Kategória: Karty Mifare Classic

Hacking RFID is not as hard as you may think. … Cracking Mifare Classic….

Karty Mifare Classic

Minipočítač do dlane Raspberry Pi Na čo je vlastne dobrý ?

alibaba

Loading

Minipočítač do dlane Raspberry Pi Na čo je vlastne dobrý ?

Raspberry Pi. Jedná sa o minipočítač (8x5x2cm) za 25 dolárov (32€ pri objednaní z UK) s ARM procesorom, 256 alebo 512 MB RAM, ethernetom, 2 USB portmi, HDMI a audio výstupom.

Namiesto disku obsahuje čítačku na SD karty, operačný systém na báze Linuxu sa zavádza práve z SD karty. Napájanie je realizované cez MicroUSB port. Okrem zdroja môžete Raspberry Pi napájať aj z iného zariadenia, napríklad USB portu TV. Raspberry Pi sa vám tak bude spolu s TV zapínať aj vypínať.

Karty Mifare Classic

Bezkontaktnú kartu možno prečítať z vrecka nohavíc. Mýtus, či skutočnosť?

alibaba

Loading

Bezkontaktnú kartu možno prečítať z vrecka nohavíc. Mýtus, či skutočnosť?
Bezkontaktné platobné karty a nálepky sú v EU nesmierne populárne. Logicky, u nákupu do päťstovky stačí len pípnuť a zaplatené je za pár sekúnd.

Niektorí Na Slovesnsku však pípacím kartám neveria a boja sa, že nie sú bezpečné.
V poslednej dobe sa na internete šíria názor, že sa z karty dá na diaľku načítať transakčné histórie a zistiť tak, koľko kto utráca. “Nestretli sme sa so zneužitím týchto údajov,” hovorí Zdeněk Kovář z Fio banky a potvrdzujú to aj ostatné bankové domy. Niektoré banky transakčné históriu na karte pritom vôbec neukladajú, alebo len obmedzene, napríklad transakčné histórie u kariet Zuno zahŕňa podľa vyjadrenia hovorcu banky Vladimíra Michna posledných desať transakcií. “Žiadny prípad stiahnutia transakčné histórie sme neriešili, do vývoja technológie platobných kariet smeruje veľký objem investícií a nie sme si vedomí také možnosti,” dodáva.

 

Karty Mifare Classic

Aplikácia získava bezkontaktne cez NFC údaje o Vašej kreditke

alibaba

Loading

Bezpečnostný expert Thomas Skora z Nemecka uplynulý týždeň sprístupnil aplikáciu pre operačný systém Android, ktorá umožňovala pomocou smartphonu bezdrôtovo získať údaje z platobných kariet podporujúcich bezdrôtové platby. 

Upozornil na to SC Magazine, magazín o počítačovej bezpečnosti. 

Aplikácia umožňovala prečítať číslo karty, dátum expirácie ale podľa magazínu aj zoznam transakcií a ID obchodníkov, u ktorých sa uskutočnili. 

Stačil k tomu smartphone s Androidom so zabudovanou podporou technológie NFC alebo s využitím externého NFC modulu.

Na akú vzdialenosť od karty s bežnými smartphonmi aplikácia fungovala nie je jasné. 

Karty Mifare Classic

Zraniteľnosť v slovenských a českých kartách Mifare

alibaba

Loading

Karty Mifare Classic používa napríklad bratislavský dopravný podnik, SAD, prípadne študentské karty (ISIC). Pavol Lupták a Norbert Szetei zo spoločnosti Nethemba publikovali viacero útokov na tieto karty a vydali prvú open source implementáciu off-line útoku na kľúče.
Pomocou týchto útokov sa dajú po zistení kľúčov (ktoré sú pre všetky karty danej spoločnosti, napr. DPB alebo SAD, rovnaké) klonovať karty. S klonom karty možno mať napríklad dve platné električenky namiesto jednej – ak sa prípadnému útočníkovi podarí docieliť, aby karta aj vyzerala ako oficiálna karta dopravného podniku, čo nie je až taký problém, veď karta neobsahuje takmer žiadne prvky fyzickej bezpečnosti. Takisto si možno uložiť obsah karty a neskôr ho tam nahrať znova (čo sa dá zneužiť napríklad tak, že si útočník uloží obsah karty, keď mal vyšší kredit, a neskôr, keď ho minie, si ho nahrá naspäť).

Karty Mifare Classic

Verejná bezpečnostná analýza slovenského biometrického pasu

alibaba

Loading

Prakticky sme demonštrovali načítanie nového slovenského biometrického RFID pasu. Pas je možné načítat ľubovoľnou ISO14443A RFID čítačkou (pre náš experiment sme použili lacnú touchatag čítačku).

Na prečítanie je potrebný MRZ kód, ktorý je uvedený na predposlednej strane pasu. MRZ sa skladá primárne z čísla pasu, dátumu narodenia a dátumu expirácie pasu. Na základe osobných údajov sa MRZ dá aj vypočítať. So znalosťou MRZ kódu je možné z pasu prečítať:

•všetky osobné data uvedené v pase (EF.DG1)
•fotografiu vlastníka (uloženú v JPEG) (EF.DG2)

MRZ kód ale nestačí na načítanie:
•odtlačku prstu vlastníka pasu (EF.DG3)
•”Active Authentication Public Key Info” (EF.DG15)

Karty Mifare Classic

RFID Security Flaw in Mifare Classic

alibaba

Loading

Výskum skupiny zabezpečenia Digitálne odhalila bezpečnostnú chybu Classic RFID čipy Mifare,
najčastejšie používaným typom RFID čip na celom svete, ktorý sa týka mnohých aplikácií Mifare Classic.

Dokázali sme, že proprietárne CRYPTO1 šifrovací algoritmus použitý na týchto kartách umožňuje (48 bit), šifrovacie kľúče, aby sa relatívne ľahko získať. Špeciálne pre aplikácie RFID, kde rovnaký spoločný zdieľaný kľúč je použitý na všetkých kartách a RFID čítačky kariet, ktoré môžu byť napríklad prípad, v riadenie prístupu do budov, predstavuje vážne riziko, ako je vysvetlené v našej tlačovej správe .

Karty Mifare Classic

Bezkontaktná platba je možná aj u nás, ale ako je to s bezpečnostnou ?

alibaba

Loading

Pri platení kartou, už nie je potrebné vyťukávať PIN, podpisovať potvrdenku, či čakať až autorizačné centrum potvrdí platbu. Klientovi stačí, ak svoju kartu priloží k terminálu a banka mu automaticky odráta požadovanú čiastku z jeho účtu.

Okrem väčšieho pohodlia predstavujú bezkontaktné platby aj oveľa väčšie bezpečnostné riziko. Ak sa zlodej dostane ku karte a zákazník ju nestihne zablokovať, nič mu nezabráni, aby ňou zaplatil za nákup. Preto je oproti štandardným kartám značne obmedzená maximálna výška platby. Klient takto môže zaplatiť len za nákup do 20EUR. Ak niekto chce zaplatiť za drahší nákup, musí ako pri klasickej karte zadať PIN. V prípade, že niekto bude viackrát po sebe platiť bezkontaktnou kartou, systém ho automaticky vyzve, aby zadal PIN.

Karty Mifare Classic

Električenky sa falšujú vraví primátor Bratislavy

alibaba

Loading

Bezpečnostné opatrenia dopravný podnik zverejňovať nebude.

BRATISLAVA. Asi desať percent električeniek je falšovaných, tvrdí primátor Bratislavy Milan Ftáčnik (nezávislý s podporou Smeru). Tieto údaje má Ftáčnik podľa svojho hovorcu Ľubomíra Andrassyho z prezentácie a podkladov k projektu Bratislavskej mestskej karty.

Používaním mestskej karty, ktorá platí aj ako električenka, by sa malo, ako vraví Ftáčnik, falšovanie obmedziť.

Dopravný podnik vyjadrenia primátora odmieta.

Karty Mifare Classic

Dobíjanie kreditu prelomené aj v Čechách, u Nás je to podobné Proxmark 3

alibaba

Loading

Na internete sa objavila aplikácia, ktorá umožňuje manipulovať s kreditom na Plzeňskej karte slúžiace okrem iného na úhradu cestovného v MHD. Stačí ju nahrať do mobilu s technológiou NFC a kartu je možné ľubovoľne dobíjať, čítať z nej osobné údaje či ju dokonca deaktivovať

Paradoxom na celej situácii je, že nástroj k bezpečnostnej chybe v skutočnosti ponúkajú samé Plzeňskej mestskej dopravné podniky. Tie v spolupráci s Telefónica O2 uviedli telefóny podporujúce technológiu NFC 22.

Takýto mobil je totiž kľúčom k celému bezpečnostnému problému. Firmy tak ľuďom dali do rúk ideálny nástroj, ako ľahko manipulovať s Plzeňskou kartou a dátami na nej uloženými