makor technologies

פרצת אבטחה בכרטיסי קרבה בפרוטוקל Mifare

01/06/2009

אם קמתם משנתכם עם חשק עז לנסוע ברכבת תחתית באירופה מבלי לשלם מטבע - ובכן, כעת התחזית לא נראית עמומה כל כך. אתר Cnet מדווח על שני מאמרים שחושפים את הפרצות בכרטיס החכם Mifare, המשמש כאמצעי הכניסה לרכבות תחתית רבות ברחבי העולם, ביניהם זו של לונדון, אמסטרדם, בוסטון, ניו-דלהי, הונג-קונג, מדריד ובנקוק. המאמר הראשון שפורסם מטעמה של אוניברסיטת רדבוד מהולנד, חשף את פרצות האבטחה בכרטיס. מאמר נוסף שפורסם מטעם חוקר של אוניברסיטת הומבולדט בברלין, הציג במלואו את האלגוריתם של השבב המופעל בכרטיס. קרסטן נול, מומחית בתחום ה-RFID שהתראיינה לאתר החדשות CNet ציינה כי "שילוב המידע משני המקורות יכול לאפשר עכשיו ניצול של פרצות האבטחה על ידי כל אחד".

ד"ר בארט ג'ייקובס, מחברו של המאמר ההולנדי ציין בפני כתבי CNet כי השתמש במידע על מנת להתנייד ברחבי העיר ללא תשלום. ג'ייקובס מציין כי שימוש בפרצות האבטחה אפשר לו להשיג את קוד הגישה של מערכת הכרטיסים, וכל מה שהיה נדרש מכאן והלאה היה להסתובב עם לפטופ ליד נוסעים אחרים על מנת ששבבי ה-RFID שלהם ישלחו לו מספרי זיהוי אותם יוכל לשכפל בכרטיס משלו.

אך פרצת האבטחה אינה נוגעת רק לרכבות תחתית - כרטיסים זהים משמשים ארגונים גדולים לאישור כניסה לבניינים, ביניהם ארגונים ממשלתיים. בכיר בממשל ההולנדי ציין בפני כתב ה"לונדון טיימס" כי בעקבות המקרה יוחלפו כרטיסיהם של כ-120 אלף עובדי ממשל הולנדיים.

למרות מימדיו המרשימים של מהלך המגננה של הממשל ההולנדי, אחוז המערכות הממוגנות נותר זעום. כרטיסי Mifare, המיוצרים על ידי חברת NXP Semiconductors ההולנדית מוחזקים בארנקיהם של יותר מ-500 מיליון משתמשים. אך גם מספר זה מתגמד לעומת 3.5 מיליארד הכרטיסים שעושים שימוש בפרוטוקול של Mifare, לפי הערכתו של אריק ג'והאנסן, מומחה אבטחה מסיאטל שהתראיין ל-CNet.

אולם פרצת האבטחה האירופית היתלה לא רק בגופים המחלקים את הכרטיסים. למעשה, הביאה זו לקיצו של הליך משפטי מתוקשר שבמהלכו נאסר על שני סטודנטים מ-MIT להציג את ממצאיהם על פרצות האבטחה של מערכת הכרטיסים החכמים המשמשת את הרכבת התחתית של בוסטון בכנס של האקרים. המקרה, שנידון בהרחבה בעיתונות האמריקנית, גרר סדרה של ויכוחים, תביעות ותביעות חוזרות. עתה אין באלו עוד כל צורך.

לאתר Mifare ובו הסברים על פרצת האבטחה וכיצד למזער את הנזק

לסרטון המסביר כיצד פרצו את הקריפטוגרפיה של כרטיסי המייפר

 זיוף כרטיסי Mifare

 

*המאמר המקורי פורסם בדה מרקר

הדפסשלח לחברהוסף תגובה
דרונט בניית אתרים

מקור טכנולוגיות (ג. מקורטק מערכות זיהוי בע"מ), פרשקובסקי 7 ראשל"צ טלפון: 03-9507079 פקס: 03-6053633
מרחב צפון - טלפון: 054-2561550