И грянул громАвтор: Киви Берд Министр внутренних дел Нидерландов Гуусъе тер Хорст (Guusje ter Horst) проинформировала парламент страны о серьезной компрометации защиты в бесконтактных смарт-картах Mifare. Вообще говоря, обсуждение сугубо технических проблем редко выносится на столь высокий уровень. Однако этот случай стоит особняком. Скомпрометированные карты Mifare Classic не только лежат в основе общенациональной системы оплаты общественного транспорта OV-chipkaart стоимостью 2 млрд. евро, но и используются в качестве пропусков примерно на двух миллионах автоматизированных пунктов контроля доступа в правительственных учреждениях и компаниях Голландии. Аналогичная ситуация характерна и для многих других стран: количество проданных в мире карт Mifare Classic измеряется миллиардами, а серьезных конкурентов у них считай что нет. Однако в Нидерландах восприняли давно назревавшую проблему особенно болезненно, поскольку изготовителем карт Mifare является корпорация NXP Semiconductors, в свое время отпочковавшаяся от голландского хайтек-гиганта Philips. Суть дела вкратце такова. Профессор Барт Якобс (Bart Jacobs), работающий в университете Radboud города Неймеген (Nijmegen), вместе с группой аспирантов и студентов регулярно обращается к вопросу безопасности RFID-технологий и карт Mifare в частности. Эта группа уже демонстрировала неудовлетворительную защиту проездных OV-chipkaart, однако теперь исследователи нашли способ быстрого и сравнительно дешевого клонирования не только проездных билетов, защищенных криптографией, но и пропусков на охраняемые объекты. Дабы не ходить далеко, было показано, как можно с нескольких метров считать информацию, содержащуюся на карточках-пропусках студентов и преподавателей университета, а затем изготовить на основе этих данных сколько угодно поддельных пропусков-клонов… В связи с этим уместно вспомнить несколько историй из недавнего прошлого, дающих представление о масштабах проблемы. Осенью 2006 года на страницах русскоязычного блога, посвященного технологиям RFID (rfidigest. Несколько месяцев спустя, весной 2007-го, в пригороде Вашингтона проходила хакерская конференция Black Hat Federal, посвященная проблемам инфобезопасности с точки зрения государственных структур и крупных корпораций. На конференции местный умелец Крис Пэйджет (Chris Paget), возглавлявший подразделение исследований и разработок небольшой фирмы IOActive, собирался показать впечатляющие результаты своих изысканий. А именно то, как просто клонируются RFID-карточки пропусков в системах HID, массово используемых для контроля доступа на правительственных объектах и в зданиях компаний не только в США, но и по всему миру. Корпорация HID Global выпускает системы контроля доступа самых разных типов, однако про их бесконтактные "проксимити-карты" известно, что они главным образом построены на основе RFID-чипов Mifare. Бесконтактные карты-пропуска, которые так легко клонировал Пэйджет с помощью самодельного устройства стоимостью примерно двадцать долларов, очевидно не имели криптографической защиты, как и самые простые карточки типа Mifare Ultralight. Но что там реально взломал американский хакер, так и осталось тайной, поскольку адвокаты HID Global наложили вето на выступление Пэйджета и пригрозили засудить до полного разорения всякого, кто еще раз попытается посягнуть на их "интеллектуальную собственность"… Это, можно сказать, типичный для Америки подход к решению проблем безопасности. А вот как выглядела нынешняя реакция в Голландии. В пятницу 7 марта университет Radboud проинформировал о результатах своих изысканий голландское правительство, поскольку под угрозой могли оказаться некоторые аспекты национальной безопасности. Уже на следующий день в университет для оценки ситуации прибыли специалисты NBV, национального Бюро безопасности связи, входящего в состав Службы общей разведки и безопасности (AIVD). Ознакомившись с методикой взлома, эксперты спецслужбы пришли к заключению, что атака несет реальную угрозу, которую нельзя игнорировать. В воскресенье, 9 марта, была проинформирована корпорация NXP, производящая Mifare, а 10 марта - компания Trans Link Systems, занимающаяся едиными смарт-картами для общественного транспорта. Специалисты университета предоставили обеим компаниям исчерпывающие сведения о выявленных слабостях системы и ныне сотрудничают с ними в поиске возможных контрмер. В тот же день компания NXP Semiconductors издала пресс-релиз о выпуске к ноябрю 2008-го новой бесконтактной карты Mifare Plus, гораздо лучше защищенной и призванной обеспечить модернизацию систем на основе Mifare Classic (отметим, что о компрометации Classic в пресс-релизе нет ни слова). В среду, 12 марта, министр внутренних дел тер Хорст проинформировала парламент о случившемся и предпринимаемых в связи с этим мерах. О технических деталях взлома Mifare Classic читайте в материале на стр. 34.
|