The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Демонстрация удаленного считывания данных с идентификационных RFID чипов

04.02.2009 12:54

В материале "Drive-By 'War Cloning' Attack Hacks Electronic Passports, Driver's Licenses " рассматривается возможность проведения атаки, позволяющей злоумышленникам удаленно считывать данные с RFID чипов электронных паспортов и удостоверений. После считывания данных, злоумышленник может имитировать отправку перехваченной информации для идентификации вместо владельца перехваченных данных. Клонирование меток EPC Gen 2 RFID возможно из-за недостаточной проработки механизмов аутентификации и шифрования.

6 февраля на конференции SchmooCon будет продемонстрировано считывание RFID меток на расстоянии около 6 метров, используя стандартный RFID сканнер, купленный на аукционе eBay за $250. Проехав на машине по улицам Сан-Франциско, экспериментаторам удалось собрать приличную коллекцию данных, собранных с RFID чипов удостоверений прохожих. RFID работает в широковещательном режиме, поэтому теоретически, при использовании чувствительных приемников, считать данные можно и за сотни метров от объекта.

  1. Главная ссылка к новости (http://www.darkreading.com/sec...)
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/20110-rfid
Ключевые слова: rfid, security
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (36) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, belkin (ok), 13:44, 04/02/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А вы думали туда цифроподписыватель встроили? Такая же фигня с кредитными карточками - хозяин понятия не имеет, что, кому и когда она сообщает - ни кнопок, ни индикаторов. Как же всё по-идиотски, не професссионально делаются все эти вещи...
     
     
  • 2.2, fyjybv (?), 13:46, 04/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    кредитки хоть работают контактым образом. Суешь в любую дырку только на свой риск. А тут - 6м и возможность увеличить расстояние за счет более направленных антенн.
     
     
  • 3.5, Driver (??), 15:58, 04/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >кредитки хоть работают контактым образом. Суешь в любую дырку только на свой
    >риск. А тут - 6м и возможность увеличить расстояние за счет
    >более направленных антенн.

    то-то кардеры контактно так всех разувают,ага.На самом деле там все очень тупо и незащищенно сделано, так что вы пролетаете.

     
  • 2.4, Аноним (-), 13:52, 04/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    А как выглядела бы профессионально сделанная кредитка?
     
     
  • 3.6, Дмитрий Ю. Карпов (?), 16:20, 04/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    > А как выглядела бы профессионально сделанная кредитка?

    Как минимум, с индикаторной панелью, на которой высвечивается, что сейчас хотят сделать, и кнопкой подтверждения операции.

     
     
  • 4.8, pavlinux (ok), 17:39, 04/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    На банкомат вешается фейковый считыватель, выдаёт вам инфу о снятии наличных,
    ту которую запросили, а сам списывает сколько надо себе на счёт.

     
     
  • 5.9, belkin (ok), 18:14, 04/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >На банкомат вешается фейковый считыватель, выдаёт вам инфу о снятии наличных,
    >ту которую запросили, а сам списывает сколько надо себе на счёт.

    Банковский сервер формирует чек, подписывает и отправляет карточке на подпись. У карточки есть сертификат банка, она верифицирует чек, показывает его на дисплее карточки (написано кому, сколько и за что платишь) и ждёт подтверждения от владельца (кнопкой, отпечатком и т.п.). Владелец даёт добро, карточка подписывает чек и отсылает его банкомату. Далее всё понятно. Карточка может запоминать подписанные чеки, связь с сервером банка может дополнительно шифроваться, подпись может быть "слепой", карточка может быть защищена от ЭМИ и проникающего излучения и т.п. улучшения. Все математические и алгоритмические решения давно уже есть. Вопрос в том, когда разработку таких государствено важных проектов будут отдавать профессиональным инженерам, а не слабоумным откатоплательщикам. Это произойдёт не раньше, чем российская нефть начнёт продаваться за рубли. Сами догадайтесь почему.

     
     
  • 6.10, pavlinux (ok), 18:54, 04/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >>На банкомат вешается фейковый считыватель, выдаёт вам инфу о снятии наличных,
    >>ту которую запросили, а сам списывает сколько надо себе на счёт.
    >
    >Банковский сервер формирует чек, подписывает и отправляет карточке на подпись.
    > У карточки есть сертификат банка, она верифицирует чек,

    Но, с начало его просмотрит фейковый ридер,
    > показывает его на дисплее карточки (написано кому, сколько и за что платишь)

    "правильную" сумму
    > и ждёт подтверждения от владельца (кнопкой, отпечатком и т.п.).
    > Владелец даёт добро, карточка подписывает чек

    только фейковый
    > и отсылает его банкомату.
    > Далее всё понятно.

