Sklonujmy sobie tanio kartę RFID - luki bezpieczeństwa a globalna gospodarka oparta na wiedzy

"Sąd oddalił pozew firmy NXP Semiconductors, domagającej się zakazu publikacji wyników badań nad lukami bezpieczeństwa w ich produkcie". Taka informacja pojawiła się niedawno w mediach. Luki w kartach MiFare Classic rozpracowali naukowcy z holenderskiego uniwersytetu Radboud, a karty służą różnym celom, m.in. w bankowości, w kontroli dostępu do pomieszczeń, czasem w legitymacjach studenckich, etc.

To przykład dylematu "gospodarki opartej na wiedzy", w której jednym z postulatów jest wolność prowadzenia badań naukowych i publikowania ich wyników. W tej konkretnej sprawie rozstrzygał sąd w Holandii, a konkretnie sąd dystryktowy w Arnhem. Dziś wiemy, że wyniki badań zostaną opublikowane w całości i odbędzie się to w czasie październikowej konferencji ESORICS w Hiszpanii. O sprawie piszą media zachodnie (por. poniżej), a w Polsce m.in. Computerworld w tekście Odkryte zabezpieczenia RFID. Można tam przeczytać m.in.:

...firma NXP Semiconductors 10 lipca br. skierowała sprawę ewentualnej publikacji wyników badań naukowców na ścieżkę sądową. Jednym z argumentów wytaczanych przeciw badaczom było ryzyko dużych strat finansowych wynikłych z luk w bezpieczeństwie tak rozpowszechnionego produktu, bardzo wysokie koszty aktualizacji systemów do bezpieczniejszego standardu a także utrata dobrej marki przez całą linię produktów.

A wedle zachodnich źródeł sąd miał stwierdzić:

Damage to NXP does not result from the publication of this article but from the production and marketing of a defective chip, which is NXP's responsibility

Całą machinę badawczą rozpoczął student Karsten Nohl, który doszedł do wniosku, że karty da się klonować ze względu na słaby algorytm kryptograficzny stosowany w transmisji danych. Później sprawą zajęli się badacze z uniwersytetu Radboud, a jeszcze później pojawiły się informacje, że wykryte przez naukowców luki w kartach zbliżeniowych są nawet groźniejsze, niż pierwotnie myślano. Sprawie przygląda się rząd holenderski, który niedawno opublikował raport, zgodnie z którym wszystkie karty wykorzystywane przez obywateli (a te karty naprawdę są szeroko stosowane) powinny być zastąpione rozwiązaniami wolnymi od wykrytych wad. Klonowanie kart okazało się bardzo tanie, a do wszystkiego wystarczy kilka sekund i laptop z czytnikiem.

A przy okazji warto odnotować rozstrzygnięcie amerykańskiego sądu dystryktowego (U.S. District Court), w którym sędzia zarządził by trzech studentów MIT ujawniło sposób, w jaki dokonali ataku na system bostońskiego metra... Wcześniej zaś inny sędzia zakazał publikacji ich opracowania w czasie konferencji Defcon 16 w Las Vegas. Tylko, że tam chodziło o pasek magnetyczny, nie zaś o bezdotykową technologię RFID. Tu w sprawę możliwości publikacji prac naukowych zaangażowani są prawnicy z the Electronic Frontier Foundation, argumentując, że możliwość publikacji takich badań objęte jest Pierwszą Poprawką do Amerykańskiej Konstytucji.

A w Europie pojawia się pytanie o dokumenty tożsamości (paszporty, bezstykowe dowody osobiste)...

Przeczytaj również:

Opcje przeglądania komentarzy

Wybierz sposób przeglądania komentarzy oraz kliknij "Zachowaj ustawienia", by aktywować zmiany.

Problem dla ZTM?

Zgodnie z informacją podaną na stronach ZTM, Warszawska Karta Miejska oparta jest (tak samo, jak Oyster Card) na standardzie MIFARE, choć nie jest podany konkretny rodzaj.

A sprawa Oyster Card została też opisana w polskiej Wikipedii pod hasłem (Security through obscurity).

Boston to nie tylko pasek

Na slajdach o bostońskim metrze jest mowa zarówno o zabezpieczeniach fizycznych (a właściwie ich braku), o zabezpieczeniach jednorazowych biletów z paskiem magnetycznym jak i jest wspomniane o kartach RFID (które też działają na wadliwym chipie NXP MiFare Classic).

