Názory k článku Bezpečnost přístupových karet, aneb klonování prakticky

Pokud vím, tak se správně (podle specifikace) UID má používat pouze k výběru karty, pokud jich bylo ke čtečce přiloženo více na jednou.
Přístup na být povolen, až na základě kryptografického podpisu nahraného na kartě.

Teoreticky ano. Prakticky se kryptovane uloziste na tech kartach vyuziva jen zridka.

To je pravda. Na vývoj je to lacinější a zadavatel (ten, kdo to platí), nepozná při předávání díla rozdíl. Dokonce bez kryptografie vše funguje hladčeji, dají se dělat kdejaké bastly.

Odpovědnost dodavatelů se vytratila. Máme zákonem stanovené záruky za hardware, ale za to jak je vyprasený software nikdo neručí. Přitom software začíná být důležitější obor, než umět vyrobit hmotnou podstatu.

Bojuju s tím dnes a denně. Zákazníci očekávají plnou kvalitu díla, ani je nenapadne, že existují bezpečnostní rizika. Každého zajímá jen KPI, tedy co nejlevněji splnit specifikované minimum - přitom v oblasti bezpečnosti zákazníci požadavky vůbec nekladou.

Dříve, nebo později bude muset vzniknout celý obor a odvětví práva, které se bude zaobírat softwarem ne jen z pohledu autorských práv, ale i z pohledu jakosti, shody s určitými standardy. Když výrobce dodá zabezpečovačku, u které se dá čip zkopírovat, je to stejná vada, jako kdyby šlo u alarmu jen přestřihnout drát a umlčet poplach.

No vidíte, já spíš narážím na to, že se nás snaží činnit odpovědnými i za chyby v procesorech Intel.

To je v podstatě to samé. Zadavatel odmítá vnímat svoji odpovědnost při výběru - třeba i při výběru Intel platformy.
Ostatně, označení problémů Intelu za "chybu" je dost nepřesné. Spíš se vyvinulo vnímání určitých bezpečnostních rizik, které před lety nebylo. Je to jako vinit Ford, že v modelu T neměl ABS a airbagy, vždyť je to základ bezpečnosti.

Vnímám to naprosto stejně. Nejlepší byl hovor s rozčíleným dodavatelem, že prý tomu nerozumím a že jejich řešení je bezpečné. Tak jsem mu poděkoval za názor a připomněl mu, že k v rámci testování jsme nastavili jen shodné UID. Na to mi řekl, že to prověří a už se neozval. :-)

Nasiel som este jednoduchsi sposob ako naklonovat RFID karty, nez je popisane v clanku.

Magic Tag z Ciny + Mobil s NFC + aplikacia MCT (MIFARE Classic Tool)

V aplikacii zvolit Tools -> Clone UID -> prilozite original kartu, nacita sa UID, karta prec a prilozite magic tag, ked vas aplikacia vyzve. All done tak asi za 1minutu.

Samozrejme ze to funguje len na "prazdnych" kartach, ktore sa identifikuju len podla UID a nie podla zakryptovaneho obsahu. Ale takych pristupovych systemov je dost ;-)

Výborná zmínka o výborné aplikaci.

Pred rokom som to studoval a neviem ci sa nieco zmenilo ale je potrebne mat ROOT telefonu lebo bez neho nevie zapisovat na prvy odstavec karty

Kazdy bastlir predse rootnuty mobil ma.

Nema. Z mnoha ruznych duvodu.

a root/admin heslo sveho notebooku taky nevlastnis z ruznych duvodu? ;-)

To je pravda. Nez resit problemy s rootnutim telefonu, sem pouzival tu aplikaci jen na nacteni karty a na zapis pouzil RPI s RC522

Mne to slo bez narootovaneho telefonu. Asi je to device dependent.

Nedala by se ta karta rovnou nahradit tím telefonem se správnou aplikací?

Nedala. Bud HW v telefonu nebo ovladace to nepodporuji. Aspon to je jediny, co sem nasel, kdyz sem to hledal...

Čili je to spíš SW problém. Očekával bych, že něco podobného někdo vymyslel, přiohnout ovladače apod. Až někdy nebudu mít, co dělat, tak se na to podívám :)

Jen bych poznamenal, že zatímco je popsaný postup triviální pro karty, které používají 4-byte UID, je to podstatně složitější pro karty se 7-byte (nebo delším) UID.

