„Egy biztonsági szakember a régi típusú, de igen elterjedt azonosító kártyák védtelenségét fogja bemutatni a Black Hat konferencián.
Folytatódik a kiemelt jelentőségű hackerkonferencia, a hét végén kezdődő Black Hat előadásainak marketingkampánya, a legutóbbi egy olyan bemutatót népszerűsít, ahol egy mérnök az alacsony frekvencián működő RFID kártyák sebezhetőségéről fog beszélni.
Fran Brown akkor kerül közel a problémához, amikor egy áramszolgáltató kérte fel SCADA-rendszerének behatolási tesztjére. A szakember – hozzáértő hackerhez illően – kereste a leggyengébb pontokat, és elkezdett foglalkozni az azonosítást és beléptetést biztosító RFID kártyák működésével. Ez már nagyon régi téma a biztonsági szakemberek között, de a korábbi, elsősorban az elvek szintjén járó demonstrációkban egy közös vonás volt: az adathalászatra használt eszköznek fizikailag nagyon közel, centiméterekre kellett lennie az áldozatnak kiszemelt kártyához. A beharangozó szerint viszont Brown nem teóriákról akar beszélni, hanem bárhol beszerezhető alkatrészek és készülékek segítségével előállított egy olyan kártyaolvasót a 125 kHz-es kártyákhoz, amely akár már körülbelül egy méterről is képes leolvasni az adatokat – ezek az információk elegendőek egy rossz szándékú támadó számára, hogy másolatot, klónt készítsen például egy belépőkártyáról. A kutató szerint ezt az eszközt elegendő a célpont mellett egy hátizsákban tíz percre elhelyezni, és eddig tesztjeik során száz százalékos sikerről számolhatnak be.
A képet azért érdemes árnyalni: a 125 kHz-es kártyák régi fejlesztések, és valóban sérülékenyek, szinte egyáltalán nincsenek beleépítve biztonsági mechanizmusok. Az RFID előnyeit felismerő nagy cégek már nem ezt az elavult technológiát választják, melyről az egyik gyártó, a HID is elismerte, hogy nem biztonságos. Brown munkája a piac sajátosságai miatt azonban mégsem hiábavaló: a területen jellemző a lassú változás, mivel egy sok száz vagy ezer alkalmazottat foglalkoztató cég, de akár a kisebbek is, nehezen váltanak a költségeket felvállalva új kártyákra. A HID az említett jelentésében elismeri, hogy a beléptetőkártyák területén még 80 százalékos a régi, sérülékeny 125 kHz-es kártyák aránya, melyeket már rég le kellett volna cserélni biztonságosabb újabbakra.
Brown beszélni fog a védekezési lehetőségekről is, melyek közül az egyik régóta ismert: az egyszerű alufóliába csomagolás is kellő védelmet nyújt az ilyen típusú adathalászattal szemben.”
Forrás:
Mezítelen RFID kártyák; Dajkó Pál; IT café; 2013. július 25.