Same slajdy są dostępne na serwerach MIT.

Polecam powyższą

Polecam powyższą prezentację. Widok WarCarta mnie rozbroił. Miałem ubaw przez kilka dobrych minut :D Swoją drogą ciekawe czy ten Zack Anderson to syn Rossa Andersona.

ELS

MiFare, MiFare - czy to czasem nie jest też w słynnych ELS'ach?

> W tej konkretnej sprawie

> W tej konkretnej sprawie rozstrzygał sąd w Holandii,
> a konkretnie sąd dystryktowy w Arnhem.

> warto odnotować rozstrzygnięcie amerykańskiego sądu
> dystryktowego (U.S. District Court)

Drugi raz to tłumaczenie zwraca moją uwagę.
Czemu sąd "dystryktowy", a nie "rejonowy" lub "okręgowy"?

Ponieważ...

VaGla's picture

Ponieważ w USA są sądy dystryktowe (jest ich 94, a nazwa pochodzi od dystryktu sądowego; łac. districtus - okręg administracyjny), które - jako sądy pierwszej instancji - rozstrzygają spory cywilne i karne przy udziale sędziego zawodowego i ławy przysięgłych i są to sądy, które są najniżej w hierarchii sądownictwa w USA...
--
[VaGla] Vigilant Android Generated for Logical Assassination

Problem też dotyczy Polski

Problem dotyczy również Polski - podatne są Elektroniczna Legitymacja Studencka, Warszawska Karta Miejska i pewnie karty w innych miastach (przynajmniej w tych, w których bilet da się "wgrać" na ELS).
Wystarczy poszukać SIWZów przetargów ogłaszanych przez polskie uczelnie na karty ELS...

taka ciekawostka w temacie

maniak713's picture

Jest sobie taki program na Discovery pt"Mythbusters" (u nas przetłumaczono to jako "Prawda czy fałsz: Pogromcy mitów"). Kto zna to wie, że sprawdzają różne popularne przekonania, kto nie zna - powinien poznać.

Otóż pytany o możliwość zrobienia programu o RFID, Adam Savage (współautor) wyjaśnił (relacja wideo), że takiego odcinka nie będzie.

Nie będzie, bowiem gdy poprosili Texas Instruments (producenta sprzętu i tagów RFID) o współpracę, do umówionej rozmowy dołączono prawników Visy, MasterCard i American Express (i kilku innych), którzy tak przestraszyli Discovery, że temat trafił na czarną listę.

Jakoś nie wydaje mi się, że powodem jest przekonanie o braku kwalifikacji zespołu Mythbusters, ale raczej obawa, że jeśli w dość popularnym programie pokażą oni różne braki i efekty uboczne technologii RFID to może być kłopot dla jej proponentów. Szczególnie zdają się tego obawiać firmy od kart kredytowych, wprowadzające karty z RFID (płatność zbliżeniowa itp).

Jeśli zaś RFID taki świetny, to czego się boją?

w najbliższym roku dojdzie n-tysięcy kibiców piłki nożnej

zgodnie z wymaganiami Ekstraklasa S.A (dostępne publicznie - ale "ukryte" a dotyczy tysięcy "nieświadomych"):

Karta kibica
- wymagania dla systemów stadionowych
System Ekstraklasa
Wersja dokumentu: 2.1
Status dokumentu: sprawdzony
Data aktualizacji: 2009-09-14
(...)

1 Wprowadzenie
Dokument zawiera opis punktów styku systemu wydającego karty kibica Ekstraklasy S.A. z systemami biletowymi i kontroli dostępu na stadionach klubowych.

2 Specyfikacja techniczna karty kibica
2.1 Typ i model
Karta kibica w pierwszej fazie projektu ma być kartą zbliżeniową typu MIFARE Classic 1kB (lub 4kB). Karta jest zgodna z normą ISO/IEC 14443 Type A.
Właściwości karty:
• bezstykowa transmisja danych po interfejsie RF,
• karta nie wymaga dodatkowego zasilania,
• maksymalna odległość od czytnika do 100 mm,
• częstotliwość pracy 13,56 MHz,
• prędkość transmisji danych 106 kbit/s,
• kontrola integralności danych (16 bit CRC), mechanizm
antykolizyjny,
• czas typowej transakcji mniejszy od 100 ms,
• unikalny numer seryjny każdej karty,
• pamięć EEPROM 1 kB (podzielona na 16 sektorów po 4 bloki każdy) lub 4 kB (podzielona na 32 sektory po 4 bloki i 8 sektorów po 16 bloków, każdy blok zawiera 16 bajtów),
• możliwość zdefiniowania praw dostępu oddzielnie dla każdego z bloków pamięci,
• gwarancja poprawności zapisanych danych do 10 lat,
• wytrzymałość 100000 cykli zapisu karty.

