URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 48930
[ Назад ]

Исходное сообщение
"Демонстрация удаленного считывания данных с идентификационных RFID чипов"

Отправлено opennews , 04-Фев-09 13:44 
В материале "Drive-By 'War Cloning' Attack Hacks Electronic Passports, Driver's Licenses  (http://www.darkreading.com/security/privacy/showArticle.jhtm... рассматривается возможность проведения атаки, позволяющей злоумышленникам удаленно считывать данные с RFID (http://ru.wikipedia.org/wiki/RFID) чипов электронных паспортов и удостоверений. После считывания данных, злоумышленник может имитировать отправку перехваченной информации для идентификации вместо владельца перехваченных данных. Клонирование меток EPC Gen 2 RFID возможно из-за недостаточной проработки механизмов аутентификации и шифрования.


6 февраля на конференции SchmooCon будет продемонстрировано считывание RFID меток на расстоянии около 6 метров, используя стандартный RFID сканнер, купленный на аукционе eBay за $250. Проехав на машине по улицам Сан-Франциско, экспериментаторам удалось собрать приличную коллекцию данных, собранных с RFID чипов удостоверений прохожих. RFID работает в широковещательном р...

URL: http://www.darkreading.com/security/privacy/showArticle.jhtm...
Новость: https://www.opennet.ru/opennews/art.shtml?num=20110


Содержание

Сообщения в этом обсуждении
"Демонстрация удаленного считывания данных с идентификационных RFID чипов"
Отправлено belkin , 04-Фев-09 13:44 
А вы думали туда цифроподписыватель встроили? Такая же фигня с кредитными карточками - хозяин понятия не имеет, что, кому и когда она сообщает - ни кнопок, ни индикаторов. Как же всё по-идиотски, не професссионально делаются все эти вещи...

"Демонстрация удаленного считывания данных с идентификационны"
Отправлено fyjybv , 04-Фев-09 13:46 
кредитки хоть работают контактым образом. Суешь в любую дырку только на свой риск. А тут - 6м и возможность увеличить расстояние за счет более направленных антенн.

"Демонстрация удаленного считывания данных с идентификационны"
Отправлено Driver , 04-Фев-09 15:58 
>кредитки хоть работают контактым образом. Суешь в любую дырку только на свой
>риск. А тут - 6м и возможность увеличить расстояние за счет
>более направленных антенн.

то-то кардеры контактно так всех разувают,ага.На самом деле там все очень тупо и незащищенно сделано, так что вы пролетаете.


"Демонстрация удаленного считывания данных с идентификационны"
Отправлено Аноним , 04-Фев-09 13:52 
А как выглядела бы профессионально сделанная кредитка?

"Демонстрация удаленного считывания данных с идентификационны"
Отправлено Дмитрий Ю. Карпов , 04-Фев-09 16:20 
> А как выглядела бы профессионально сделанная кредитка?

Как минимум, с индикаторной панелью, на которой высвечивается, что сейчас хотят сделать, и кнопкой подтверждения операции.


"Демонстрация удаленного считывания данных с идентификационны"
Отправлено pavlinux , 04-Фев-09 17:39 
На банкомат вешается фейковый считыватель, выдаёт вам инфу о снятии наличных,
ту которую запросили, а сам списывает сколько надо себе на счёт.


"Демонстрация удаленного считывания данных с идентификационны"
Отправлено belkin , 04-Фев-09 18:14 
>На банкомат вешается фейковый считыватель, выдаёт вам инфу о снятии наличных,
>ту которую запросили, а сам списывает сколько надо себе на счёт.

