Odkryte zabezpieczenia RFID

Holenderscy naukowcy - dzięki wyrokowi sądu - mogą ujawnić dane o lukach w bezpieczeństwie kart RFID MiFare Classic firmy NXP Semiconductors.

Niecałe dwa tygodnie od złożenia dokumentów holenderski sąd wydał wyrok oddalający żądania firmy NXP Semiconductors. Prace nad technologią zabezpieczenia kart zbliżeniowych będą trwać dalej. Pełna dokumentacja dotycząca luk w bezpieczeństwie kart odbędzie się na, poświęconej bezpieczeństwu systemów IT, październikowej konferencji ESORICS w hiszpańskim mieście Malaga. Decyzja sądu jest ważną informacją zarówno dla naukowców pracujących nad bezpieczeństwem komercyjnych produktów, firm zajmujących się tworzeniem nowych technologii, a także ich klientów. Jednym z ważniejszych przesłań, płynących z całej sprawy jest fakt, że to właśnie na koncernach spoczywa odpowiedzialność za rzeczywiste bezpieczeństwo swoich produktów.

Jawność lepsza dla bezpieczeństwa

Ukrywanie informacji przed badaczami lub próby wywierania prawnych nacisków do zaprzestania badań nie skutkuje poprawą bezpieczeństwa wadliwych rozwiązań, ani sytuacji ich producenta. Wręcz przeciwnie. Według naukowców z Uniwersytetu Radboud w Nijmegen wyrok jest potwierdzeniem, że wyniki badań nad błędami w powszechnie wykorzystywanych rozwiązaniach informatycznych mogą, a nawet powinny być znane opinii publicznej. Cyberprzestępcy prowadzą bowiem własne działania, obejmujące także łamanie bardzo wyrafinowanych zabezpieczeń. Często wyprzedzają one prace prowadzone w świetle prawa. Według nieoficjalnych informacji zjawisko klonowania kart MiFare Classic oraz dokonywania zmian w autoryzowanych usługach zapisanych na kartach było znane co najmniej od roku, niemniej dotąd nie było powszechne. Także w Polsce.

Najważniejszą wadą kart RFID zgodnych ze standardem MiFare Classic jest słabe zabezpieczenie kryptograficzne transakcji. Udowodniono, że zdalne odczytanie informacji z kart oraz z czytnika za pomocą stosunkowo prostego urządzenia trzymanego w plecaku umożliwia pozyskanie informacji, które prowadzą do złamania kodu po kilku minutach obliczeń. Sporządzenie kopii karty jest najprostszym z działań, jakie mogą podjąć cyberprzestępcy. Możliwe jest także oszustwo, polegające na nieuprawnionej modyfikacji informacji zapisanej na karcie.

Być może najważniejszym skutkiem decyzji duńskiego sądu i planowanej publikacji informacji związanych ze złamaniem zabezpieczeń tych kart jest fakt, że wszystkie systemy, które wykorzystują MiFare Classic muszą zostać zmodyfikowane aby zachować przynajmniej zadowalający poziom bezpieczeństwa. Producent układów zapewnia, że we współpracy z integratorami podjęte zostaną kroki zmierzające do usunięcia luki w istniejących infrastrukturach opartych na kartach MiFare Classic. W stosunku do naukowców nie będą też już podejmowane żadne, wrogo nastawione działania. Karty MiFare Classic są powszechnie używane w wielu miejscach, także do autoryzacji dostępu. Na całym świecie działa ich ponad 2 mld, zatem ryzyko naruszeń bezpieczeństwa jest bardzo wysokie.