Paszporty biometryczne zagrożone!

Duża część stosowanych w Europie paszportów biometrycznych wykorzystuje technologie RFID, która dzięki swej wygodzie zyskuje również coraz większą popularność w dużej ilości systemów służących do autoryzacji. Na czym polega wygoda RFID?

Metki RFID podczas swojej weryfikacji nie wymagają fizycznego kontaktu z czytnikiem. Wystarczające jest zbliżenie karty do czytnika, który wysyła drogą radiową stosowny sygnał aktywacyjny. Po tym czasie tag RFID odpowiada informacjami służącymi do weryfikacji posiadacza karty. Ale jak zadbać, aby posiadacz karty był jej faktycznym właścicielem? O to powinni zadbać producenci tagów, software ale najwyraźniej po raz kolejny o tym zapomnieli.

Co więcej na metce (tagu) RFID możemy przechowywać stosunkowo dużą ilość informacji, które niejednokrotnie są dla nas informacjami wrażliwymi (jak choćby nasz adres zamieszkania). Wyobraźmy sobie, że większość wspomnianych danych można w łatwy sposób odczytać...

Specjaliści ze Słowackiej firmy Nethemba pod przewodnictwem Pawła Luptaka opracowali pierwsze, poprawnie działające, narzędzie służące do ataku offline na karty zbudowane w oparciu o RFiD. Specjaliści z branży pamiętają niepokojące doniesienia na temat bezpieczeństwa RFID, które pochodziły z Holandii. Warto podkreślić, że poprzednie próby były tylko teoretyczne (proof of concept) ale do implementacji było im jeszcze daleko.

Paweł podczas prezentacji na CONFidence zademonstruje atak off-line, który umożliwia dowolną modyfikacje (łącznie z klonowaniem) kart. Co gorsza do złamania zabezpieczeń tagów RFID, często nie są potrzebne specjalne, kosztowne narzędzia.

Z czego wynikaj wspomniane błędy?

Bardzo często firmy zajmujące się wdrożeniami technologii w oparciu o RFiD popełniają tak trywialne błędy jak stosowanie identycznego hasła do urządzeń etc, dzięki czemu zgodnie z potwierdzonymi badaniami Pawła umożliwiają nam kopiowanie karty z 99,6% skutecznością.
Cały podręczny zestaw służący do kopiowania kart to koszt około 500Euro.

Skoro klonowanie, modyfikacja tagów RFID jest tak prosta to jaką możemy mieć pewność, że paszporty oparte o tą technologie są unikatowe...

Odpowiedz

Plain text

  • Znaczniki HTML niedozwolone.
  • Adresy internetowe są automatycznie zamieniane w odnośniki, które można kliknąć.
  • Znaki końca linii i akapitu dodawane są automatycznie.
Fill in the blank.