Банковский сервер формирует чек, подписывает и отправляет карточке на подпись. У карточки есть сертификат банка, она верифицирует чек, показывает его на дисплее карточки (написано кому, сколько и за что платишь) и ждёт подтверждения от владельца (кнопкой, отпечатком и т.п.). Владелец даёт добро, карточка подписывает чек и отсылает его банкомату. Далее всё понятно. Карточка может запоминать подписанные чеки, связь с сервером банка может дополнительно шифроваться, подпись может быть "слепой", карточка может быть защищена от ЭМИ и проникающего излучения и т.п. улучшения. Все математические и алгоритмические решения давно уже есть. Вопрос в том, когда разработку таких государствено важных проектов будут отдавать профессиональным инженерам, а не слабоумным откатоплательщикам. Это произойдёт не раньше, чем российская нефть начнёт продаваться за рубли. Сами догадайтесь почему.


"Демонстрация удаленного считывания данных с идентификационны"
Отправлено pavlinux , 04-Фев-09 18:54 
>>На банкомат вешается фейковый считыватель, выдаёт вам инфу о снятии наличных,
>>ту которую запросили, а сам списывает сколько надо себе на счёт.
>
>Банковский сервер формирует чек, подписывает и отправляет карточке на подпись.
> У карточки есть сертификат банка, она верифицирует чек,

Но, с начало его просмотрит фейковый ридер,
> показывает его на дисплее карточки (написано кому, сколько и за что платишь)

"правильную" сумму
> и ждёт подтверждения от владельца (кнопкой, отпечатком и т.п.).
> Владелец даёт добро, карточка подписывает чек

только фейковый
> и отсылает его банкомату.
> Далее всё понятно.

Угу
> Все математические и алгоритмические решения давно уже есть.

И ещё есть хакерский закон - если можно прочитать, значит можно записать,
если ты не можешь прочитать, значит найдется другой хакер. :)


"Демонстрация удаленного считывания данных с идентификационны"
Отправлено Konstantin , 04-Фев-09 22:03 
Вам слова Электронная подпись и Сертификат видимо совсем ни о чем не говорят?

"Демонстрация удаленного считывания данных с идентификационны"
Отправлено fa , 04-Фев-09 23:40 

>И ещё есть хакерский закон - если можно прочитать, значит можно записать,
>
>если ты не можешь прочитать, значит найдется другой хакер. :)

где это вы закон такой чудной нашли. на cd слабо записать пару байтов?



"Демонстрация удаленного считывания данных с идентификационны"
Отправлено none , 05-Фев-09 07:55 
а вы попробуйте врезаться в сетевой провод идущий от моего компа и почитать инфу летящую на удаленный 22-ой порт ;)

"Демонстрация удаленного считывания данных с идентификационны"
Отправлено Tester , 05-Фев-09 11:11 
Ыы Вообщето такое возможно :) для примера такое может делать любой роутер - который будет прозрачен для вас :) но можно и просто проводочками (як в шпионских фильмах) к девайсу который выполнит данную функцию :)

"Демонстрация удаленного считывания данных с идентификационны"
Отправлено belkin , 05-Фев-09 12:02 
>Ыы Вообщето такое возможно :) для примера такое может делать любой роутер
>- который будет прозрачен для вас :) но можно и просто
>проводочками (як в шпионских фильмах) к девайсу который выполнит данную функцию
>:)

Ыы Вообще человек говорил про туннель SSH (порт 22).


"Демонстрация удаленного считывания данных с идентификационны"
Отправлено ва , 05-Фев-09 17:12 
>>Ыы Вообщето такое возможно :) для примера такое может делать любой роутер
>>- который будет прозрачен для вас :) но можно и просто
>>проводочками (як в шпионских фильмах) к девайсу который выполнит данную функцию
>>:)
>
>Ыы Вообще человек говорил про туннель SSH (порт 22).

вообще Man in middle легко пройдёт, если это будет первый вход машины и человек на память не помнит фингерпринт своего сертификата


"Демонстрация удаленного считывания данных с идентификационны"
Отправлено belkin , 05-Фев-09 12:00 
>>Банковский сервер формирует чек, подписывает и отправляет карточке на подпись.
>> У карточки есть сертификат банка, она верифицирует чек,
>
>Но, с начало его просмотрит фейковый ридер,

Пусть смотрит. В чём проблема ?

