Хочется ездить в метро бесплатно, не перепрыгивая при этом через турникеты?
Что ж, с понедельника это стало возможным при помощи поддельных карт оплаты. По
крайней мере во многих европейских странах...
Приведенное Radboud University Nijmegen детальное описание уязвимостей в
чипах беспроводных смарт-карт Mifare Classic, используемых для оплаты проезда в
транспортных сетях по всему миру, теперь доступно для изучения. Одновременно с
этим, эксперт берлинского Humboldt University опубликовал наглядное пособие по
применению этого алгоритма (PDF).
Карстен Ноль, эксперт в области карт на основе радиочастотной идентификации (RFID),
заявил по этому поводу в интервью CNET News, что имея на руках вышеназванные
источники информации, сделать фальшивку теперь сможет каждый. "Все, что для
этого нужно, это карт-ридер ценой 100 долларов и небольшая программка", -
говорит он.
Руководствуясь приведенными в указанных публикациях инструкциями, любой
сможет выкрасть секретный код карты оплаты проезда Mifare Classic и затем
клонировать его. Из демонстрации становится очевидно, что для кражи ключа
достаточно лишь находится с карт-ридером рядом с человеком с такой карточкой в
руках. После этого собранные в ходе демонстрации данные были использованы для
создания клона транспортной карты лондонского метрополитена. Под подозрением
также находятся системы оплата проезда в метро таких городов как Амстердам,
Бостон, Бангкок и Дели, а также европейские системы допуска в помещения.
"И это только вершина айсберга", - говорит Эрик Йохансон, консультант одной
из фирм в Сиэтле. "По моим оценкам, в мире выпущено уже порядка 3,5 миллиардов
карточек на основе этого протокола, и все находятся под угрозой совершения
незаконных манипуляций. В мире насчитывается, по крайней мере, около 60 крупных
городских реализаций систем оплаты транспортных услуг на основе карт
радиочастотной идентификации", - свидетельствует он.
Добавим, что в понедельник производитель чипов, компания NXP, отказалась
отвечать на заданные ей вопросы, а предпринятая ею попытка заблокировать
публикацию компрометирующих сведений через суд провалилась.