Čipové karty je ľahké prečítať

Karty študentov či električenky majú bezpečnostnú chybu. Bez dotyku ich možno skopírovať, podvodníci si môžu sami dobíjať kredit.

Jednoduchá čítačka zistí meno aj výšku kreditu. Majiteľ karty ani netuší, že sa čierny pasažier zameral na neho. Vpravo na snímke je prístroj, ktorý umožňuje aktívne odpočúvanie komunikácie.(Zdroj: SME – VLADIMÍR ŠIMÍČEK)

BRATISLAVA. Do autobusu MHD nastúpi mladý muž, sadá si na voľné miesto. Chvíľu sa hrá s vreckovým počítačom, potom si ešte dvakrát presadne na iné sedadlo a po niekoľkých zastávkach vystúpi. V tom momente už má v počítači mená pasažierov a kópie všetkých údajov z ich električeniek.

Doma si zoznam prezrie, zvolí jednu obeť a za niekoľko sekúnd vyrobí kópiu jej čipovej karty. Odteraz môže jazdiť v MHD zadarmo.

Stačí čítačka za 30 eur

Otvorené karty
  • firma Emtest dodala asi dva milióny kariet, aktívny je asi milión z nich
  • ide o električenky, študentské ISIC karty či karty na parkovanie
  • zariadenie za 30 eur načíta
údaje na zopár centimetrov

Milión aktívnych čipových kariet na Slovensku je pre ich majiteľov rizikom. Chyba v systéme vystavuje ich údaje možnosti zneužitia, vďaka zariadeniu za pár eur je možné ich kopírovať a meniť.

Chybu v kartách založených na technológii Mifare Classic potvrdil aj ich slovenský výrobca – firma Emtest.

„Už minulý rok sme zvolali stretnutia s našimi klientmi, upozornili sme ich na riziká, súčasne sme navrhli náš spôsob riešenia na zvýšenie úrovne bezpečnosti,“ povedal riaditeľ bratislavskej časti spoločnosti Emtest Branislav Jurčišin.

Dodatočne vedia kópiu zablokovať

„Z bezpečnostného hľadiska nejde o naše zlyhanie, alebo zlyhanie výrobcu. To, na čo prišli výskumníci, jednoducho vyplýva z povahy veci. Zjednodušene povedané, je to ako keď si kúpite auto s benzínovým motorom, ktoré má nejaké spaliny a niekto by vás obvinil, že znečisťujete prostredie,“ obhajuje sa spoločnosť.

Čo umožňuje chyba v kartách
  • vyrobiť ľubovoľné množstvo kópií vlastnej alebo cudzej karty
  • zmeniť údaje na karte vrátane mena, výšky kreditu či lehoty platnosti
  • prečítať všetky údaje uvedené na cudzej karte bez vedomia jej majiteľa.

Problém s kartami nespôsobila slovenská firma, ale týka sa približne miliardy kariet na celom svete. Vedci na ňu upozornili už v roku 2008.

„Firme Emtest muselo byť už vtedy jasné, že karty sa dajú zneužiť, ale zrejme chápali útok len ako teoretickú hrozbu,“ hovorí bezpečnostný expert Pavol Lupták, ktorý SME na chybu upozornil.

Firma sa zneužitiu bráni vytvorením centra, ktoré kontroluje používanie kariet. Ak sa do obehu dostala kópia cudzej karty, dokáže to dodatočne vypátrať a karty zablokovať.

„Keby urobili aj úplne kvalitný klon karty, bude mať nesprávnu sekvenciu udalostí, ktoré sa na nej udiali. My ich potom vieme zablokovať,“ hovorí Ladislav Heglas, konateľ žilinskej časti Emtestu.

Karty vymenia postupne

Útočníkom to však nezabráni v predaji falošných kariet. Kópiu karty totiž firma odhalí až po čase, môže ísť aj o niekoľko týždňov. Ak podvodník skopíruje cudziu kartu, nemusia ho vôbec vypátrať. Ak ho navyše kontroluje revízor, stačí, ak si vyrobí opäť novú kartu skopírovanú od iného pasažiera.

Emtest chce teraz svoj systém čiastočne upraviť a znemožniť útočníkom prečítať citlivé dáta. Toto riešenie už nasadili v Česku. „Do konca roka predpokladáme, že začneme údaje šifrovať aj na Slovensku,“ tvrdí Heglas.
Ani táto úprava však nezabráni tomu, aby si podvodník vyrobil funkčnú kópiu novej karty.

Tomu sa dá predísť len výmenou všetkých kariet za nové. Nákupná cena dnešných kariet je približne jedno euro, bezpečné karty sú dva­ až trikrát drahšie.

fals.jpg

Falošná karta vznikne za pár sekúnd. FOTO – SME

Napríklad pražská MHD prestala zastarané typy kariet používané na Slovensku vydávať už v lete 2008. Na Slovensku to chce Emtest urobiť do konca roka. „Nové karty Mifare DESfire už budú vydávané na novom médiu, ktoré nemá tento bezpečnostný problém,“ tvrdí Heglas. Zatiaľ sa však nevie, či a kedy budú cestujúcim vymenené aj staršie karty.