>> показывает его на дисплее карточки (написано кому, сколько и за что платишь)
>
>"правильную" сумму

Конечно правильную. Чек подписан банком, изменение содержания повлечёт за собой изменение значения Hash-функции, что будет обнаружено карточкой при верификации.

>> и ждёт подтверждения от владельца (кнопкой, отпечатком и т.п.).
>> Владелец даёт добро, карточка подписывает чек
>
>только фейковый

Подделка обаруживается - смотри выше.


"Демонстрация удаленного считывания данных с идентификационны"
Отправлено borman , 05-Фев-09 02:27 
Это элементарно дорого и неудобно. Снабжать каждую карточку устройствами ввода-вывода (ведь банкоматам и прочим чужим девайсам мы тоже не доверямем, ага?), да еще и причем такими откровенно специфическими как считыватели отпечатков. Опять же возникают вопросы по поводу характеристик экрана, на который должна выводится. Насколько долговечной будет такая хрупкая система? Какое ПО будет всем этим хозяйством управлять? Кем оно будет разработано и сертифицировано? Доверяем ли мы ему? И так далее...

И вообще прослеживаются аналогии с защитой телевизионных каналов от несанкционированного просмотра. Те же карточки с микропроцессором, ключи, сертификаты. Вот только толку мало - все равно взломанных, склонированных карт полно. А что помешает сделать клон предложенного вами варианта?


"Демонстрация удаленного считывания данных с идентификационны"
Отправлено none , 05-Фев-09 08:01 
если ты кредитку умудрился прое*ть на какое-то время, да еще и этого и не заметить, то ССЗБ. а так один звонок в банк с просьбой заблокировать кридитку и затем прогулка в этот же банк, что бы подписать новый сертификат и получить новую карточку.

"Демонстрация удаленного считывания данных с идентификационны"
Отправлено Аноним , 05-Фев-09 10:35 
Считыватель отпечатков - это уже не обязательно, в принципе достаточно пин-кода, набираемого на самой "карте". Вся эта система значительно проще самого простого сотового телефона. Стоить будет не более нескольких сот рублей.

>Вот только толку мало - все равно взломанных, склонированных карт полно.

Это потому, что 1) чип, защищающий шифрованные данные, находится у _зрителя_, который _не заинтересован_ в сохранении тайны шифрования; 2) достаточно взломать _один_ из всех существующих чипов, чтобы вся система шифрования накрылась медным тазом. И даже несмотря на это, покажите мне, например, пиратский "Триколор". В случае же с кредитками все наоборот - владелец кредитки прямо заинтересован в ее безопасности; кроме того, "взломав" одну кредитку, хакеры получат доступ только к счету ее владельца, а не всех клиентов банка.


"Демонстрация удаленного считывания данных с идентификационны"
Отправлено belkin , 05-Фев-09 11:46 
>Это элементарно дорого и неудобно. Снабжать каждую карточку устройствами ввода-вывода (ведь банкоматам

Платформа для этого уже лет десять выпускается. Выглядит как обычная карточка. Внутри процессор, память и ПО на микро-Java. Оно выполняет цифровую подпись. Добавьте пару кнопок, ЖК-дисплей на несколько строчек и напишите нужный код и в готово. Стоимость - около $50 баксов при небольших партиях. При массовом распространении её банки будут выдавать бесплатно ил под залог, как карточки в метро.

>Кем оно будет разработано и сертифицировано? Доверяем ли мы ему? И
>так далее...

Это намного лучше чем то, что есть сейчас, когда достаточно узнать реквизиты карточки или один раз прокатать своим считывателем в магазине/ресторане у вас на глазах.

>И вообще прослеживаются аналогии с защитой телевизионных каналов от несанкционированного просмотра. Те
>же карточки с микропроцессором, ключи, сертификаты. Вот только толку мало -
>все равно взломанных, склонированных карт полно. А что помешает сделать клон
>предложенного вами варианта?

