Выбрать главу
Новости подготовили

Галактион Андреев

Александр Бумагин

Егор Васильев

Владимир Головинов

Евгений Гордеев

Евгений Золотов

Виктор Ивановский

Сергей Кириенко

Денис Коновальчик

Игорь Куксов

Максим Мусин

Павел Протасов

Иван Прохоров

Дмитрий Шабанов

НОВОСТИ: И грянул гром

Автор: Киви Берд

Министр внутренних дел Нидерландов Гуусъе тер Хорст (Guusje ter Horst) проинформировала парламент страны о серьезной компрометации защиты в бесконтактных смарт-картах Mifare. Вообще говоря, обсуждение сугубо технических проблем редко выносится на столь высокий уровень. Однако этот случай стоит особняком. Скомпрометированные карты Mifare Classic не только лежат в основе общенациональной системы оплаты общественного транспорта OV-chipkaart стоимостью 2 млрд. евро, но и используются в качестве пропусков примерно на двух миллионах автоматизированных пунктов контроля доступа в правительственных учреждениях и компаниях Голландии.

Аналогичная ситуация характерна и для многих других стран: количество проданных в мире карт Mifare Classic измеряется миллиардами, а серьезных конкурентов у них считай что нет. Однако в Нидерландах восприняли давно назревавшую проблему особенно болезненно, поскольку изготовителем карт Mifare является корпорация NXP Semiconductors, в свое время отпочковавшаяся от голландского хайтек-гиганта Philips.

Суть дела вкратце такова. Профессор Барт Якобс (Bart Jacobs), работающий в университете Radboud города Неймеген (Nijmegen), вместе с группой аспирантов и студентов регулярно обращается к вопросу безопасности RFID-технологий и карт Mifare в частности. Эта группа уже демонстрировала неудовлетворительную защиту проездных OV-chipkaart, однако теперь исследователи нашли способ быстрого и сравнительно дешевого клонирования не только проездных билетов, защищенных криптографией, но и пропусков на охраняемые объекты. Дабы не ходить далеко, было показано, как можно с нескольких метров считать информацию, содержащуюся на карточках-пропусках студентов и преподавателей университета, а затем изготовить на основе этих данных сколько угодно поддельных пропусков-клонов…

В связи с этим уместно вспомнить несколько историй из недавнего прошлого, дающих представление о масштабах проблемы.

Осенью 2006 года на страницах русскоязычного блога, посвященного технологиям RFID (rfidigest.

blogspot.com), промелькнула любопытная информация о взломе защиты бесконтактных смарт-карт. В частности, о том, что специалисты зеленоградского хайтек-предприятия "Ангстрем" провели обратную инженерную разработку карты Mifare Classic и обнаружили в схеме закладку, позволяющую считывать содержимое чипа, не зная секретный ключ. "Хакеры" тут же известили о своей находке компетентные российские спецслужбы, коль скоро стало очевидно, что "с точки зрения государственной безопасности карта Mifare - удобная игрушка, которую можно использовать в своих целях" (цитата из оригинала публикации). Никакой дальнейшей огласке это открытие предавать не стали, ибо "на кой раскрывать свои возможности?" (еще одна цитата из источника). Тут мы имеем, так сказать, типичный русско-советский вариант реакции.

Несколько месяцев спустя, весной 2007-го, в пригороде Вашингтона проходила хакерская конференция Black Hat Federal, посвященная проблемам инфобезопасности с точки зрения государственных структур и крупных корпораций. На конференции местный умелец Крис Пэйджет (Chris Paget), возглавлявший подразделение исследований и разработок небольшой фирмы IOActive, собирался показать впечатляющие результаты своих изысканий. А именно то, как просто клонируются RFID-карточки пропусков в системах HID, массово используемых для контроля доступа на правительственных объектах и в зданиях компаний не только в США, но и по всему миру. Корпорация HID Global выпускает системы контроля доступа самых разных типов, однако про их бесконтактные "проксимити-карты" известно, что они главным образом построены на основе RFID-чипов Mifare. Бесконтактные карты-пропуска, которые так легко клонировал Пэйджет с помощью самодельного устройства стоимостью примерно двадцать долларов, очевидно не имели криптографической защиты, как и самые простые карточки типа Mifare Ultralight. Но что там реально взломал американский хакер, так и осталось тайной, поскольку адвокаты HID Global наложили вето на выступление Пэйджета и пригрозили засудить до полного разорения всякого, кто еще раз попытается посягнуть на их "интеллектуальную собственность"… Это, можно сказать, типичный для Америки подход к решению проблем безопасности.