Print Friendly, PDF & Email

Tehnologija je s vremenom pregazila i najveće tradicionaliste. Sve je manja vjerojatnost da će netko, baš onako kako su nas roditelji učili, nositi ključić oko vrata... U modi su, naime, bezkontaktne kartice. Bilo da vam otvaraju ulazna vrata na poslu, dizalo, garažu ili hotelsku sobu tijekom putovanja, kartice s pametnim čipovima postaju naša svakodnevica.

Često je dovoljno i ne vaditi »ključ« iz novčanika, nego ga samo približiti senzoru koji će očitati vaše podatke i prepreka je otvorena. Prednosti je dakle mnogo – pojednostavnjeno korištenje, smanjeni troškovi, ali i, primjerice, nadzor korisnika, kojoj se posebice raduju poslodavci.

Nešto noviji je trend uvođenja pametnih kartica s RFID tagovima, koje služe kao zamjena klasičnog novca onim »virtualnim«. Već sada se, primjerice javnim prijevozom Osijeka, a uskoro možda i Splita, možete voziti karticom koju ste ranije na šalteru prijevoznika »napunili« određenim iznosom novca. Sličan sustav se koristi i u Puli, te u Dubrovniku.

Gdje je novac, tu su dakako i oni koji prijevarom žele doći do nečijih podataka, a vrlo često su uvijek korak ispred »aktualne« tehnologije. 
 

Otvorena sva vrata

Na problem bezkontaktnih kartica stoga su nas upozorili sa splitskog Fakulteta elektrotehnike, strojarstva i brodogradnje gdje djeluje skupina znalaca koja se bavi svim vidovima računalne sigurnosti. Oni su pojasnili kako je sigurnost trenutačno najaktualnijih (i najjeftinijih) kartica jako slaba, jer se uz minimalno troškova i znanja lako probija najviše korištena Mifare Classic tehnologija.

»Upravo prije mjesec dana na konferenciji ESORICS (Europski simpozij o računalnoj sigurnosti), zabijen je posljednji čavao u lijes Mifare Classic sustava. Tada je skupina istraživača s jednog danskog Sveučilišta podrobno opisala napad koji omogućava lopovu krađu sadržaja ili kloniranje te kartice. Do sada su lopovi trebali izvući nečiji novčanik iz torbe ili džepa. Sada je dovoljno da se lopov vašem novčaniku približi na oko 35 centimetara i kroz vašu torbu, hlače, košulju... “očita” sadržaj kartice. Zbog mogućnosti da i Promet Split iduće godine uvede i takav sustav, htjeli smo ukazati na ozbiljnost sigurnosnih propusta ove tehnologije koja se i dalje jako često koristi unatoč brojnim poznatim poteškoćama«, tvrde FESB-aši prof. Mario Čagalj, Luka Mališa i Toni Perković.

Kudikamo najraširenija primjena bezkontaktnih kartica je nadzor pristupa. Štetu koju jedan ovakav napadač može prouzrokovati ako prođe pokraj čistačice u dizalu hotela, koja ima karticu za pristup svim sobama, ili vratara u banci, nije potrebno ni opisivati: nakon »kloniranja« te kartice, otvorena su mu sva vrata. Najveća poteškoća je što će računalo, pri prolasku kroz vrata, zapamtiti osobu čiji identitet je ukraden, a ne kriminalca. Kod ovakvih kartica najzastupljenija je takozvana tehnologija 125 kHz-a, koja nema uopće nikakvu sigurnosnu zaštitu. Skupina FESB-ovaca je ispred nas preko malog uređaja izvela napad kloniranja 125 kHz-ne kartice, koristeći univerzalni emulator kartica koji su sami izradili, u suradnji s Teom Vučkovićem iz tvrtke »Larus«. 
Posljednjih godina trend korištenja kartica za nadzor pristupa u Hrvatskoj je u velikoj ekspanziji. Prema procjeni skupine s FESB-a, sigurnost ovakvih rješenja počiva na uvjerenju da se bezkontaktna kartica ne može očitati s većih udaljenosti, odnosno uvjerenja da kartica jednostavno oponaša fizički ključ. 
 

Lopovi na daljinu

Takvo uvjerenje je jako pogrešno. Npr., zamislite da ulaz u neku prostoriju koja se nalazi u Splitu nadzirete bezkontantnom karticom. Trenutno ste na poslovnom putu u Zagrebu u uvjerenju da je vaša prostorija u Splitu sigurna, jer kod sebe imate jedini ključ (karticu) koji otvara tu prostoriju. Dva napadača se udruže u ovom napadu. Jedan se nalazi u Zagrebu u vašoj blizini dok je drugi u Splitu ispred čitača kartica koji nadzire pristup Vašoj prostoriji. Napadač u Zagrebu tajno očita sadržaj kartice u vašem džepu, pri čemu koristi npr. mobitel koji ima ugrađeni čitač kartica. Vaša kartica pošalje autorizacijski kod napadačevu čitaču, a on taj kod proslijedi svojem »kolegi« u Splitu. Za to je dovoljna GPRS veza, uz pomoć koje ovaj u Splitu otvara vašu prostoriju, bez fizičke prisutnosti »jedinoga ključa«, opisuje jedan od mogućih scenarija prof. Čagalj, a kao rješenje predlaže određivanje udaljenosti čitaču kartica s koje se dobiva autorizacijski signal, ili uvođenje novije i tek nešto skuplje tehnologije.

Ivan Kaštelan

Slobodna Dalmacija, Split, 23. studenoga 2008., str. 25.

Zanimljivo