Čipové karty je ľahké prečítať

Karty študentov či električenky majú bezpečnostnú chybu. Bez dotyku ich možno skopírovať, podvodníci si môžu sami dobíjať kredit.

Jednoduchá čítačka zistí meno aj výšku kreditu. Majiteľ karty ani netuší, že sa čierny pasažier zameral na neho. Vpravo na snímke je prístroj, ktorý umožňuje aktívne odpočúvanie komunikácie.(Zdroj: SME – VLADIMÍR ŠIMÍČEK)

BRATISLAVA. Do autobusu MHD nastúpi mladý muž, sadá si na voľné miesto. Chvíľu sa hrá s vreckovým počítačom, potom si ešte dvakrát presadne na iné sedadlo a po niekoľkých zastávkach vystúpi. V tom momente už má v počítači mená pasažierov a kópie všetkých údajov z ich električeniek.

Doma si zoznam prezrie, zvolí jednu obeť a za niekoľko sekúnd vyrobí kópiu jej čipovej karty. Odteraz môže jazdiť v MHD zadarmo.

Stačí čítačka za 30 eur

Otvorené karty
  • firma Emtest dodala asi dva milióny kariet, aktívny je asi milión z nich
  • ide o električenky, študentské ISIC karty či karty na parkovanie
  • zariadenie za 30 eur načíta
údaje na zopár centimetrov

Milión aktívnych čipových kariet na Slovensku je pre ich majiteľov rizikom. Chyba v systéme vystavuje ich údaje možnosti zneužitia, vďaka zariadeniu za pár eur je možné ich kopírovať a meniť.

Chybu v kartách založených na technológii Mifare Classic potvrdil aj ich slovenský výrobca – firma Emtest.

„Už minulý rok sme zvolali stretnutia s našimi klientmi, upozornili sme ich na riziká, súčasne sme navrhli náš spôsob riešenia na zvýšenie úrovne bezpečnosti,“ povedal riaditeľ bratislavskej časti spoločnosti Emtest Branislav Jurčišin.

Dodatočne vedia kópiu zablokovať

„Z bezpečnostného hľadiska nejde o naše zlyhanie, alebo zlyhanie výrobcu. To, na čo prišli výskumníci, jednoducho vyplýva z povahy veci. Zjednodušene povedané, je to ako keď si kúpite auto s benzínovým motorom, ktoré má nejaké spaliny a niekto by vás obvinil, že znečisťujete prostredie,“ obhajuje sa spoločnosť.

Čo umožňuje chyba v kartách
  • vyrobiť ľubovoľné množstvo kópií vlastnej alebo cudzej karty
  • zmeniť údaje na karte vrátane mena, výšky kreditu či lehoty platnosti
  • prečítať všetky údaje uvedené na cudzej karte bez vedomia jej majiteľa.

Problém s kartami nespôsobila slovenská firma, ale týka sa približne miliardy kariet na celom svete. Vedci na ňu upozornili už v roku 2008.

„Firme Emtest muselo byť už vtedy jasné, že karty sa dajú zneužiť, ale zrejme chápali útok len ako teoretickú hrozbu,“ hovorí bezpečnostný expert Pavol Lupták, ktorý SME na chybu upozornil.

Firma sa zneužitiu bráni vytvorením centra, ktoré kontroluje používanie kariet. Ak sa do obehu dostala kópia cudzej karty, dokáže to dodatočne vypátrať a karty zablokovať.

„Keby urobili aj úplne kvalitný klon karty, bude mať nesprávnu sekvenciu udalostí, ktoré sa na nej udiali. My ich potom vieme zablokovať,“ hovorí Ladislav Heglas, konateľ žilinskej časti Emtestu.

Karty vymenia postupne

Útočníkom to však nezabráni v predaji falošných kariet. Kópiu karty totiž firma odhalí až po čase, môže ísť aj o niekoľko týždňov. Ak podvodník skopíruje cudziu kartu, nemusia ho vôbec vypátrať. Ak ho navyše kontroluje revízor, stačí, ak si vyrobí opäť novú kartu skopírovanú od iného pasažiera.

Emtest chce teraz svoj systém čiastočne upraviť a znemožniť útočníkom prečítať citlivé dáta. Toto riešenie už nasadili v Česku. „Do konca roka predpokladáme, že začneme údaje šifrovať aj na Slovensku,“ tvrdí Heglas.
Ani táto úprava však nezabráni tomu, aby si podvodník vyrobil funkčnú kópiu novej karty.

Tomu sa dá predísť len výmenou všetkých kariet za nové. Nákupná cena dnešných kariet je približne jedno euro, bezpečné karty sú dva­ až trikrát drahšie.

fals.jpg

Falošná karta vznikne za pár sekúnd. FOTO – SME

Napríklad pražská MHD prestala zastarané typy kariet používané na Slovensku vydávať už v lete 2008. Na Slovensku to chce Emtest urobiť do konca roka. „Nové karty Mifare DESfire už budú vydávané na novom médiu, ktoré nemá tento bezpečnostný problém,“ tvrdí Heglas. Zatiaľ sa však nevie, či a kedy budú cestujúcim vymenené aj staršie karty.

