Odkryte zabezpieczenia RFID
- 12.08.2008, godz. 09:55
Niecałe dwa tygodnie od złożenia dokumentów holenderski sąd wydał wyrok oddalający żądania firmy NXP Semiconductors. Prace nad technologią zabezpieczenia kart zbliżeniowych będą trwać dalej. Pełna dokumentacja dotycząca luk w bezpieczeństwie kart odbędzie się na, poświęconej bezpieczeństwu systemów IT, październikowej konferencji ESORICS w hiszpańskim mieście Malaga. Decyzja sądu jest ważną informacją zarówno dla naukowców pracujących nad bezpieczeństwem komercyjnych produktów, firm zajmujących się tworzeniem nowych technologii, a także ich klientów. Jednym z ważniejszych przesłań, płynących z całej sprawy jest fakt, że to właśnie na koncernach spoczywa odpowiedzialność za rzeczywiste bezpieczeństwo swoich produktów.
Jawność lepsza dla bezpieczeństwa
Ukrywanie informacji przed badaczami lub próby wywierania prawnych nacisków do zaprzestania badań nie skutkuje poprawą bezpieczeństwa wadliwych rozwiązań, ani sytuacji ich producenta. Wręcz przeciwnie. Według naukowców z Uniwersytetu Radboud w Nijmegen wyrok jest potwierdzeniem, że wyniki badań nad błędami w powszechnie wykorzystywanych rozwiązaniach informatycznych mogą, a nawet powinny być znane opinii publicznej. Cyberprzestępcy prowadzą bowiem własne działania, obejmujące także łamanie bardzo wyrafinowanych zabezpieczeń. Często wyprzedzają one prace prowadzone w świetle prawa. Według nieoficjalnych informacji zjawisko klonowania kart MiFare Classic oraz dokonywania zmian w autoryzowanych usługach zapisanych na kartach było znane co najmniej od roku, niemniej dotąd nie było powszechne. Także w Polsce.
Karsten Nohl, student z Uniwersytetu Virginia wykrył nieznane wcześniej słabości MiFare Classic. Pierwsze postępy badań w dziedzinie łamania zabezpieczeń tych kart udowodniły, że klonowanie tych kart jest możliwe i nie wymaga dużych nakładów finansowych.
Być może najważniejszym skutkiem decyzji duńskiego sądu i planowanej publikacji informacji związanych ze złamaniem zabezpieczeń tych kart jest fakt, że wszystkie systemy, które wykorzystują MiFare Classic muszą zostać zmodyfikowane aby zachować przynajmniej zadowalający poziom bezpieczeństwa. Producent układów zapewnia, że we współpracy z integratorami podjęte zostaną kroki zmierzające do usunięcia luki w istniejących infrastrukturach opartych na kartach MiFare Classic. W stosunku do naukowców nie będą też już podejmowane żadne, wrogo nastawione działania. Karty MiFare Classic są powszechnie używane w wielu miejscach, także do autoryzacji dostępu. Na całym świecie działa ich ponad 2 mld, zatem ryzyko naruszeń bezpieczeństwa jest bardzo wysokie.