RFID karty činí metro v Bostonu zranitelným

Tři studenti MITu měli na DefConu prezentaci o tom, jak je možné hacknout karty s RFID čipem používané v systému bostonského metra. Prezentace obsahuje mj. i návod na padělání karty, dobíjení kreditu či čtení údajů z cizí karty. Kompromitace systému veřejné dopravy byla provozovatelem vnímána jako obecné ohrožení.



Na konferencích BlackHat a DefCon dochází běžně k událostem na hraně zákona. Před třemi lety se zde odehrál konflikt mezi Michaelem Lynnem a firmou Cisco. Jindy zde byl zatčen ruský odborník poté, co prezentovat způsob prolomení šifry chránící před nepovoleným kopírováním obsah elektronických čteček.
Letos bylo Cisco naopak platinovým sponzorem konferencí. Ředitel zabezpečení Cisca John Stewart zde uvedl, že firma chce i nadále chránit své duševní vlastnictví a bezpečí zákazníků včetně použití dohod o mlčenlivosti, nicméně úsilí o bezpečnost by se pokud možno nemělo odehrávat v soudních síních. Hlavní organizátor konference Jeff Moss pak prohlásil, že podle jeho názoru Cisco neohrožuje zveřejňování chyb ba ani obchod se zranitelnostmi, jak ho realizuje TippingPoint (součást 3Com) nebo některé vládní agentury, ale nelegální podzemní trh, kde se cena za chybu podle jeho odhadu může pohybovat až v řádu stovek tisíc dolarů. Pravděpodobnost toho, že se útočníkovi podaří ovládnout dobře nakonfigurovaný směrovač, ale zůstává naštěstí stále nízká.

Routery Cisco se dočkaly rootkitu

Nakonec ale k nějakému konfliktu se zákonem v souvislosti s konferencemi Black Hat a DefCon v Las Vegas přece jen došlo i letos. Tři studenti MITu měli na DefConu prezentaci o tom, jak je možné hacknout karty s RFID čipem (typu MiFare) používané v systému bostonského metra; mimochodem nejstaršího metra v Novém světě vůbec. Prezentace trojice (Alessandro Chiesa, R. J. Ryan a Zack Anderson) obsahuje zdrojové kódy útoku a mj. i návod na padělání karty, dobíjení kreditu či čtení údajů z cizí karty. Kompromitace systému veřejné dopravy byla provozovatelem vnímána jako obecné ohrožení. Soud zakázal materiál zveřejnit, ten byl sice stažen z webových stránek autorů, mezitím však distribuován účastníkům konference.
Obviněných se zastala nadace Electronic Frontier Foundation a případ dále pokračuje. (Aktuální vývoj: Judge lifts gag order against MIT students)
Opět se jedná o opakování otázky, jakým způsobem má postupovat člověk, který objeví bezpečnostní chybu (upozornění dodavatele vs. zveřejnění, kolik času ponechat dodavateli na reakci, zveřejnit obecnou informaci vs. konkrétní postup zneužití...). Kromě vlastní právní odpovědnosti zde do hry vstupují také různé profesionální kodexy daného oboru. Z pohledu ČR pak v této souvislosti stojí za pozornost, že systém chytrých karet se právě zavádí také v pražské dopravě.

O problém s RFID čipem MiFare jsme již na Security Worldu psali:
RFID čip MiFare může být terčem útoku

Zdroj: Computerworld.com










Komentáře