Firmy, ktoré dnes karty využívajú, nechávajú riešenie na Emtest. „Ochrana kariet pred zneužitím je predovšetkým vecou dodávateľa systému,“ píše vo svojom stanovisku spoločnosť Slovak Lines, ktorej pasažieri
s kartami cestujú v autobusoch na celom Slovensku.

„Dodávateľ dáva určité garancie a doteraz sme nezaznamenali žiadne prípady podobného druhu,“ povedala hovorkyňa Eva Vozárová.

Bezpečnosť je vecou Emtestu aj podľa Dopravného podniku mesta Košice. Postupne chce karty vymeniť Bratislavský dopravný podnik.

Lupták: Ako inak donútiť firmy k náprave?

Preveruje aj bezpečnosť bánk a kasín. Teraz ukázal na chybu čipových kariet.

lupt.jpgBRATISLAVA. O tridsiatnikovi Pavlovi Luptákovi, ktorý ukázal, aké jednoduché je kopírovať čipové karty, dopravné podniky už počuli.

V júli tohto roka zverejnil postup možného zneužitia systému SMS lístkov v mestskej hromadnej doprave, aký používajú aj v Bratislave a Košiciach. Minulý týždeň zasa varoval pred možnosťou zneužitia údajov
v elektronických zdravotných kartách, ktoré pripravuje ministerstvo zdravotníctva.

Zväčša ho firmy a úrady svojou reakciou sklamali. Pri SMS lístku možnosť zneužitia zapierali, hoci jeho technický popis nedokázal nikto spochybniť.

Dodávateľ čipových kariet, firma Emtest, ho teraz prekvapila. Zachovali sa podľa neho „profesionálne a seriózne“.

Lupták má vlastnú bezpečnostnú firmu Nethemba, robí aj testy bezpečnosti v bankách, poisťovniach či online kasínach. Priznáva, že hľadá bezpečnostné nedostatky najmä preto, aby svoju firmu zviditeľnil. „Sme jedna z mála slovenských bezpečnostných firiem, ktoré robia aj vlastný výskum,“ hovorí.

O teoretickej možnosti falšovania čipových kariet sa vo svete vedelo, Lupták však zašiel ďalej, ako pred rokom experti z Holandska. Ukázal, že problém sa týka aj slovenských kariet, s kolegom Norbertom Szeteiom navyše ako prví zverejnili aj nástroj, ktorý domáce čítanie a zmenu karty výrazne uľahčuje.

Pavol Lupták chce takto presvedčiť firmy, aby lepšie chránili údaje svojich zákazníkov. „Kto by inak tlačil firmy k tomu, aby boli ich systémy naozaj bezpečné? Pasažieri o tom nedokážu zistiť nič, dopravné podniky zaujíma len funkčnosť systému. Kým im to niekto priamo neukáže, nemajú dôvod čokoľvek meniť,“ hovorí expert.

„Ak som na možnosť zneužitia prišiel ja, len s použitím verejne dostupných informácií, môže to zistiť hocijaký kriminálnik a zneužívať alebo predávať osobné údaje cestujúcich,“ vysvetľuje.

V Luptákovom životopise na webe možno nájsť okrem iného aj certifikáciu „etického hackingu“ – znamená to záväzok dodržiavať pri objavení bezpečnostnej diery presne stanovené postupy, aby verejnosti nehrozilo priveľké riziko.

Aj preto po odhalení problémov najskôr informoval dodávateľa kariet, až po dvoch mesiacoch sa obrátil na médiá.

tb
Klon karty vyjde na pár eur

BRATISLAVA. Na prelomenie bezpečnosti čipových kariet stačí odborníkovi zariadenie za pár eur. Chyba otvára cestu k údajom tisícov ľudí a umožňuje podvodníkom cestovať zadarmo.

Na vyklonovanie alebo zmenu čipovej karty stačí čítačka takýchto kariet – je legálna, dá sa kúpiť v internetových obchodoch už za tridsať eur. Softvér na prelomenie kľúčov chrániacich kartu sprístupnil Pavol Lupták – stiahnuť sa dá zadarmo.

S pomocou týchto kľúčov potom možno na rovnakej čítačke vyrábať kópie karty alebo údaje na karte zmeniť.

tb
Začalo to londýnske metro

O chybe miliardy čipových kariet vie svet už minimálne rok.

AMSTERDAM, BRATISLAVA. Chybu na čipových kartách Mifare Classic odhalil a popísal ešte v marci 2008 profesor Bart Jacobs z Radboud University v holandskom Nijmegene.

Na príklade Oester kariet používaných v Londýne ukázal, ako možno celkom bezplatne cestovať metrom. Nebolo pritom treba žiadne drahé zariadenia.