Потому что эту ТВ-защиту, как и автосигнализации, делают дебилы-инженеры и хитропопые маркетологи. Разве мы видим легкие перехваты SSH-сессий ? Нет. Так какого члена подобные алгоритмы не применяются там? Правильно - тогда себестоимость устройств будет выше, а прибыль ниже, потому что сейчас они копеечную г. продукцию продают по цене "абсолютно защищённых от взлома систем". Про ТВ вообще ещё смешнее: там защита это проблема ТВ-компании и зритель платить большие деньги за решение чужих проблем не захочет.



"Демонстрация удаленного считывания данных с идентификационны"
Отправлено pavlinux , 04-Фев-09 17:34 
>А как выглядела бы профессионально сделанная кредитка?

* Блокиратор считывания - маленькая пимпочка.
* Фильтр отпечатка пальца - специально сформированная плёнка в прозрачной защитной плёнке - т.е. для идентификации необходимо считать отпечаток с пальца через фильтр, который кодируется в банке - на выходе рисунок вашего пальца с наложенной маской.
(Фейковый считыватель может считать только маску и маску с пальцем,
для полного хака ещё нужен просто палец).

* Запретить использовать для отпечатков "Большой", "Указательный" и "Средний" пальцы!
* Алюминевый чехол, сдвигается при считываний - как у флоппика.


"Демонстрация удаленного считывания данных с идентификационны"
Отправлено aplsms , 04-Фев-09 19:27 
Только все эти методы абсолютно не работают, если гопник приставил пистолет (даже газовый) к затылку, или данные карточки были украдены каким-то сотрудником в банке.  Ломают не системы безопасности, ломают ЛЮДЕЙ.

"Демонстрация удаленного считывания данных с идентификационны"
Отправлено Аноним , 04-Фев-09 20:46 
Вы сказали бред - здесь обсуждались способы информационного взлома, а не физического - и информационная безопасность, а не физическая

"Демонстрация удаленного считывания данных с идентификационны"
Отправлено borman , 05-Фев-09 02:33 
Бред. "Пальчики" подделываются на ура. Это раз. Система становит дорогой и хрупкой. Это два.

Ну и самый интересный вопрос - какую еще информацию вы готовы предоставить вашему банку - отпечатки ваших пальцев, сетчатку глаза, код днк, ваше текущее местоположение, график встреч? Ведь вся эта информация позволит очень надежно защитить ваши средства.


"Демонстрация удаленного считывания данных с идентификационны"
Отправлено belkin , 05-Фев-09 11:48 
>Ну и самый интересный вопрос - какую еще информацию вы готовы предоставить
>вашему банку - отпечатки ваших пальцев, сетчатку глаза, код днк, ваше
>текущее местоположение, график встреч? Ведь вся эта информация позволит очень надежно
>защитить ваши средства.

Я готов дать любые идентифицирующие меня признаки, если это повысит сохранность моих денег и ответственность банка.


"Демонстрация удаленного считывания данных с идентификационны"
Отправлено User294 , 04-Фев-09 21:46 
>А как выглядела бы профессионально сделанная кредитка?

Явно не куском пластика с магнитной полосой которую скопировать раз плюнуть.И что характерно, пинкод требуется не везде - при оплате кредиткой через интернет ли или просто в магазине - никакого пинкода и если не повезет то и подтверждений тоже.Сейчас банки ученые жизнью - подобные транзакции любят подтверждать позвонив владельцу по контактному телефону.Но это определенно добавляет геморроя.


"Демонстрация удаленного считывания данных с идентификационны..."
Отправлено 1234 , 05-Фев-09 16:08 
Вы абсолютно правы, но забываете о том кто вас будет кидать при любой степени защиты ваших данных. Это банк. Он будет иметь неограниченный доступ и к вашим счетам и к вашей персональной информации...

"Демонстрация удаленного считывания данных с идентификационны..."
Отправлено belkin , 05-Фев-09 16:28 
>Вы абсолютно правы, но забываете о том кто вас будет кидать при
>любой степени защиты ваших данных. Это банк. Он будет иметь неограниченный
>доступ и к вашим счетам и к вашей персональной информации...

