Odkryte zabezpieczenia RFID

Holenderscy naukowcy - dzięki wyrokowi sądu - mogą ujawnić dane o lukach w bezpieczeństwie kart RFID MiFare Classic firmy NXP Semiconductors.

Holenderscy naukowcy - dzięki wyrokowi sądu - mogą ujawnić dane o lukach w bezpieczeństwie kart RFID MiFare Classic firmy NXP Semiconductors.

Problem publikowania informacji o zagrożeniach bezpieczeństwa dotyczy nie tylko oprogramowania. Gdy w grę wchodzi bezpieczeństwo sprzętu służącego do autoryzacji transakcji czy potwierdzenia tożsamości osób, badania w celu wykrycia ewentualnych luk w bezpieczeństwie rozwiązań IT są bardzo cenne. Umożliwiają bowiem wykrycie ewentualnych luk, zanim cyberprzestępcy zaczną wykorzystywać je na masową skalę. Z drugiej strony dostawcy tych rozwiązań nie są zainteresowani jakąkolwiek publikacją danych na ten temat, bowiem takie informacje pokazują bardzo dobitnie ich błędy. Aby chronić biznes, stosują wszelkie sposoby nacisku, włącznie z wytaczaniem procesów sądowych.

Sklonowana karta

2 mld

kart MiFare Classic działa na całym świecie, także w Polsce.

W marcu br. pisaliśmy na naszym serwisie o prowadzonych na uniwersytecie Radboud w Nijmegen pracach związanych z klonowaniem kart zbliżeniowych Mifare Classic firmy NXP Semiconductors. Przypomnijmy, Karsten Nohl, student z Uniwersytetu Virginia wykrył nieznane wcześniej słabości kart MiFare Classic. Swoje odkrycia przekazał do analizy naukowcom z Holandii. Pierwsze postępy badań w dziedzinie łamania zabezpieczeń kart MiFare Classic udowodniły, że klonowanie tych kart jest możliwe i nie wymaga dużych nakładów finansowych. Zastosowane zostały bowiem m.in. zbyt słabe mechanizmy szyfrowania. Z oficjalnych informacji wynika, że naukowcy wielokrotnie próbowali przekazać swoje spostrzeżenia producentowi układów i zachęcić go do współpracy nad uaktualnieniem zabezpieczeń.

Tymczasem firma NXP Semiconductors 10 lipca br. skierowała sprawę ewentualnej publikacji wyników badań naukowców na ścieżkę sądową. Jednym z argumentów wytaczanych przeciw badaczom było ryzyko dużych strat finansowych wynikłych z luk w bezpieczeństwie tak rozpowszechnionego produktu, bardzo wysokie koszty aktualizacji systemów do bezpieczniejszego standardu, a także utrata dobrej marki przez całą linię produktów. "Blokada dostępu do informacji nie jest dobrym pomysłem, bowiem badacze nie będą mogli wypracować żadnego pomysłu na rozwiązanie problemu" - uważa Karsten Nohl. Jego zdaniem, przestępcy zajmujący się klonowaniem kart MiFare szczegółowo znają budowę i wady układów RFID. Jednocześnie naukowcy argumentowali, że upublicznianie informacji o błędach przyspieszy proces tworzenia poprawek. Sąd przyznał im rację.

Niecałe dwa tygodnie od złożenia dokumentów holenderski sąd wydał wyrok oddalający żądania firmy NXP Semiconductors. Prace nad technologią zabezpieczenia kart zbliżeniowych będą trwać dalej. Pełna dokumentacja dotycząca luk w bezpieczeństwie kart odbędzie się na poświęconej bezpieczeństwu systemów IT, październikowej konferencji ESORICS w hiszpańskim mieście Malaga. Decyzja sądu jest ważną informacją zarówno dla naukowców pracujących nad bezpieczeństwem komercyjnych produktów, jak i firm zajmujących się tworzeniem nowych technologii, a także ich klientów. Jednym z ważniejszych przesłań, płynących z całej sprawy jest fakt, że to właśnie na koncernach spoczywa odpowiedzialność za rzeczywiste bezpieczeństwo swoich produktów.

Jawność lepsza dla bezpieczeństwa

Ukrywanie informacji przed badaczami lub próby wywierania prawnych nacisków do zaprzestania badań nie skutkują poprawą bezpieczeństwa wadliwych rozwiązań ani sytuacji ich producenta. Wręcz przeciwnie. Według naukowców z Uniwersytetu Radboud w Nijmegen, wyrok jest potwierdzeniem, że wyniki badań nad błędami w powszechnie wykorzystywanych rozwiązaniach informatycznych mogą, a nawet powinny być znane opinii publicznej. Cyberprzestępcy prowadzą bowiem własne działania, obejmujące także łamanie bardzo wyrafinowanych zabezpieczeń. Często wyprzedzają one prace prowadzone w świetle prawa. Według nieoficjalnych informacji, zjawisko klonowania kart MiFare Classic oraz dokonywania zmian w autoryzowanych usługach zapisanych na kartach było znane co najmniej od roku, niemniej dotąd nie było powszechne. Także w Polsce.

Najważniejszą wadą kart RFID zgodnych ze standardem MiFare Classic jest słabe zabezpieczenie kryptograficzne transakcji. Udowodniono, że zdalne odczytanie informacji z kart oraz z czytnika za pomocą stosunkowo prostego urządzenia trzymanego w plecaku umożliwia pozyskanie informacji, które prowadzą do złamania kodu po kilku minutach obliczeń. Sporządzenie kopii karty jest najprostszym z działań, jakie mogą podjąć cyberprzestępcy. Możliwe jest także oszustwo, polegające na nieuprawnionej modyfikacji informacji zapisanej na karcie.

Być może najważniejszym skutkiem decyzji duńskiego sądu i planowanej publikacji informacji związanych ze złamaniem zabezpieczeń tych kart jest fakt, że wszystkie systemy, które wykorzystują MiFare Classic muszą zostać zmodyfikowane, aby zachować przynajmniej zadowalający poziom bezpieczeństwa. Producent układów zapewnia, że we współpracy z integratorami podjęte zostaną kroki zmierzające do usunięcia luki w istniejących infrastrukturach opartych na kartach MiFare Classic. W stosunku do naukowców nie będą też już podejmowane żadne wrogo nastawione działania. Karty MiFare Classic są powszechnie używane w wielu miejscach, także do autoryzacji dostępu. Na całym świecie działa ich ponad 2 mld, zatem ryzyko naruszeń bezpieczeństwa jest bardzo wysokie.