O zverejnenie konkrétneho postupu, ktorý sa okrem londýnskeho metra týka jednej miliardy rôznych kariet po celom svete, vrátane Slovenska, museli vedci najskôr zviesť súboj s výrobcom.

Firma NXP, najväčší svetový výrobca kariet, ktorý patrí do skupiny Philips, jej chcela zverejnenie vedeckej práce zakázať súdnou cestou.

Firma tvrdila, že vyriešenie problému zaberie množstvo času a zverejnená práca napácha „značné škody pre spoločnosť“.

Holandský súd však dal za pravdu vedcom a zverejnenie informácií o bezpečnostnej chybe povolil.
Univerzita informácie o chybe publikovala v októbri 2008.

Aj keď je známe, čo chybu spôsobuje, jej vyriešenie nie je možné inak než výmenou všetkých kariet za nové. Rôzni prevádzkovatelia po celom svete však k tomu pristupujú len postupne, chybných je stále 80 percent, teda zhruba miliarda čipových kariet.

tu

Najčítanejšie na SME Tech


Inzercia - Tlačové správy


  1. Ako pracujú horskí záchranári? Tieto veci by ste nemali podceniť
  2. Návod, ako získať maximum pri nákupoch s kreditkou
  3. Mexická Oaxaca: Vonia čokoládou a jedinečnými pyramídami
  4. Dobrý internet v meste i na vidieku. Dostupný je takmer všade
  5. Na tieto veci sa oplatí myslieť pred odchodom na dovolenku
  6. Volkswagen Golf: Odpoveď na takmer všetky otázky
  7. Vietnam: Krajina, ktorá rozmazná jedlom a uchváti históriou
  8. Investícia do dlhopisov s fixným výnosom 6,25 - 7,25 % p.a.
  9. I cez prázdniny testujte elektrobicykle
  10. 5 dôvodov, prečo sa prihlásiť na konferenciu ENERGOFÓRUM®
  1. Ktorý odšťavovač má najvyššiu výťažnosť?
  2. Ako pracujú horskí záchranári? Tieto veci by ste nemali podceniť
  3. Ako si vybrať wc a umývadlo?
  4. Poslanec M. Borguľa bojuje proti netransparentnému tendru
  5. Grantová výzva na vykonávanie činností informačných centier
  6. Návod, ako získať maximum pri nákupoch s kreditkou
  7. Mexická Oaxaca: Vonia čokoládou a jedinečnými pyramídami
  8. Funguje predaj realít aj bez maklérov?
  9. BILLA a ÚNSS skontrolovali zrak 10 380 slovenským deťom
  10. Dobrý internet v meste i na vidieku. Dostupný je takmer všade
  1. Dobrý internet v meste i na vidieku. Dostupný je takmer všade 5 525
  2. Volkswagen Golf: Odpoveď na takmer všetky otázky 5 078
  3. Na tieto veci sa oplatí myslieť pred odchodom na dovolenku 3 970
  4. Mexická Oaxaca: Vonia čokoládou a jedinečnými pyramídami 3 422
  5. Vietnam: Krajina, ktorá rozmazná jedlom a uchváti históriou 3 128
  6. Návod, ako získať maximum pri nákupoch s kreditkou 2 278
  7. I cez prázdniny testujte elektrobicykle 2 044
  8. Ako pracujú horskí záchranári? Tieto veci by ste nemali podceniť 1 554
  9. Máte už vybranú dovolenku na júl? 1 180
  10. Chcete vedieť všetko o vašej krvi? Čaká vás 6000 typov vyšetrení 1 090

Hlavné správy zo Sme.sk

KOMENTÁRE

Migranti robia bordel. Ako sa šíria takéto hoaxy

Výskumníci sa pozreli na hoaxy. A zistili nielen prečo sa šíria, ale že môže byť oveľa horšie.

DOMOV

Tomanová nám viac škodí ako pomáha, hovoria niektorí rodičia

Znalca odvolávajúceho sa na Tomanovú stiahli z prípadu.

PLUS

Miro Jaroš: Prekážajú mi rodičia niektorých detí

Spevák má niekedy pocit, že detské pesničky sú jeho jediný svet.

Neprehliadnite tiež

Vo Fukušime zrejme po rokoch našli ložiská strateného paliva

Predošlé podvodné roboty zlyhali kvôli vysokej radiácii.

Umelá inteligencia píše recepty k jedlám na obrázkoch

Čo nedokáže človek popísať do pravidiel, to umelá inteligencia zotriedi pri učení sa.

Slovák odhalil, ako mäsožravé rastliny spoznajú svoju korisť

Rastliny prenášajú signály podobne ako v nervová sústava človeka.

OBJEKTÍV

Vedci zachytili historický zákryt, ďaleké teleso zhaslo hviezdu

K telesu 2014 MU69 v Kuiperovom páse smeruje sonda New Horizons.