Čuvajte se elektroničkog džeparenja

Autori čitača karticeTehnologija je s vremenom pregazila i najveće tradicionaliste. Sve je manja vjerojatnost da će netko, baš onako kako su nas roditelji učili, nositi ključić oko vrata... U modi su, naime, beskontaktne kartice. Bilo da vam otvaraju ulazna vrata na poslu, dizalo, garažu ili hotelsku sobu tijekom putovanja, kartice s pametnim čipovima postaju naša svakodnevica. Često je dovoljno i ne vaditi “ključ” iz novčanika, nego ga samo približiti senzoru koji će očitati vaše podatke i prepreka je otvorena ...

 STRUČNJACI SA SPLITSKOG FESB-a UPOZORAVAJU NA JEDNOSTAVNE METODE KRAÐE PODATAKA S KARTICA

Do sada su lopovi trebali izvući nečiji novčanik iz torbe ili džepa. Sada je dovoljno da se približi na oko 35 centimetara da može “očitati” sadržaj vaše kartice

Piše: Ivan Kaštelan / Slobodna Dalmacija
Foto: Jadran Babić / CROPIX

Prednosti je dakle mnogo - pojednostavnjeno korištenje, smanjeni troškovi, ali i, primjerice, kontrola korisnika, kojoj se posebice raduju poslodavci ...

Autori čitača kartica

 Autori čitača kartica, fesbovci Toni Perković, Marijo Čagalj i Luka Mališa

Nešto noviji je trend uvođenja pametnih kartica s RFID tagovima, koje služe kao zamjena klasičnog novca onim “virtualnim”. Već sada se, primjerice javnim prijevozom Osijeka, a uskoro možda i Splita, možete voziti karticom koju ste ranije na šalteru prijevoznika “napunili” određenim iznosom novca. Sličan sustav se koristi i u Puli, te u Dubrovniku.

Gdje je novac, tu su dakako i oni koji prijevarom žele doći do nečijih podataka, a vrlo često su uvijek korak ispred “aktualne” tehnologije.


Otvorena sva vrata

Na problem beskontaktnih kartica stoga su nas upozorili sa splitskog Fakulteta elektrotehnike, strojarstva i brodogradnje gdje djeluje skupina znalaca koja se bavi svim aspektima računalne sigurnosti. Oni su pojasnili kako je sigurnost trenutačno najaktualnijih (i najjeftinijih) kartica jako slaba, jer se uz minimalno troškova i znanja lako probija najviše korištena Mifare Classic tehnologija.

- Upravo prije mjesec dana na konferenciji ESORICS (Europski simpozij o računalnoj sigurnosti), zabijen je posljednji čavao u lijes Mifare Classic sustava. Tada je skupina istraživača s jednog danskog Sveučilišta detaljno opisala napad koji omogućava lopovu krađu sadržaja ili kloniranje te kartice. Do sada su lopovi trebali izvući nečiji novčanik iz torbe ili džepa. Sada je dovoljno da se lopov vašem novčaniku približi na oko 35 centimetara i kroz vašu torbu, hlače, košulju...“očita” sadržaj kartice. Zbog mogućnosti da i Promet Split iduće godine uvede i takav sustav, htjeli smo ukazati na ozbiljnost sigurnosnih propusta ove tehnologije koja se i dalje jako često koristi unatoč brojnim poznatim problemima – tvrde FESB-aši prof. Mario Čagalj, Luka Mališa i Toni Perković.

Kudikamo najraširenija primjena beskontaktnih kartica je kontrola pristupa. Štetu koju jedan ovakav napadač može prouzrokovati ako prođe pokraj čistačice u dizalu hotela, koja ima karticu za pristup svim sobama, ili portira u banci, nije potrebno ni opisivati: nakon “kloniranja” te kartice, otvorena su mu sva vrata. Najveći problem je što će računalo, pri prolasku kroz vrata, zapamtiti osobu čiji identitet je ukraden, a ne kriminalca. Kod ovakvih kartica najzastupljenija je takozvana tehnologija 125kHz-a, koja nema apsolutno nikakvu sigurnosnu zaštitu.

Grupa FESB-ovaca je ispred nas preko malog uređaja izvela napad kloniranja 125kHz-ne kartice, koristeći univerzalni emulator kartica koji su sami izradili, u kolaboraciji s Teom Vučkovićem iz tvrtke “Larus”. 

Danas je postalo nepotrebno posezati  u džep ‘žrtve’

Posljednjih godina trend korištenja kartica za kontrolu pristupa u Hrvatskoj je u velikoj ekspanziji. Prema procjeni grupe s FESB-a, sigurnost ovakvih rješenja počiva na uvjerenju da se beskontaktna kartica ne može očitati s većih udaljenosti, odnosno uvjerenja da kartica jednostavno oponaša fizički ključ.


Lopovi na daljinu

Takvo uvjerenje je jako pogrešno. Na primjer, zamislite da ulaz u neku prostoriju koja se nalazi u Splitu kontrolirate beskontantnom karticom. Trenutno ste na poslovnom putu u Zagrebu u uvjerenju da je vaša prostorija u Splitu sigurna jer kod sebe imate jedini ključ (karticu) koji otvara tu prostoriju. Dva napadača se udruže u ovom napadu. Jedan se nalazi u Zagrebu u vašoj blizini dok je drugi u Splitu ispred čitača kartica koji kontrolira pristup vašoj prostoriji.

Napadač u Zagrebu tajno očita sadržaj kartice u vašem džepu, pri čemu koristi npr. mobitel koji ima ugrađeni čitač kartica. Vaša kartica pošalje autorizacijski kod napadačevu čitaču, a on taj kod proslijedi svojem “kolegi” u Splitu. Za to je dovoljna GPRS veza, uz pomoć koje ovaj u Splitu otvara vašu prostoriju, bez fizičke prisutnosti “jedinoga ključa” - opisuje jedan od mogućih scenarija prof. Čagalj, a kao rješenje predlaže određivanje udaljenosti čitaču kartica s koje se dobiva autorizacijski signal, ili uvođenje novije i tek nešto skuplje tehnologije.


Sigurni Švicarci

U sklopu svojih istraživanja na FESB-u i u suradnji s prof. Srđanom Čapkunom sa švicarskog ETHZ-a, splitska grupa za računalnu sigurnost radi na sigurnosnim protokolima koji će omogućiti uređaju (korisniku) da na siguran način odredi udaljenost s koje je primio određenu poruku.

Povezani članci

Who's Online

We have 164 guests and no members online