm obkute zeby ladniej wygladalo :D wtedy moze nie da sie tego szczytac tylko do tego sugeruje cwiczyc kulturystyke ala sztangi po 100 Kg zeby miec kondyncje do noszenia takiej szkatulki A wyciaganie kart tego typu najpierw pomieszczenie musi byc ekranowane sprawdzic czy nie ma ukrytych czytajacych modolow dopiero mozemy wyciagnac taka karte ;) wedlug mnie taki modol powinien byc zabezpieczony przed kopiowaniem powodujac samozniszczenie takiego procesora przeciez jest to mozliwe technologicznie wiec zamiast isc na taniosc to moze na jakosc i bezpieczenstwo ?? wole doplacic i miec pewnosc ze to bedzie nie do zdobycia niz cena 1 grosz a kopii moich kart beda mld sztuk :D

Dudu

18-03-2008 14:07
odpowiedz zmoderuj

A jaki typ kart jest używany przez warszawski ZTM?





Najpopularniejsze

Najnowsze

Państwo do konsolidacji

Państwo do konsolidacji
Obywatele uważają administrację publiczną za jeden organizm. W rzeczywistości jest to kilka tysięcy oddzielnych struktur, obrosłych biurokratycznymi naroślami. Czy można zracjonalizować działanie państwa? Jak w tym może pomóc informatyka?

Zarządzanie po japońsku

Zarządzanie po japońsku
W praktyce przemysłowej wypracowano szereg skutecznych metod zarządzania. Wiele powstało w Japonii. Dlaczego, mimo ich efektywności, nie zawsze są stosowane w biznesie?

e-Sąd z odsieczą sprawiedliwości

e-Sąd z odsieczą sprawiedliwości
Polski wymiar sprawiedliwości postrzegany jest jako skostniały i opieszały. Tymczasem kolejne e-usługi udostępniane przez Ministerstwo Sprawiedliwości ułatwiają życie przedsiębiorcom i usprawniają pracę sądów.

e-Zdrowie w Polsce i na świecie

e-Zdrowie w Polsce i na świecie
Projekty informatyzacji służby zdrowia realizowane są na świecie z różnym powodzeniem. Skąd Polska mogłaby czerpać wzorce? A może jesteśmy skazani na własne rozwiązania?

Raport Państwo 2.0, czyli nowa wizja informatyzacji państwa

Raport Państwo 2.0, czyli nowa wizja informatyzacji państwa
Michał Boni, minister administracji i cyfryzacji, zaprezentował raport "Polska 2.0. Nowy start dla e-administracji". Przedstawia on informacje na temat stanu realizacji projektów będących w gestii nowo utworzonego ministerstwa oraz prezentuje kierunki dalszych działań związanych z informatyzacją i cyfryzacją administracji publicznej w naszym kraju.

Cyberprzestępcy podążają za użytkownikami

Cyberprzestępcy podążają za użytkownikami
Już dwie na trzy polskie firmy odnotowały ataki lub awarie, które spowodowały spadek produkcji. Co trzecia firma utraciła dane. Liczba takich przypadków będzie rosła, bo hakerzy biorą na cel najbardziej masowe technologie. Szybko reagują też na zmiany w firmowej architekturze.

Jak zaplanować karierę w branży IT

Jak zaplanować karierę w branży IT
Doświadczenia łączone na różnych stanowiskach w firmach o odmiennych profilach są szczególnie cenione przez pracodawców. Dlatego warto głęboko przeanalizować możliwości rozwoju kariery, które obecnie stwarza rynek IT.

Rekomendacje




Serwisy IDG - Warunki obsługi - Kontakt - Redakcja - Regulamin - O nas - Polityka prywatności - Serwis zgodny z ASME
Reklama - Licencjonowanie treści - Prenumerata: Computerworld, Networld, PC World
Computerworld Polska i Computerworld Polska online są znakami towarowymi IDG Poland SA.
 © Copyright 2012 International Data Group Poland S.A. 04-204 Warszawa ul. Jordanowska 12 tel.(+4822)321-78-00 fax(+4822)321-78-88