Pięć najczęstszych błędów przy tworzeniu haseł Marne hasło to jak niedomknięte drzwi - wręcz zapraszają złodziei, aby cię okradli. Aby temu zapobiec, powinieneś znać najczęstsze błędy popełniane...
Wieloelementowy zawrót głowy Tradycyjnie przyjęło się uważać, że systemy uwierzytelniania wykorzystują albo coś, co wiemy (np. hasła, PIN), albo coś co mamy (np. token OTP), albo...
Kto siedzi przy klawiaturze? Ciekawym sposobem uwierzytelnienia, który nie wymaga inwestycji w specjalistyczny sprzęt, jest metoda poprzez rozpoznawanie sposobu wciskania...
Karty zbliżeniowe wykorzystywane w systemach kontroli dostępu w firmach czy rozliczania transakcji były reklamowane przez producentów jako bezpieczne. Niektóre z nich można jednak szybko i prosto skopiować - udowadniają naukowcy z Polski i Wlk. Brytanii.
Najpopularniejszymi kartami zbliżeniowymi są karty Mifare Classic firmy NXP Semiconductors. Na świecie sprzedano ich ponad miliard. Producent podaje, że karty te obejmują 70% rynku kart zbliżeniowych. Są powszechnie używane w systemach kontroli dostępu, rozliczania płatności usług, jako bilety komunikacji zbiorowej oraz rejestracji czasu pracy. Wykorzystują je organizacje rządowe (także w Polsce), firmy transportu zbiorowego (taką kartą jest np. Warszawska Karta Miejska) oraz wiele firm, które powierzyły bezpieczeństwo technologii Mifare. Paradoksalnie, są to firmy, które zdecydowały się na wdrożenie takich kart głównie ze względów bezpieczeństwa. Są to przeważnie bogate korporacje, które zainwestowały znaczne fundusze w system posiadający poważny błąd konstrukcyjny - możliwość skopiowania. Przy niektórych błędach implementacji jest to szczególnie łatwe, taką kartę można skopiować w czasie poniżej 10 sekund.
Pierwsze próby i nowy atak
10 sekund
potrzeba, aby skopiować każdą kartę standardu Mifare Classic 1K.
Próby złamania zabezpieczeń kart Mifare podejmowano wielokrotnie. Pierwsze ataki wymagały kontaktu urządzenia odbiorczego z czytnikiem. Następnym krokiem było opracowanie scenariusza ataku, w którym przechwytywany jest sygnał z czytnika bez obecności zgodnej karty, a następnie odczytywanie danych karty z użyciem informacji pochodzących z poprzednich obliczeń. W obu przypadkach niezbędny był dostęp do czytnika kart. Najnowszy atak, informacje o nim opublikowano w maju br., spełnia warunek maksymalnie niekorzystnego scenariusza, gdzie napastnik zdalnie kopiuje dane z nieznanej karty danego standardu w bardzo krótkim czasie, bez znajomości żadnych sygnałów wysyłanych przez czytnik.
Najważniejszą słabością kart zbliżeniowych jest nieodporny algorytm i fatalnej jakości generator liczb losowych, którego obliczenia są przewidywalne w czasie. Opis tego ataku przedstawiono na konferencji Eurocrypt 2009 w Kolonii i zostanie ponownie pokazany - uwzględniając nowe zdobycze kryptologii - na Międzynarodowej Konferencji Bezpieczeństwa oraz Kryptografii SECRYPT 2009 w Mediolanie (7-10 lipca). Autorami raportu, do którego dotarliśmy są naukowcy z Polski i Wlk. Brytanii. Podobne dokumenty zostały także opublikowane na holenderskich portalach hackerskich.
Redakcja nie ponosi odpowiedzialności za wypowiedzi Internautów opublikowane na stronach serwisu oraz zastrzega sobie prawo do redagowania, skracania bądź usuwania komentarzy zawierających treści zabronione przez prawo, uznawane za obraźliwie lub naruszające zasady współżycia społecznego. Osoby zamieszczające wypowiedzi naruszające prawo lub prawem chronione dobra osób trzecich mogą ponieść z tego tytułu odpowiedzialność karną lub cywilną.
moja intuicja wskazywała, że spory ZTM z GIODO właściwie dotyczą tak naprawdę... nieuczciwych użytkowników WKM ZTMu. Sam miałem pomysł na kopiowanie takiej karty... a teraz? Jest to jeszcze prostsze. Tylko 449$+35$ za urządzenie? Droga zabawka, ale za miesięczną wypłatę bym sobie może nawet sprawił, zwrot co prawda dopiero po 3 latach (98x4x3 - tyle kosztuje mniej wiecej karta ZTM)...
Żart, ale ZTM chyba na prawdę nie chce, aby to wyszło na jaw.
