Klonowanie reaktywacja
-
- 09.06.2009
Niedbałość i błędy
Chociaż podatne na ten atak są wszystkie karty Mifare Classic niezależnie od zastosowania, niektóre z nich są znacznie łatwiejsze do złamania od innych, gdyż wadliwa implementacja dziurawego standardu sprzyja atakom. Według naukowców, najsłabszą badaną kartą jest Warszawska Karta Miejska, gdyż tam używane są domyślne elementy uwierzytelnienia. Jak zapewniają jednak przedstawiciele warszawskiego ZTM, instytucja ta pracuje nad poprawą zabezpieczenia karty
i jeszcze w tym roku będzie ona podpisana algorytmem 3DES.
"Te klucze zawierają powtarzające się motywy, co znacznie zmniejsza ich efektywną długość i jest wyraźnym wynikiem niedbałości o bezpieczeństwo danych. Największy problem polega jednak na tym, że sektor 0 jest zaszyfrowany za pomocą klucza producenta, co pozwala na odzyskanie wszystkich innych kluczy w czasie zaledwie 45 próbnych autentykacji! Cały atak nie wymaga więcej niż 2 sekund, aby odzyskać wszystkie klucze Warszawskiej Karty Miejskiej" - piszą naukowcy w swoim raporcie. Należy pamiętać, że podatna może być każda instalacja podobnych systemów, szczególnie, gdy była realizowana przez tę samą firmę, przy użyciu takiego samego standardu wyposażenia i oprogramowania.
Te same karty są używane w pociągach podmiejskich i parkingach w Warszawie, ponadto ta sama firma ASEC - filia firmy OTI - wygrała przetargi na dostarczenie podobnych systemów z kartami Mifare dla innych miast w Polsce, w tym Gdyni, Rybnika, Płocka i Wrocławia (ten ostatni przetarg został potem unieważniony przez sąd) i prawie na pewno te rozwiązania są równie wadliwe.
Przypadek wdrożenia źle zbadanego systemu zawierającego dziurawe elementy zamknięte właściwe jednej firmie (proprietary), nie jest niczym nowym, dotyczy np. niektórych immobilizerów stosowanych w samochodach osobowych. Badania wykazały, że nierzadko są to rozwiązania nieodporne na atak, nie badane przez profesjonalistów, wykorzystujące krótkie klucze i słabe algorytmy. Karta zbliżeniowa Mifare Classic jest właśnie takim rozwiązaniem. Ponieważ ani algorytm, ani konstrukcja karty, ani żadna z implementacji nie były przebadane przez niezależny instytut badawczy, nie można było stwierdzić rzeczywistej odporności na ataki.
"Winę za taki stan rzeczy ponosi w dużej mierze firma NXP, która przez lata wprowadzała klientów w błąd, zapewniając o bezpieczeństwie swoich rozwiązań. Na tym tle błędy popełnione przez krajowych integratorów wynikają raczej z niewiedzy i nadmiaru zaufania do technologii kryptograficznej NXP, której produkty są, niestety, liderem na rynku" - informują badacze. Do poważnych zastosowań należy wykorzystywać jedynie sprawdzone, certyfikowane rozwiązania, aby ochronić się przed ukrytymi zagrożeniami, związanymi z ukrywaniem technologii kryptograficznej przed opinią publiczną i niezależną analizą akademicką. "Losy karty Mifare pokazują, że bez dostatecznej kontroli, sam przemysł nie zrobi nic dla poprawy bezpieczeństwa swych produktów. Nawet najbardziej renomowanym firmom na świecie ufać nie można i nie należy" - uważają naukowcy.