    Угу
    > Все математические и алгоритмические решения давно уже есть.

    И ещё есть хакерский закон - если можно прочитать, значит можно записать,
    если ты не можешь прочитать, значит найдется другой хакер. :)

     
     
  • 7.15, Konstantin (??), 22:03, 04/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Вам слова Электронная подпись и Сертификат видимо совсем ни о чем не говорят?
     
  • 7.16, fa (??), 23:40, 04/02/2009 [^] [^^] [^^^] [ответить]  
  • +/

    >И ещё есть хакерский закон - если можно прочитать, значит можно записать,
    >
    >если ты не можешь прочитать, значит найдется другой хакер. :)

    где это вы закон такой чудной нашли. на cd слабо записать пару байтов?


     
  • 7.21, none (??), 07:55, 05/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    а вы попробуйте врезаться в сетевой провод идущий от моего компа и почитать инфу летящую на удаленный 22-ой порт ;)
     
     
  • 8.25, Tester (??), 11:11, 05/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Ыы Вообщето такое возможно для примера такое может делать любой роутер - кото... текст свёрнут, показать
     
     
  • 9.29, belkin (ok), 12:02, 05/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Ыы Вообще человек говорил про туннель SSH порт 22 ... текст свёрнут, показать
     
     
  • 10.34, ва (?), 17:12, 05/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    вообще Man in middle легко пройдёт, если это будет первый вход машины и человек ... текст свёрнут, показать
     
  • 7.28, belkin (ok), 12:00, 05/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >>Банковский сервер формирует чек, подписывает и отправляет карточке на подпись.
    >> У карточки есть сертификат банка, она верифицирует чек,
    >
    >Но, с начало его просмотрит фейковый ридер,

    Пусть смотрит. В чём проблема ?

    >> показывает его на дисплее карточки (написано кому, сколько и за что платишь)
    >
    >"правильную" сумму

    Конечно правильную. Чек подписан банком, изменение содержания повлечёт за собой изменение значения Hash-функции, что будет обнаружено карточкой при верификации.

    >> и ждёт подтверждения от владельца (кнопкой, отпечатком и т.п.).
    >> Владелец даёт добро, карточка подписывает чек
    >
    >только фейковый

    Подделка обаруживается - смотри выше.

     
  • 6.17, borman (??), 02:27, 05/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Это элементарно дорого и неудобно. Снабжать каждую карточку устройствами ввода-вывода (ведь банкоматам и прочим чужим девайсам мы тоже не доверямем, ага?), да еще и причем такими откровенно специфическими как считыватели отпечатков. Опять же возникают вопросы по поводу характеристик экрана, на который должна выводится. Насколько долговечной будет такая хрупкая система? Какое ПО будет всем этим хозяйством управлять? Кем оно будет разработано и сертифицировано? Доверяем ли мы ему? И так далее...

    И вообще прослеживаются аналогии с защитой телевизионных каналов от несанкционированного просмотра. Те же карточки с микропроцессором, ключи, сертификаты. Вот только толку мало - все равно взломанных, склонированных карт полно. А что помешает сделать клон предложенного вами варианта?

     
     
  • 7.22, none (??), 08:01, 05/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    если ты кредитку умудрился прое*ть на какое-то время, да еще и этого и не заметить, то ССЗБ. а так один звонок в банк с просьбой заблокировать кридитку и затем прогулка в этот же банк, что бы подписать новый сертификат и получить новую карточку.
     
  • 7.23, Аноним (23), 10:35, 05/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Считыватель отпечатков - это уже не обязательно, в принципе достаточно пин-кода, набираемого на самой "карте". Вся эта система значительно проще самого простого сотового телефона. Стоить будет не более нескольких сот рублей.

    >Вот только толку мало - все равно взломанных, склонированных карт полно.