Firmy, ktoré dnes karty využívajú, nechávajú riešenie na Emtest. „Ochrana kariet pred zneužitím je predovšetkým vecou dodávateľa systému,“ píše vo svojom stanovisku spoločnosť Slovak Lines, ktorej pasažieri
s kartami cestujú v autobusoch na celom Slovensku.

„Dodávateľ dáva určité garancie a doteraz sme nezaznamenali žiadne prípady podobného druhu,“ povedala hovorkyňa Eva Vozárová.

Bezpečnosť je vecou Emtestu aj podľa Dopravného podniku mesta Košice. Postupne chce karty vymeniť Bratislavský dopravný podnik.

Lupták: Ako inak donútiť firmy k náprave?

Preveruje aj bezpečnosť bánk a kasín. Teraz ukázal na chybu čipových kariet.

lupt.jpgBRATISLAVA. O tridsiatnikovi Pavlovi Luptákovi, ktorý ukázal, aké jednoduché je kopírovať čipové karty, dopravné podniky už počuli.

V júli tohto roka zverejnil postup možného zneužitia systému SMS lístkov v mestskej hromadnej doprave, aký používajú aj v Bratislave a Košiciach. Minulý týždeň zasa varoval pred možnosťou zneužitia údajov
v elektronických zdravotných kartách, ktoré pripravuje ministerstvo zdravotníctva.

Zväčša ho firmy a úrady svojou reakciou sklamali. Pri SMS lístku možnosť zneužitia zapierali, hoci jeho technický popis nedokázal nikto spochybniť.

Dodávateľ čipových kariet, firma Emtest, ho teraz prekvapila. Zachovali sa podľa neho „profesionálne a seriózne“.

Lupták má vlastnú bezpečnostnú firmu Nethemba, robí aj testy bezpečnosti v bankách, poisťovniach či online kasínach. Priznáva, že hľadá bezpečnostné nedostatky najmä preto, aby svoju firmu zviditeľnil. „Sme jedna z mála slovenských bezpečnostných firiem, ktoré robia aj vlastný výskum,“ hovorí.

O teoretickej možnosti falšovania čipových kariet sa vo svete vedelo, Lupták však zašiel ďalej, ako pred rokom experti z Holandska. Ukázal, že problém sa týka aj slovenských kariet, s kolegom Norbertom Szeteiom navyše ako prví zverejnili aj nástroj, ktorý domáce čítanie a zmenu karty výrazne uľahčuje.

Pavol Lupták chce takto presvedčiť firmy, aby lepšie chránili údaje svojich zákazníkov. „Kto by inak tlačil firmy k tomu, aby boli ich systémy naozaj bezpečné? Pasažieri o tom nedokážu zistiť nič, dopravné podniky zaujíma len funkčnosť systému. Kým im to niekto priamo neukáže, nemajú dôvod čokoľvek meniť,“ hovorí expert.

„Ak som na možnosť zneužitia prišiel ja, len s použitím verejne dostupných informácií, môže to zistiť hocijaký kriminálnik a zneužívať alebo predávať osobné údaje cestujúcich,“ vysvetľuje.

V Luptákovom životopise na webe možno nájsť okrem iného aj certifikáciu „etického hackingu“ – znamená to záväzok dodržiavať pri objavení bezpečnostnej diery presne stanovené postupy, aby verejnosti nehrozilo priveľké riziko.

Aj preto po odhalení problémov najskôr informoval dodávateľa kariet, až po dvoch mesiacoch sa obrátil na médiá.

tb
Klon karty vyjde na pár eur

BRATISLAVA. Na prelomenie bezpečnosti čipových kariet stačí odborníkovi zariadenie za pár eur. Chyba otvára cestu k údajom tisícov ľudí a umožňuje podvodníkom cestovať zadarmo.

Na vyklonovanie alebo zmenu čipovej karty stačí čítačka takýchto kariet – je legálna, dá sa kúpiť v internetových obchodoch už za tridsať eur. Softvér na prelomenie kľúčov chrániacich kartu sprístupnil Pavol Lupták – stiahnuť sa dá zadarmo.

S pomocou týchto kľúčov potom možno na rovnakej čítačke vyrábať kópie karty alebo údaje na karte zmeniť.

tb
Začalo to londýnske metro

O chybe miliardy čipových kariet vie svet už minimálne rok.

AMSTERDAM, BRATISLAVA. Chybu na čipových kartách Mifare Classic odhalil a popísal ešte v marci 2008 profesor Bart Jacobs z Radboud University v holandskom Nijmegene.

Na príklade Oester kariet používaných v Londýne ukázal, ako možno celkom bezplatne cestovať metrom. Nebolo pritom treba žiadne drahé zariadenia.

