Berta Sándor

Újabb részletek a DEFCON-botrányról

Az MIT három tanulójának - Zack Anderson, R.J. Ryan, valamint Alessandro Chiesa - elhallgattatási kísérlete számos szakértő szerint még sebezhetőbbé és védtelenebbé teszi az RFID-technikát.

A bostoni tömegközlekedésben használt RFID-kártyák rendszerének feltöréséről szóló üggyel kapcsolatban egyre több részlet derül ki. Mint ismeretes, az MIT három hallgatója a DEFCON konferencián ismertette volna a bostoni tömegközlekedésben használt RFID-kártyák feltörését, a bemutatót azonban az illetékes hatóság bírói rendeletben tiltotta le.

A rendezvény előtt bemutatott fóliákkal a diákok azt akarták bemutatni, hogy mennyire egyszerű és könnyű hamisítani, illetve lemásolni a bostoni tömegközlekedésben használt régebbi mágnes- és újabb RFID-kártyákat. A hamis azonosítók segítségével bárki ingyen utazhatna. A bemutatót azonban sikeresen meggátolta a rendszert bírósági dokumentumok alapján több mint 180 millió dollárért felszerelő MBTA. Sőt, a vállalat számítógépes csalásért és számítógépekkel való visszaélésekért be is perelte a hallgatókat, míg az MIT intézetet felügyeleti kötelessége megsértésével vádolja.

"Sohasem volt célunk a valódi támadók előnyökhöz juttatása. Ezért is volt, hogy egyes részleteket tudatosan és szándékosan kihagytunk a bemutatónk anyagából. Nem akartuk, hogy valaki valóban megtámadhassa a rendszert. Nem szerettük volna azt sem, hogy kijátszhassák és az emberek ingyen utazhassanak" - nyilatkozta Zack Anderson.

Marcia Hoffmann, a három fiatalt védő EFF jogásza úgy vélte, példátlan és nagyon ritka, hogy egy bíróság valakitől azelőtt vonja meg a megszólalás jogát, hogy annak erre egyáltalán lehetősége lenne. Ez egy olyan precedens értékű ítélet, ami nagyon veszélyes lehet az informatikai biztonsági kutatások számára. Az MBTA ezzel szemben azzal védekezik, hogy ők csupán időt akartak nyerni a megismert hibák kijavítására, bár a cég képviselője kétségbe vonta, hogy a diákok valódi biztonsági réseket találtak volna. "Egy izgalmas sztorit adnak elő a széleskörű biztonsági problémákról, de még semmilyen valóban használható és hihető, az általuk elmondottakat bizonyító vagy legalábbis alátámasztó információt sem mutattak be nekünk" - közölte Joe Pesaturo, a vállalat szóvivője.


Karsten Nohl, a Virginiai Egyetem doktorandusza - aki a többek között Bostonban alkalmazott MiFare Classic RFID-rendszer biztonsági problémáit felfedező szakemberek egyike - ugyanakkor rámutatott, hogy a hibák kijavítása akár 1-2 évig is eltarthat. Szerinte előfordulhat, hogy az összes mostani leolvasókészüléket és kártyát le kell majd cserélni. Nohl hozzátette, hogy az informatikai iparnak inkább meg kellene köszönnie a hallgatók munkáját és azt egy ingyenes szolgáltatásként kellene felfogni, nem pedig támadni őket. A fő probléma szerinte az, hogy az ipar azt hiszi, hogy az ő szakemberei foglalkoznak a legjobban a biztonsági kérdésekkel és az, amit építenek vagy kifejlesztenek, akkor van a legnagyobb biztonságban, ha titokban tartják.

Nohl és néhány kutató jobb titkosítással látná el a kártyákon tárolt adatokat. A legnagyobb nehézséget az okozza, hogy a kártyák maguk a titkosítás szempontjából passzívak, ami azt jelenti, hogy a jeleket minden olyan leolvasókészüléknek továbbítják, amely azokat le akarja kérdezni. Tadayoshi Kohno és a kollégái, a Washington Egyetem munkatársai ezért egy olyan mozgásérzékelőn dolgoznak, amelynek segítségével a felhasználók egy bizonyos mozdulattal aktiválnák a kártyákat.