    Это потому, что 1) чип, защищающий шифрованные данные, находится у _зрителя_, который _не заинтересован_ в сохранении тайны шифрования; 2) достаточно взломать _один_ из всех существующих чипов, чтобы вся система шифрования накрылась медным тазом. И даже несмотря на это, покажите мне, например, пиратский "Триколор". В случае же с кредитками все наоборот - владелец кредитки прямо заинтересован в ее безопасности; кроме того, "взломав" одну кредитку, хакеры получат доступ только к счету ее владельца, а не всех клиентов банка.

     
  • 7.26, belkin (ok), 11:46, 05/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Это элементарно дорого и неудобно. Снабжать каждую карточку устройствами ввода-вывода (ведь банкоматам

    Платформа для этого уже лет десять выпускается. Выглядит как обычная карточка. Внутри процессор, память и ПО на микро-Java. Оно выполняет цифровую подпись. Добавьте пару кнопок, ЖК-дисплей на несколько строчек и напишите нужный код и в готово. Стоимость - около $50 баксов при небольших партиях. При массовом распространении её банки будут выдавать бесплатно ил под залог, как карточки в метро.

    >Кем оно будет разработано и сертифицировано? Доверяем ли мы ему? И
    >так далее...

    Это намного лучше чем то, что есть сейчас, когда достаточно узнать реквизиты карточки или один раз прокатать своим считывателем в магазине/ресторане у вас на глазах.

    >И вообще прослеживаются аналогии с защитой телевизионных каналов от несанкционированного просмотра. Те
    >же карточки с микропроцессором, ключи, сертификаты. Вот только толку мало -
    >все равно взломанных, склонированных карт полно. А что помешает сделать клон
    >предложенного вами варианта?

    Потому что эту ТВ-защиту, как и автосигнализации, делают дебилы-инженеры и хитропопые маркетологи. Разве мы видим легкие перехваты SSH-сессий ? Нет. Так какого члена подобные алгоритмы не применяются там? Правильно - тогда себестоимость устройств будет выше, а прибыль ниже, потому что сейчас они копеечную г. продукцию продают по цене "абсолютно защищённых от взлома систем". Про ТВ вообще ещё смешнее: там защита это проблема ТВ-компании и зритель платить большие деньги за решение чужих проблем не захочет.


     
  • 3.7, pavlinux (ok), 17:34, 04/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >А как выглядела бы профессионально сделанная кредитка?

    * Блокиратор считывания - маленькая пимпочка.
    * Фильтр отпечатка пальца - специально сформированная плёнка в прозрачной защитной плёнке - т.е. для идентификации необходимо считать отпечаток с пальца через фильтр, который кодируется в банке - на выходе рисунок вашего пальца с наложенной маской.
    (Фейковый считыватель может считать только маску и маску с пальцем,
    для полного хака ещё нужен просто палец).

    * Запретить использовать для отпечатков "Большой", "Указательный" и "Средний" пальцы!
    * Алюминевый чехол, сдвигается при считываний - как у флоппика.

     
     
  • 4.11, aplsms (??), 19:27, 04/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Только все эти методы абсолютно не работают, если гопник приставил пистолет (даже газовый) к затылку, или данные карточки были украдены каким-то сотрудником в банке.  Ломают не системы безопасности, ломают ЛЮДЕЙ.
     
     
  • 5.12, Аноним (23), 20:46, 04/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Вы сказали бред - здесь обсуждались способы информационного взлома, а не физического - и информационная безопасность, а не физическая
     
  • 4.18, borman (??), 02:33, 05/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Бред. "Пальчики" подделываются на ура. Это раз. Система становит дорогой и хрупкой. Это два.

    Ну и самый интересный вопрос - какую еще информацию вы готовы предоставить вашему банку - отпечатки ваших пальцев, сетчатку глаза, код днк, ваше текущее местоположение, график встреч? Ведь вся эта информация позволит очень надежно защитить ваши средства.

     
     
  • 5.27, belkin (ok), 11:48, 05/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Ну и самый интересный вопрос - какую еще информацию вы готовы предоставить
    >вашему банку - отпечатки ваших пальцев, сетчатку глаза, код днк, ваше
    >текущее местоположение, график встреч? Ведь вся эта информация позволит очень надежно
    >защитить ваши средства.

    Я готов дать любые идентифицирующие меня признаки, если это повысит сохранность моих денег и ответственность банка.

     
  • 3.14, User294 (??), 21:46, 04/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >А как выглядела бы профессионально сделанная кредитка?

