Читать «Журнал "Компьютерра" №728» онлайн - страница 20
Компьютерра
Суть дела вкратце такова. Профессор Барт Якобс (Bart Jacobs), работающий в университете Radboud города Неймеген (Nijmegen), вместе с группой аспирантов и студентов регулярно обращается к вопросу безопасности RFID-технологий и карт Mifare в частности. Эта группа уже демонстрировала неудовлетворительную защиту проездных OV-chipkaart, однако теперь исследователи нашли способ быстрого и сравнительно дешевого клонирования не только проездных билетов, защищенных криптографией, но и пропусков на охраняемые объекты. Дабы не ходить далеко, было показано, как можно с нескольких метров считать информацию, содержащуюся на карточках-пропусках студентов и преподавателей университета, а затем изготовить на основе этих данных сколько угодно поддельных пропусков-клонов…
В связи с этим уместно вспомнить несколько историй из недавнего прошлого, дающих представление о масштабах проблемы.
Осенью 2006 года на страницах русскоязычного блога, посвященного технологиям RFID (rfidigest.
blogspot.com), промелькнула любопытная информация о взломе защиты бесконтактных смарт-карт. В частности, о том, что специалисты зеленоградского хайтек-предприятия "Ангстрем" провели обратную инженерную разработку карты Mifare Classic и обнаружили в схеме закладку, позволяющую считывать содержимое чипа, не зная секретный ключ. "Хакеры" тут же известили о своей находке компетентные российские спецслужбы, коль скоро стало очевидно, что "с точки зрения государственной безопасности карта Mifare - удобная игрушка, которую можно использовать в своих целях" (цитата из оригинала публикации). Никакой дальнейшей огласке это открытие предавать не стали, ибо "на кой раскрывать свои возможности?" (еще одна цитата из источника). Тут мы имеем, так сказать, типичный русско-советский вариант реакции.
Несколько месяцев спустя, весной 2007-го, в пригороде Вашингтона проходила хакерская конференция Black Hat Federal, посвященная проблемам инфобезопасности с точки зрения государственных структур и крупных корпораций. На конференции местный умелец Крис Пэйджет (Chris Paget), возглавлявший подразделение исследований и разработок небольшой фирмы IOActive, собирался показать впечатляющие результаты своих изысканий. А именно то, как просто клонируются RFID-карточки пропусков в системах HID, массово используемых для контроля доступа на правительственных объектах и в зданиях компаний не только в США, но и по всему миру. Корпорация HID Global выпускает системы контроля доступа самых разных типов, однако про их бесконтактные "проксимити-карты" известно, что они главным образом построены на основе RFID-чипов Mifare. Бесконтактные карты-пропуска, которые так легко клонировал Пэйджет с помощью самодельного устройства стоимостью примерно двадцать долларов, очевидно не имели криптографической защиты, как и самые простые карточки типа Mifare Ultralight. Но что там реально взломал американский хакер, так и осталось тайной, поскольку адвокаты HID Global наложили вето на выступление Пэйджета и пригрозили засудить до полного разорения всякого, кто еще раз попытается посягнуть на их "интеллектуальную собственность"… Это, можно сказать, типичный для Америки подход к решению проблем безопасности.