W kolejnych fazach przewiduje się zastosowanie karty hybrydowej typu SmartMX, która umożliwi realizację funkcjonalności karty płatniczej. Część zbliżeniowa karty jest zgodna z normą ISO/IEC 14443 Type A, część stykowa jest zgodna z normą ISO/IEC 7816.
W przypadku kart innych niż NXP producentów emulujących karty MIFARE wymagany będzie certyfikat instytutu Arsenal Research lub równoważny, potwierdzający zgodność danego modelu karty ze standardem MIFARE.

2.2 Zawartość karty
W pamięci EEPROM karty mają być zapisane co najmniej następujące informacje:
• imię właściciela karty,
• nazwisko właściciela karty,
• numer PESEL lub typ, seria i numer dokumentu tożsamości,
• unikalny identyfikator właściciela karty w systemie,
• unikalny identyfikator karty w systemie,
• termin ważności karty.
Struktura danych zapisanych na karcie będzie zgodna z normą MAD/MAD2 (MIFARE Application Directory).

3 Czytnik kart kibica
Bramki dostępowe Systemu Kontroli Dostępu muszą być wyposażone w czytnik kart zbliżeniowych spełniający następujące kryteria:
• obsługa standardu ISO 14443 Typ A i B,
• obsługa kart MIFARE Classic 1kB (i 4kB),
• sprzętowa gotowość do obsługi standardu MIFARE+ (budowa
czytnika przygotowana do obsługi MIFARE+, do uruchomienia tej funkcjonalności konieczna ewentualnie wymiana wewnętrznego
firmware'u),
• sprzętowa gotowość do obsługi standardu SmartMX w zakresie części zbliżeniowej (budowa czytnika przygotowana do obsługi SmartMX, do uruchomienia tej funkcjonalności konieczna ewentualnie wymiana wewnętrznego firmware'u),
• spełnienie wymagań normy FCC Section 15 i I-ETS 300 300,
• interfejs RS 232 lub USB,
• obsługa kryptografii RSA, 3DES, AES,
• generator fizyczny ciągów losowych RNG,
• obsługa minimum dwóch modułów SAM (Security Access Module),
• pełne wsparcie dla technologii dywersyfikacji kluczy do kart,
• bezpieczne wczytywanie i przechowywanie kluczy,
• oprogramowanie wewnętrzne czytnika umożliwiające na dodawanie funkcjonalności poprzez aktualizację firmware'u,
• możliwość zdalnej i lokalnej zmiany firmware'u,
• pamięć wewnętrzna umożliwiająca zapis i zmiany konfiguracji,
• obsługa sygnalizacji za pomocą diod LED.
Zalecenia dodatkowe/opcjonane:
• posiadanie certyfikatu dla płatności zbliżeniowych MasterCard m\Chip i VISA qVSDC,
• dostępność w różnych formach obudów do zastosowań
wewnętrznych, zewnętrznych i OEM.

4 Serwer lokalny systemu Ekstraklasy W każdym klubie, w lokalnej serwerowni będzie się znajdował lokalny serwer systemu Ekstraklasy S.A.. Właścicielem i administratorem serwera będzie Ekstraklasa S.A.
Wymagane parametry otoczenia serwera (wymiary pomieszczenia, zasilanie, klimatyzacja itd.), jakie należy zapewnić zostaną przedstawione w oddzielnym dokumencie.
Do lokalnego serwera będą podłączone:
• system centralny Ekstraklasy,
• system biletowy obiektu,
• system kontroli dostępu obiektu,
• terminale rejestrujące wnioski,
• serwery wydruku.
Serwer lokalny musi mieć połączenie sieciowe typu Ethernet z siecią WAN Ekstraklasy umożliwiające mu komunikację z serwerem centralnym Ekstraklasy S.A.
Należy przewidzieć odpowiednie trasy kablowe do ww systemów w technologii Ethernet.