Он и сейчас всё знает обо мне. А вот цифровую подпись мою в отличии от обычной подписи чернилами, он замучается подделывать.


"Демонстрация удаленного считывания данных с идентификационны..."
Отправлено User294 , 05-Фев-09 17:45 
>Вы абсолютно правы, но забываете о том кто вас будет кидать при
>любой степени защиты ваших данных. Это банк.

Хорошие банки дорожат репутацией и не кидают.Иначе от них клиенты сбегут (и как раз по причине наличия интересной информации они обычно конкретно &%#нуты на секурити, запрещая сотрудникам все и вся, вплоть до мобильных телефонов на рабочем месте).Другое дело что ситуация в экономике может кинуть всех.Скажем если вы держите деньги в рублях и щелкаете клювом - вы пролетаете что с банками, что храня деньги под подушкой совершенно однохренственно.


"Демонстрация удаленного считывания данных с идентификационных RFID чипов"
Отправлено blackpepper , 04-Фев-09 13:51 
Хм, это из той же серии?
http://www.carhelp.info/index.php?pid=3

"Демонстрация удаленного считывания данных с идентификационных RFID чипов"
Отправлено Alen , 04-Фев-09 21:21 
когда мне выдадут мой биометрический загранпаспорт, первое что я сделаю - между паспортом и кожухом проложу листок тонкой фальги :)

"Демонстрация удаленного считывания данных с идентификационны..."
Отправлено Hamelion , 05-Фев-09 04:52 
а еще можно проводок на тело..., и цепь привязать..., чтобы по земле волочилась )))

"Демонстрация удаленного считывания данных с идентификационны"
Отправлено mac19856 , 05-Фев-09 07:16 
Ребята, какая вам хрен разница, кто у вас с кредитки что украл? Это же кредитная карточка, все что с нее украли вам возмещать не нужно - это проблема банка :-)

Или господа хорошие путают кредитную карточку с дебитной? Так не стоит вообще дебитной пользоваться, в крайнем случае - secure credit делаете и все.


"Демонстрация удаленного считывания данных с идентификационны"
Отправлено Аноним , 05-Фев-09 10:37 
>Ребята, какая вам хрен разница, кто у вас с кредитки что украл?
>Это же кредитная карточка, все что с нее украли вам возмещать
>не нужно - это проблема банка :-)
>
>Или господа хорошие путают кредитную карточку с дебитной? Так не стоит вообще
>дебитной пользоваться, в крайнем случае - secure credit делаете и все.
>

Вообще деньги надо хранить не в банке, а у себя, и не в бесполезных бумажках, а в твердой валюте - например, в золоте, но лучше - в оружейном плутонии :)


"Демонстрация удаленного считывания данных с идентификационны"
Отправлено belkin , 05-Фев-09 12:15 
>Ребята, какая вам хрен разница, кто у вас с кредитки что украл?
>Это же кредитная карточка, все что с нее украли вам возмещать
>не нужно - это проблема банка :-)

Это в Америке так. У нас сначала будешь доказывать, что это не ты деньги снял, будешь платить $15-$50 за внесение карточки в стоп-лист и прочие "радости".


"Демонстрация удаленного считывания данных с идентификационны"
Отправлено Аноним , 06-Фев-09 23:43 
> Это в Америке так. У нас сначала будешь доказывать, что это не ты деньги снял, будешь платить $15-$50 за внесение карточки в стоп-лист и прочие "радости".

Ну, значит нужно сделать так, как в Америке - все уже давно придумано и проверено на практике. А с карточками на кнопках и сенсорами отпечатка пальцев ходить - бред сивой кобылы в вакууме.



"Демонстрация удаленного считывания данных с идентификационных RFID чипов"
Отправлено smartcard , 05-Фев-09 12:18 
RFID вообще-то не прензаначен для хранения важных данных. Для обеспечения конфиденциальности существуют контактные смарт-карты с пользовательскими паролями (PIN) и сертификатами.