Bruce Schneier, a BT Counterpane cég alapítója, neves informatikai biztonsági szakértő ekképp összegezte az üggyel kapcsolatos véleményét: "Számomra egész egyszerűen úgy tűnik, hogy itt valaki egy nagyon rossz terméket adott el és vásárlók nem tudták, hogy inkább egy jobb terméket kellene választaniuk. Addig, amíg a felhasznált biztonsági technikát titkolják, soha sem fogják tudni a problémát megoldani, a hibákat kijavítani." Hasonló RFID-technikát használnak egyébként többek között Londonban, Los Angelesben, Brisbaneben ás Sanghajban, mobiltelefonokban, valamint cég- és kormányzati épületek biztonsági rendszereinél.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • noss #17
    :D
    ha elegendő számjegyből áll az összeg, akkor ez még simán elsimítható...
    (nem lesz jelentős társadalmi hőbörgés)
    azért elég jónak mondható a cég reakcióideje... ;P
  • noss #16
    honnan veszed ezt a bankos duplázásosdit? és mely országok tekintetében működik ez így szerinted?
  • noss #15
    nálunk a rosszabbat is jól "el lehet adni" -- olcsóbb döntéshozók, minimális társadalmi összefogás (minimális kockázat a döntéshozók szemszögéből)
  • noss #14
    kvp: egyik haverom több ízben dolgozott London környékén, elbeszélései alapján központi adatnyilvántartás van a metrós kártyák használatáról
  • RealPhoenixx #13
    KVP: es mindezt ugy allitod ("a kozpontositott adattarolas es az online leolvasorender mar a bankok eseteben is mukodott"), hogy nem is tudod mennyire kis erofeszites kell ahoz, hogy egy banki rendszer is torve legyen, vagyis: meg azt is viszonylag tok gyorsan es biztosan lehet torni.

    Ugrokod? Ugyanmar, nem masolhato?? Csak akkor nem lenne masolhato egy ugrokodos rendszer, ha az ugrokod mindig valodi random ertek lenne, de ha valodi random lenne, akkor ugyan aruld mar el, melyik leolvaso tudna leolvasni es azonositani?? pfff...., mar megint egy ugrokodos csavo, kar hogy nem a kutba ugral :)

    DJW: azert hasznaljak, mert a banki karokat megteritik, ugyanis sokan nem tudjak, es ezekszerint akkor te is benne vagy a sokakban, hogy a bankoknak van ugynevezett banki biztositojuk, vagyis: kiba sok penzt koltenek a bankok a kotelezo banki csalasok biztositasara, de legtobbszor a bankok egy egy ilyen csalas alkalmaval velhetoleg duplaznak, ami azt jelenti: nem fizetik ki a megkarositottat, vagy nem teljessen, illetve a banki biztositotol is lenyelik a karositasi osszeget.

    Duke: ne aggodj, Demszky mar kidobott 45 milliardot a tragacs villamosokra, most 45 milliardot fog szinten uj valami szemetre valo metro szerelvenyekre, es akkor nem beszeltem arrol, hogy a metro epitesre is akkora osszegeket irnak le (hogy legyen mibol lopni), amelybol kinaban kozel 200 kilometer metro palyat epitenenek (hasonlitsd ossze a kinai metroepites koltsegeit a magyarral).
    Szval Demszkyeknek van mibol a tejbe apritaniuk, es van mibol masokat elhallgattatniuk, illetve van mibol kampanyolniuk, es amugy mindenre van mibol, csak eppen a mibol kerdes valojaban egy es ugyanaz: magyar kozpenzbol

    Es csak azert irtam azt hogy magyar kozpenz, mert attol hogy kozpenznek nevezzuk, vagy valamit koztulajdonnak, az azert vegso fokon magantulajdon, es mig az egyszemelyes magantulajdont ugy vedik, mintha arany lenne (persze bizonyos tolvajok tulajdonairol beszelunk), addig a magyar koztulajdonnal ugy bannak, mintha az szo szerint koztulajdon lenne, es nem magyar magantulajdon, vagyis: mintha az a vilagkozosseg tulajdona lenne, mint pl amerikae, kubae, szlovakiae, romaniae, horvath orszage, nemeteke, etc.... -nah ez a gond
  • duke #12
    Remelem nalunk is ezt a "bomba biztos" hamsithatatlan rendszert fogjak bevezetni.
  • torma99 #11
    Én is úgy gondoltam, hogy találtak, lehet rossz helyre tettem ki a vesszőket.
  • pite #10
    *Chaos Computer Club
  • pite #9
    Computer Chaos Club előadás 2007 végén - Mifare reverse engineering első lépései

    Ha ezek után sem eszméltek fel a "szakemberek", akkor bukjanak el a cégükkel.
  • djw #8
    nem értem miért nem használják a bankoknál bevált mágneskártyás pinkódos megoldást...