5 Punkt personalizacji kart kibica
Punkt personalizacji kart kibica składa się z co najmniej jednego stanowiska do rejestracji wniosków o wydanie karty (terminala rejestrującego) oraz co najmniej jednego serwera wydruku kart kibica. Stanowiska w zakresie sprzętu i oprogramowania będą dostarczone przez Ekstraklasa S.A. Wymagane będzie ze strony klubu przygotowanie pomieszczeń i mebli dla prawidłowej pracy obsługi stanowisk, oraz wykonanie połączenia z serwerem lokalnym systemu Ekstraklasy opisanym wcześniej. Liczba stanowisk zostanie ustalona na podstawie oddzielnego opracowania.

5.1 Stanowisko terminala rejestrującego wnioski
Karty kibica mają być wydawane na dedykowanych terminalach dostarczanych przez Ekstraklasę S.A.. Terminale będą umieszczane w kasach biletowych na obiektach sportowych lub w innych miejscach przeznaczonych do sprzedaży biletów bądź wydawania kart.
Każdy z terminali będzie wymagał co najmniej jednego połączenia sieciowego Ethernet 100/1000 Mbit z lokalnym serwerem systemu Ekstraklasy S.A. znajdującym się w lokalnej serwerowni klubu sportowego.
Terminal ma umożliwiać wykonanie co najmniej następujących czynności:
• rejestrację osoby w systemie i wydane dla niej nowej karty kibica,
• wydanie kolejnej karty po upływie ważności poprzedniej,
• reklamację wydanej karty,
• zablokowanie wydanej karty,
• zgłoszenie zniszczenia, zaginięcia lub kradzieży wydanej karty,
• żądanie wystawienia duplikatu karty,
• żądane przez kibica wglądu do swoich danych lub ich modyfikacji,
• żądanie przez kibica usunięcia swoich danych.
Dla większej ilości terminali znajdujących się w jednym pomieszczeniu możliwe będzie agregowanie połączeń sieciowych (poprzez lokalne przełączniki), w taki sposób że wymagane będą co najmniej 2 połączenia sieciowe do Serwera Lokalnego przypadające na zestaw terminali znajdujących się w jednym pomieszczeniu.

5.2 Serwer wydruku kart
Serwery wydruku będą umieszczane w kasach biletowych na obiektach sportowych lub w innych miejscach przeznaczonych do sprzedaży biletów bądź wydawani kart.
Każdy z serwerów wydruku będzie wymagał co najmniej jednego połączenia sieciowego Ethernet 100/1000 Mbit z lokalnym serwerem systemu Ekstraklasy S.A.
znajdującym się w lokalnej serwerowni klubu sportowego.
Serwer wydruku ma umożliwiać wykonanie co najmniej następujących czynności:
• wydruk karty kibica na podstawie wniosków przygotowanych przez terminale rejestrujące,
• możliwość wydruku kart z wielu terminali rejestrujących.
Dla większej ilości serwerów wydruku znajdujących się w jednym pomieszczeniu możliwe będzie agregowanie połączeń sieciowych (poprzez lokalne przełączniki), w taki sposób że wymagane będą co najmniej 2 połączenia sieciowe do Serwera Lokalnego przypadające na zestaw serwerów wydruku znajdujących się w jednym pomieszczeniu.

6 System biletowy
System biletowy musi umożliwiać odczyt unikalnego numeru seryjnego karty oraz danych zapisanych w określonych blokach pamięci EEPROM karty.
System biletowy będzie wymagał co najmniej dwóch połączeń sieciowych Ethernet 100/1000 Mbit z lokalnym serwerem systemu Ekstraklasy S.A. znajdującym się w lokalnej serwerowni klubu sportowego (drugie połączenie ma pełnić funkcję połączenia zapasowego wykorzystywanego w przypadku awarii pierwszego).
Integracja systemu biletowego z systemem centralnym Ekstraklasy będzie możliwa przy użyciu dostarczonego przez Ekstraklasę API. Interfejs ten będzie umożliwiał wykonanie co najmniej następujących czynności:
• weryfikacja ważności karty kibica przed sprzedażą biletu,
• przesłanie informacji o sprzedanym bilecie,
• przesłanie informacji o ewentualnej zmianie właściciela biletu,
• przesłanie informacji o ewentualnym zwrocie biletu.
System biletowy jest własnością klubu i jest administrowany przez klub.
Serwer lokalny systemu Ekstraklasy będzie komunikował się z posiadanym przez klub systemem biletowym poprzez wyżej opisane API.