O zverejnenie konkrétneho postupu, ktorý sa okrem londýnskeho metra týka jednej miliardy rôznych kariet po celom svete, vrátane Slovenska, museli vedci najskôr zviesť súboj s výrobcom.

Firma NXP, najväčší svetový výrobca kariet, ktorý patrí do skupiny Philips, jej chcela zverejnenie vedeckej práce zakázať súdnou cestou.

Firma tvrdila, že vyriešenie problému zaberie množstvo času a zverejnená práca napácha „značné škody pre spoločnosť“.

Holandský súd však dal za pravdu vedcom a zverejnenie informácií o bezpečnostnej chybe povolil.
Univerzita informácie o chybe publikovala v októbri 2008.

Aj keď je známe, čo chybu spôsobuje, jej vyriešenie nie je možné inak než výmenou všetkých kariet za nové. Rôzni prevádzkovatelia po celom svete však k tomu pristupujú len postupne, chybných je stále 80 percent, teda zhruba miliarda čipových kariet.

tu

Najčítanejšie na SME Tech


Inzercia - Tlačové správy


  1. Last minute tipy na Kapverdské ostrovy
  2. Voda, kotol, vymknutie: Čo stoja najčastejšie domáce katastrofy?
  3. Žijú, lebo sa nevzdali. Príbehy ľudí bojujúcich za svoje zdravie
  4. Nový Volkswagen Arteon sa predstaví na bratislavskom autosalóne
  5. Last minute dovolenka sa dá kupiť výhodne už teraz
  6. Legendárna Štefánka opäť ožíva pod sieťou Pulitzer family
  7. Päť tipov, kam na predĺžený víkend v máji
  8. Inteligencia vo všetkom
  9. Volvo V90 Cross Country je pripravené na každé dobrodružstvo
  10. Continental spúšťa dlhodobý test pneumatík s vodičmi z Facebooku
  1. Ako efektívne využiť podlahové kúrenie?
  2. Samsung Galaxy S8: smartfón s výnimočným displejom
  3. Túžite byť matkou, ale nedarí sa? Poďme hľadať dôvody!
  4. Last minute tipy na Kapverdské ostrovy
  5. Ako sa menila obľúbená bratislavská štvrť
  6. Nové investičné projekty v Schladmingu s výhľadom na zjazdovku
  7. Podľa M. Borguľu je práca mestskej polície slabá a nedôsledná
  8. Znížená sadzba pri pôžičke v mBank už len štyri dni
  9. Odborníci poradia, komu sa oplatí využívať obnoviteľné zdroje
  10. Katarína (28): Z bývania na Nobelovej mám dobrý pocit
  1. Žijú, lebo sa nevzdali. Príbehy ľudí bojujúcich za svoje zdravie 8 072
  2. Šokujúce: ako sa každý Slovák dokáže ľahko naučiť po anglicky 7 309
  3. Last minute tipy na Kapverdské ostrovy 7 168
  4. Nový Volkswagen Arteon sa predstaví na bratislavskom autosalóne 6 953
  5. Päť tipov, kam na predĺžený víkend v máji 6 093
  6. Voda, kotol, vymknutie: Čo stoja najčastejšie domáce katastrofy? 5 156
  7. Legendárna Štefánka opäť ožíva pod sieťou Pulitzer family 5 118
  8. Last minute dovolenka sa dá kupiť výhodne už teraz 4 090
  9. 5 krokov k vlastnému bývaniu 3 123
  10. Ako sa menila obľúbená bratislavská štvrť 3 061

Hlavné správy zo Sme.sk

PLUS

Nevstupovať. Iba ak zháňate hašiš (reportáž)

Boli sme sa pozrieť na miesto, ktoré funguje ako európsky veľkosklad pre drogy.

BRATISLAVA

Podnájom v Bratislave stojí približne toľko ako hypotéka

Najlacnejšie podnájmy sú v Dúbravke a Karlovej Vsi.

ŠPORT

Mladý americký cyklista zomrel následkom pádu

Dvadsaťjedenročný pretekár spadol v záverečnej etape Tour of de Gila.

Neprehliadnite tiež

Objavili prepojenie medzi autizmom u vnúčat a fajčením v tehotenstve

Deti mali vyššiu šancu prejavovať znaky autizmu, ak fajčila ich babka z matkinej strany.

Fotosyntézu spustili v umelej hmote, čistí vzduch a vyrába čistú energiu

Zariadenie zatiaľ vyskúšali len pri modrom svetelnom spektre.

Vypočítali, ako sa dá cestovať v čase, ale stroj postaviť nevedia

Nový výskum navrhuje matematický model, ktorý umožňuje cestovanie v čase.

Na Marse by ľudia mohli bývať v domčekoch z červených tehál

Inžinieri našli spôsob, ako z červenej pôdy Marsu vyrábať odolné tehly.


Už ste čítali?

Domov NajnovšieNajčítanejšieDesktop