Takže pokud máte alespoň Mifare DESFire EV1, situace je zajímavější, existují tak 2 dodavatelé z Číny, kteří dodají karty se změnitelným 7B UID a jejich SW zatím funguje jen na jednom typu čtečky. Navíc jde o emulaci karty DESFire UltraLight, ne EV*

Dalším vylepšením je, že i když čtečka čte jen UID, tak může kontrolovat zda sedí typ karty (DESFire EV1/EV2) a pokud ne, kartu odmítnout. Ale nejlepší je protlačit speciální aplikaci na kartě s tajným identifikátorem, jak se podařilo u nás...

27. 11. 2019, 12:44 editováno autorem komentáře

Nejvetsi ftip je ale v tom, ze i kdyz se pouziji karty se sedmi mistnym UID (DESFire), tak hromada techto 'pristupovych' ctecek kasle na celou kaskadu, jak precist tyto delsi UID, natvrdo vycte pouze prvni cast (4 byty) a hotovo.

Kdyz se pak clovek podiva nekde do tabulek te pristupove databaze, tak je tam to UID na 7 bajtu doplneno 000000 :-)

Takze i 7 byte UID jde nakopirovat na 4 byte UID kartu :-)

Nutno ovšem podotknout, existují _dnes_ 2 dodavatelé z Číny. Jakmile se začnou 7B karty používat ve větší míře, stoupne poptávka a tedy nejspíš i produkce. Překážka spočívající v tom, že se něco dá těžko sehnat, je vždy je dočasná a naopak je to falešný pocit bezpečí, na který člověk obvykle dojede v nejméně vhodnou dobu, když už zapomněl na to, že má v systému časovanou bombu/díru...

Trochu me mrzi ze to v clanku neni, tak se zeptam diskutujicich. Lze to nejak zabezpecit ci udelat bezpecne? Jde mi o to ze uz chvili premyslime nad pristupem pres karty a super by byla moznost nahrat si tu kartu i do telefonu. Na tento problem s klonovanim UID jsem ale upozornil, takze jsme od toho zatim ustoupili, protoze me nenapada jak to udelat bezpecne. Konec koncu zklonovat jde vse i datova pamet NFC Stitku, takze at tam nahraji cokoliv jakkoliv zasifrovane, moc mi to nepomuze.
Diky vsem za tipy

Nebudu dělat reklamu, ale odebíráme občas od české firmy, která vyrábí čtečky a celé přístupové systémy. Mají i kombinovanou čtečku (125 kHz i 13.56 MHz), která umí NFC a mají k tomu i mobilní aplikaci pro přístup. Bohužel je zatím jen jako Wiegand (bez kontroleru). Možná by se mohlo hodit.

27. 11. 2019, 14:48 editováno autorem komentáře

Ještě mne k tomu napadá pár věcí. Problematikou se již nějakou dobu zabývám a občas je to boj s majitelem budovy. Pokud máte ale celé řešení "pod palcem", lze dělat elegantní řešení. Používáme produkty výše uvedené, nejmenované firmy. Systém je to poměrně robustní a lze například ovládat dveřní kontrolery pomocí příkazů přes TCP socket, resp. přes jejich SDK. Jedna z variant je i ta, že by se vůbec neoperovalo s konvenčními médii (ani NFC), ale čistě přes mobilní aplikaci (klient/server, REST, ...). Jak bezpečně si vyřešíte zabezpečení komunikace je již na vás.

27. 11. 2019, 17:03 editováno autorem komentáře

S pouze UID by jste u mobilu stejne zaplakal - protoze pokud neni mobil (android) rootnuty, tak pri kazdem prilozeni generuje pseudonahodne UID (stejne jako treba ePass).

Na Android (od 6 vyse) je moznost zapnout HCE emulaci karty, kdy si aplikace zaregistruje nejake AID. Android sam provede pres vsechny AID odpoved na PPSE selekci se a pokud ctecka zna dane AID a vybere, tak potom veskera dalsi komunikace ctecky pada primo do vasi androidi aplikace a da se simulovat vicemene cokoliv.
Nejlepe nejaka rozumna kryptografie s klicem treba v knoxu.

Ale na Apple mate stejne smolika, tam se Steve rozhodl, ze obycejneho vyvojare k NFC cipu nepusti ...

Nevím jestli je možnost okopírování karty nutné brát v potaz jako bezpečnostní riziko... Klíče které je dnes přece taky možné jednoduše okopírovat (dokonce i z fotografie...), nenecháte jen tak ležet bez dozoru.

Tyto věci je prostě potřeba držet v bezpečí stejně tak jako cokoliv jiného cenného. Pokud necháte přístupovou kartu bez dozoru jen tak se povalovat kdesi na stole, je to stejné jako se vším ostatním.