7 System kontroli dostępu
System kontroli dostępu musi umożliwiać odczyt unikalnego numeru seryjnego karty oraz danych zapisanych w określonych blokach pamięci EEPROM karty.
System kontroli dostępu będzie wymagał co najmniej dwóch połączeń sieciowych Ethernet 100/1000 Mbit z lokalnym serwerem systemu Ekstraklasy S.A. znajdującym
się w lokalnej serwerowni klubu sportowego (drugie połączenie ma pełnić funkcję połączenia zapasowego wykorzystywanego w przypadku awarii pierwszego).
Integracja systemu kontroli dostępu z systemem centralnym Ekstraklasy będzie możliwa przy użyciu dostarczonego przez Ekstraklasę API. Interfejs ten będzie umożliwiał wykonanie co najmniej następujących czynności:
• weryfikacja ważności karty kibica przed wejściem na obiekt,
• przesłanie informacji o wejściu osoby na obiekt,
• przesłanie informacji o nieudanej próbie wejścia osoby na obiekt,
• przesłanie informacji o wyjściu osoby z obiektu.
System kontroli dostępu jest własnością klubu i jest administrowany przez klub.
Serwer lokalny systemu Ekstraklasy będzie komunikował się z posiadanym przez klub systemem kontroli dostępu poprzez wyżej opisane API.

dysponentem tych danych osobowych
(imię, nazwisko, PESEL, wizerunek, adres)
będą KLUBY SPORTOWE,
a wyrabianie KK jest de facto przymusowe
(klauzula niedozwolona?!)
- nie masz KK = nie kupisz biletu.
Co z tego że ustawa o bezpieczeństwie imprez masowych uznaje za dokument potwierdzający tożsamość również:
DOWÓD OSOBISTY, PRAWO JAZDY, LEGITYMACJĘ STUDENCKĄ, etc
jeśli również INNY DOKUMENT (czytaj KK) a na nim Kluby zarobią:
-przy wydaniu KK
-sprzedając dane osobowe ("dobrowolna" zgoda kibica) innym podmiotom do celów handlowych, marketingowych, etc
-inne (propozycje?)

P.S Wielki Brat ma wielu "małych" braci...

Mifare Classic

Dla osób, które nie interesują się na bieżąco bezpieczeństwem, nota bene: zabezpieczenia Mifare Classic zostały przełamane na kilku frontach, ie. można na odczytać wszystkie dane z karty bez wiedzy użytkownika, bez dostępu do "uprawnionego" czytnika.

ale jaja

RFID zasilane jest energią fali która pada na antenę zatem czarno widzę możliwość wprowadzenia jakiegoś silniejszego algorytmu kodowania

tylko pasywne

Nieprawda. Tylko tagi pasywne są tak zasilane. Tagi semipasywne i aktywne mają własne zasilanie.

Dodaj nowy komentarz

Zawartość tego pola nie będzie publicznie dostępna.
  • Dopuszczalne tagi HTML: <a> <em> <del> <ins> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Rozpoczynanie akapitów i łamanie wierszy następuje automatycznie.
  • Użyj [# ...] by dodać automatycznie numerowany przypis dolny (footnotes).

Więcej informacji na temat opcji formatowania

CAPTCHA
Niestety spamerzy atakują, dlatego muszę się bronić.
2 + 3 =
Rozwiąż to proste zadanie matematyczne. Dla przykładu: 1+3 daje 4.

O autorze serwisu VaGla.pl Prawo i Internet

VaGlaPiotr VaGla Waglowski - prawnik, publicysta i webmaster. Pracownik Interdyscyplinarnego Centrum Modelowania Matematycznego i Komputerowego Uniwersytetu Warszawskiego, członek Rady ds. Cyfryzacji przy Ministrze Administracji i Cyfryzacji, felietonista miesięcznika IT w Administracji oraz miesięcznika Gazeta Bankowa. Uczestniczy w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo (dawniej Przeciw Korupcji). W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również Członkiem Rady Informatyzacji przy MSWiA, członkiem Rady Informatyzacji działającej przy Ministrze Administracji i Cyfryzacji, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 pełnił funkcję Zastępcy Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Konsultant, trener, wykładowca, autor publikacji dotyczących prawnych aspektów społeczeństwa informacyjnego.