    Явно не куском пластика с магнитной полосой которую скопировать раз плюнуть.И что характерно, пинкод требуется не везде - при оплате кредиткой через интернет ли или просто в магазине - никакого пинкода и если не повезет то и подтверждений тоже.Сейчас банки ученые жизнью - подобные транзакции любят подтверждать позвонив владельцу по контактному телефону.Но это определенно добавляет геморроя.

     
  • 2.32, 1234 (?), 16:08, 05/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Вы абсолютно правы, но забываете о том кто вас будет кидать при любой степени защиты ваших данных. Это банк. Он будет иметь неограниченный доступ и к вашим счетам и к вашей персональной информации...
     
     
  • 3.33, belkin (ok), 16:28, 05/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Вы абсолютно правы, но забываете о том кто вас будет кидать при
    >любой степени защиты ваших данных. Это банк. Он будет иметь неограниченный
    >доступ и к вашим счетам и к вашей персональной информации...

    Он и сейчас всё знает обо мне. А вот цифровую подпись мою в отличии от обычной подписи чернилами, он замучается подделывать.

     
  • 3.35, User294 (??), 17:45, 05/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Вы абсолютно правы, но забываете о том кто вас будет кидать при
    >любой степени защиты ваших данных. Это банк.

    Хорошие банки дорожат репутацией и не кидают.Иначе от них клиенты сбегут (и как раз по причине наличия интересной информации они обычно конкретно &%#нуты на секурити, запрещая сотрудникам все и вся, вплоть до мобильных телефонов на рабочем месте).Другое дело что ситуация в экономике может кинуть всех.Скажем если вы держите деньги в рублях и щелкаете клювом - вы пролетаете что с банками, что храня деньги под подушкой совершенно однохренственно.

     

  • 1.3, blackpepper (?), 13:51, 04/02/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Хм, это из той же серии?
    http://www.carhelp.info/index.php?pid=3
     
  • 1.13, Alen (??), 21:21, 04/02/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    когда мне выдадут мой биометрический загранпаспорт, первое что я сделаю - между паспортом и кожухом проложу листок тонкой фальги :)
     
     
  • 2.19, Hamelion (ok), 04:52, 05/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    а еще можно проводок на тело..., и цепь привязать..., чтобы по земле волочилась )))
     

  • 1.20, mac19856 (?), 07:16, 05/02/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ребята, какая вам хрен разница, кто у вас с кредитки что украл? Это же кредитная карточка, все что с нее украли вам возмещать не нужно - это проблема банка :-)

    Или господа хорошие путают кредитную карточку с дебитной? Так не стоит вообще дебитной пользоваться, в крайнем случае - secure credit делаете и все.

     
     
  • 2.24, Аноним (23), 10:37, 05/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Ребята, какая вам хрен разница, кто у вас с кредитки что украл?
    >Это же кредитная карточка, все что с нее украли вам возмещать
    >не нужно - это проблема банка :-)
    >
    >Или господа хорошие путают кредитную карточку с дебитной? Так не стоит вообще
    >дебитной пользоваться, в крайнем случае - secure credit делаете и все.
    >

    Вообще деньги надо хранить не в банке, а у себя, и не в бесполезных бумажках, а в твердой валюте - например, в золоте, но лучше - в оружейном плутонии :)

     
  • 2.30, belkin (ok), 12:15, 05/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Ребята, какая вам хрен разница, кто у вас с кредитки что украл?
    >Это же кредитная карточка, все что с нее украли вам возмещать
    >не нужно - это проблема банка :-)

    Это в Америке так. У нас сначала будешь доказывать, что это не ты деньги снял, будешь платить $15-$50 за внесение карточки в стоп-лист и прочие "радости".

     
     
  • 3.36, Аноним (23), 23:43, 06/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    > Это в Америке так. У нас сначала будешь доказывать, что это не ты деньги снял, будешь платить $15-$50 за внесение карточки в стоп-лист и прочие "радости".

    Ну, значит нужно сделать так, как в Америке - все уже давно придумано и проверено на практике. А с карточками на кнопках и сенсорами отпечатка пальцев ходить - бред сивой кобылы в вакууме.


     

  • 1.31, smartcard (?), 12:18, 05/02/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    RFID вообще-то не прензаначен для хранения важных данных. Для обеспечения конфиденциальности существуют контактные смарт-карты с пользовательскими паролями (PIN) и сертификатами.
     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру