Dati non crittografati su lettore di schede magnetiche. Quali sono i rischi per la sicurezza?

Naviga le tue risposte
3

Sto lavorando per valutare la sicurezza della carta d'identità degli studenti della mia università. La carta d'identità contiene sia una banda magnetica che una componente RFID e viene utilizzata per effettuare pagamenti e per fornire l'accesso agli edifici. Quando ho provato a leggerlo usando un lettore di schede magnetiche basato su Arduino, ho potuto vedere i dati in testo normale. Poiché non è stato immesso alcun PIN basato su tastiera durante le transazioni di pagamento dalla carta, la mia domanda è: quali sono tutti i rischi per la sicurezza coinvolti in questa configurazione. Sono un completo noob alla sicurezza, quindi scusami la mia ignoranza qui, ma penso che possiamo usare un Magnetic Card Writer per clonare questa carta e usarla allo stesso modo della carta originale. Sarà possibile?

    
posta user1952143 20.04.2013 - 14:56
fonte

2 risposte

2

In breve: sì, è molto probabile .

Se la striscia magnetica e l'RFID non sono correlati, anche se i dati sono stati crittografati, l'installazione non sarebbe sicura. Sarebbe troppo facile trasferire i dati dalla scheda originale (puoi farlo con una testina per registratore, e ci sono anche App per iPhone per farlo, interfacciato con il jack audio), puliscile e registrale su qualsiasi scheda ISO2.

Se l'RFID e la banda magnetica sono entrambi necessari, allora è molto più costoso, ma non difficile: hai solo bisogno di un lettore / scrittore RFID.

Le schede passive senza PIN sono non protette , questo è tutto ciò che c'è da fare. Le loro informazioni possono essere clonate in diversi modi; per esempio ho assistito ad una prova su una variazione del phreaking di Van Eck, in cui un sensore posizionato vicino al card swiper originale era in grado di "sentire" le chiacchiere dalla testina di lettura delle carte. Una volta che si conoscono i dati sulla striscia, basta passare vicino al titolare della carta con un terminale RFID e interrogare la scheda per il suo carico utile di dati. Le carte passive risponderanno sempre allo stesso modo. Una volta che hai le informazioni su strip e RFID, tutto ciò di cui hai bisogno è uno spazio vuoto su cui archiviare le informazioni.

Se è necessaria solo la banda magnetica, le cose possono peggiorare ulteriormente: si potrebbe cancellare la striscia magnetica sulla propria scheda e registrarla nuovamente con le informazioni di qualcun altro, quindi comparire per avere un legittimo e una carta autentica che supererebbe un esame superficiale, ma in realtà registra gli accessi e le somme di debito a qualcun altro.

Se lo scenario di destinazione non prevede l'interazione umana, non è nemmeno necessario un buon vuoto: puoi smagnetizzare e riciclare qualsiasi vecchia scheda ISO2 e sfiorarla indossando un radiofaro RFID su un braccialetto. La striscia fornirà i dati corretti, il fob ingannerà il lettore nel pensare che ci sia un chip RFID sulla scheda, e il lettore sarà ingannato.

Sono abbastanza sorpreso dal fatto che oggigiorno qualcuno stia ancora considerando di accettare pagamenti usando una carta cancellabile senza bisogno di autenticazione a due fattori (come un PIN). Vorrei provare ad avvisare l'Università - ma in modo anonimo, dato che questo tipo di setup di solito pratica spara al messenger , e sono troppo propensi a tira un Feynman su di te.

    
risposta data 20.04.2013 - 15:19
fonte
1

Come prima osservazione, se non c'è PIN durante una transazione, la carta non ha modo di essere sicura che sia il vero "tu" che lo sta attualmente tenendo. Quindi, se qualcuno ruba la tua carta, può andare in piena modalità shopping-orgia a tue spese.

Una striscia magnetica non è diversa da alcune lettere stampate sulla carta, tranne per il fatto che la striscia viene letta da un lettore magnetico anziché da occhi umani. La clonazione di una striscia magnetica è semplice come leggerla con un lettore magnetico e quindi riscriverla su un'altra scheda con lo stesso lettore (questa volta usata come scrittore).

Il componente RFID può potenzialmente essere più robusto. Inizialmente, l'RFID era solo una porta della tecnologia a banda magnetica per un mondo wireless: il lettore emette un campo magnetico oscillante, che l'antenna RFID converte in una potenza sufficiente per il componente da inviare, via radio (attraverso la stessa antenna) un po 'statico dati in esso. In seguito, la tecnologia è migliorata e una componente RFID può essere un piccolo computer full-fledge, in grado di scambiare dati con il lettore ed eseguire calcoli. Almeno in teoria, il componente potrebbe essere una smart card resistente alla manomissione che può memorizzare dati privati e crittografare, anche verificando e calcolo firme digitali . In tal caso, è possibile che la componente RFID non può essere clonata, rendendo la tua carta "sicura" (eccetto per la mancanza del PIN, come spiegato sopra).

Ovviamente, l'antenna RFID non acquisisce molta potenza, e il prezzo di ogni carta è solitamente basso, quindi è piuttosto improbabile che la tua carta studente contenga davvero un chip in grado di eseguire le firme. Tuttavia, molte persone sono lavorando su di esso . Anche loro lavorano per romperlo; a causa del fatto che il potere è, dal design, fornito dal lettore, questo rende piuttosto difficile proteggere il dispositivo da analisi di potenza .

    
risposta data 20.04.2013 - 16:12
fonte

Leggi altre domande sui tag

Come dovrebbe essere protetto questo sistema dallo spoofing ARP? Utente straniero registrato e comportamento strano. È sinistro?