Mobilní telefon nebo peněženku taky necháváte jen tak se někde válet?

Co se týče doplňkové ochrany, napadá mne kombinace s číselníkem a pinem. Tzn kartou prokážete "uživatelské jméno" a následně musíte ještě zadat heslo které kartě odpovídá.

Co se týče samotné ochrany proti kopírování, tam existuje stíněný obal do kterého se karta vloží a bez vyjmutí ji nelze zkopírovat.

Tzn pak účočníkovi nestačí jen kdesi v tlačenici přiložit čtečku k zadní kapse vašich kalhot. Musí kartu vyndat z obalu a následně zase vrátit zpět. To už je pak mnohem složitější kousek, ketrý pozornému nositeli jistě neunikne.

Možností nicméně asi bude více.

2. 12. 2019, 09:17 editováno autorem komentáře

Zajímalo by mne, jestli tohle jde vůbec nějak dělat bezpečně. I pokud na kartu někdo nahraje nějaký zakryptovaný obsah, brání něco tomu, aby i tohle bylo možné zkopírovat a kartu naklonovat?
A co všechny ty elektronické peněženky, které se spoléhají že stav je na ní uložen? Také se spoléhají jen na to, že někdo nezačne vyrábět karty na které je půjde naklonovat?
Podle mne jediná ochrana je ta, aby obsah karty nešel vůbec zkopírovat, bylo možné to tam jen nahrát při výrobě. A karta sama aktivně dělala nějaké součty, podle kterých by se poznalo, jestli je to opravdu ona nebo ne. Existuje vůbec tohle, nebo je to s kartami dnes samí podvodník ala Opencard, co se tváří moderně, za každou kartu si účtuje desetinásobek skutečné ceny a ve zkutečnosti je to jen nebezpečný tunel na peníze?

Karty mají část paměti, kterou nejde z venku přečíst, pouze do ní zapisovat. Do této části se uloží např. privátní klíč, kterým pak přímo karta podepíše nějaký údaj. Když si podpis ověříte, víte, že to byla ta správná karta. Díky tomu, že příslušná část paměti nejde z venku přečíst, nejde ani naklonovat.

> Podle mne jediná ochrana je ta, aby obsah karty nešel vůbec zkopírovat, bylo možné to tam jen nahrát při výrobě. A karta sama aktivně dělala nějaké součty, podle kterých by se poznalo, jestli je to opravdu ona nebo ne. Existuje vůbec tohle, nebo je to s kartami dnes samí podvodník ala Opencard

Ale opencard přece přesně takhle funguje. Při výrobě se do ní nahraje symetrický 3DES (?) klíč a ona potom dělá (ano, symetrické) podpisy. Má a mělo to několik problémů:

1) Všechny opencard mají stejný klíč, takže jakmile někdo zjistí svůj (a to zjistí, i kdyby měl čip rozpouzdřit a dělat fyzické útoky přímo na něj), má všechny. To je jednoznačně šlendrián provozovatele.

2) Ve starší verzi hardwaru, který opencard používala, bylo možno klíč získat postranním útokem (differential power analysis). Ale bylo to poměrně náročné, bylo potřeba získat hodně vzorků (což trvalo hodiny) - takže to alespoň nešlo přes kapsu nebo během chvilkové nepozornosti.

3) Předpokládám, že klíč musí být i ve všech čtečkách, když je to symetrické.

1. 12. 2019, 08:59 editováno autorem komentáře

"Podle mne jediná ochrana je ta, aby obsah karty nešel vůbec zkopírovat, bylo možné to tam jen nahrát při výrobě. "
To tak i u těch MiFare karet je, ovšem z Číny koupíte karty, kde je i tohle zapisovatelné. Jste-li dostatečně paranoidní, tak na tohle nemůžete spoléhat.

Nikoli, ochrana (pokud je to udělané pořádně, ne jen čtením ID karty) je postavená na tom, že klíč z paměti karty nejde přečíst – ne na tom, že nejde zapsat na jinou kartu. Když klíč nemůžete přečíst, je vám k ničemu, že máte prázdnou kartu, do které můžete zapisovat.

A naopak... pokud by jedinou "ochranou" mělo být to, že na oficiálně prodávané karty nejde zapisovat, jen naprostý ignorant by byl ochoten věřit, že nelze vyrobit kartu, na kterou zapsat půjde.

To by pak mohlo časem nahradit používání běžných klíčů. Ale protože kdejaký implementátor co má tu drzost prodávat jeden čip třeba za 200 Kč to udělá mizerně, pokrok to brzdí.