Автор: Киви Берд
Министр внутренних дел Нидерландов Гуусъе тер Хорст (Guusje ter Horst) проинформировала парламент страны о серьезной компрометации защиты в бесконтактных смарт-картах Mifare. Вообще говоря, обсуждение сугубо технических проблем редко выносится на столь высокий уровень. Однако этот случай стоит особняком. Скомпрометированные карты Mifare Classic не только лежат в основе общенациональной системы оплаты общественного транспорта OV-chipkaart стоимостью 2 млрд. евро, но и используются в качестве пропусков примерно на двух миллионах автоматизированных пунктов контроля доступа в правительственных учреждениях и компаниях Голландии.
Аналогичная ситуация характерна и для многих других стран: количество проданных в мире карт Mifare Classic измеряется миллиардами, а серьезных конкурентов у них считай что нет. Однако в Нидерландах восприняли давно назревавшую проблему особенно болезненно, поскольку изготовителем карт Mifare является корпорация NXP Semiconductors, в свое время отпочковавшаяся от голландского хайтек-гиганта Philips.
Суть дела вкратце такова. Профессор Барт Якобс (Bart Jacobs), работающий в университете Radboud города Неймеген (Nijmegen), вместе с группой аспирантов и студентов регулярно обращается к вопросу безопасности RFID-технологий и карт Mifare в частности. Эта группа уже демонстрировала неудовлетворительную защиту проездных OV-chipkaart, однако теперь исследователи нашли способ быстрого и сравнительно дешевого клонирования не только проездных билетов, защищенных криптографией, но и пропусков на охраняемые объекты. Дабы не ходить далеко, было показано, как можно с нескольких метров считать информацию, содержащуюся на карточках-пропусках студентов и преподавателей университета, а затем изготовить на основе этих данных сколько угодно поддельных пропусков-клонов…
В связи с этим уместно вспомнить несколько историй из недавнего прошлого, дающих представление о масштабах проблемы.
Осенью 2006 года на страницах русскоязычного блога, посвященного технологиям RFID (rfidigest.
blogspot.com), промелькнула любопытная информация о взломе защиты бесконтактных смарт-карт. В частности, о том, что специалисты зеленоградского хайтек-предприятия "Ангстрем" провели обратную инженерную разработку карты Mifare Classic и обнаружили в схеме закладку, позволяющую считывать содержимое чипа, не зная секретный ключ. "Хакеры" тут же известили о своей находке компетентные российские спецслужбы, коль скоро стало очевидно, что "с точки зрения государственной безопасности карта Mifare - удобная игрушка, которую можно использовать в своих целях" (цитата из оригинала публикации). Никакой дальнейшей огласке это открытие предавать не стали, ибо "на кой раскрывать свои возможности?" (еще одна цитата из источника). Тут мы имеем, так сказать, типичный русско-советский вариант реакции.
Несколько месяцев спустя, весной 2007-го, в пригороде Вашингтона проходила хакерская конференция Black Hat Federal, посвященная проблемам инфобезопасности с точки зрения государственных структур и крупных корпораций. На конференции местный умелец Крис Пэйджет (Chris Paget), возглавлявший подразделение исследований и разработок небольшой фирмы IOActive, собирался показать впечатляющие результаты своих изысканий. А именно то, как просто клонируются RFID-карточки пропусков в системах HID, массово используемых для контроля доступа на правительственных объектах и в зданиях компаний не только в США, но и по всему миру. Корпорация HID Global выпускает системы контроля доступа самых разных типов, однако про их бесконтактные "проксимити-карты" известно, что они главным образом построены на основе RFID-чипов Mifare. Бесконтактные карты-пропуска, которые так легко клонировал Пэйджет с помощью самодельного устройства стоимостью примерно двадцать долларов, очевидно не имели криптографической защиты, как и самые простые карточки типа Mifare Ultralight. Но что там реально взломал американский хакер, так и осталось тайной, поскольку адвокаты HID Global наложили вето на выступление Пэйджета и пригрозили засудить до полного разорения всякого, кто еще раз попытается посягнуть на их "интеллектуальную собственность"… Это, можно сказать, типичный для Америки подход к решению проблем безопасности.
А вот как выглядела нынешняя реакция в Голландии. В пятницу 7 марта университет Radboud проинформировал о результатах своих изысканий голландское правительство, поскольку под угрозой могли оказаться некоторые аспекты национальной безопасности. Уже на следующий день в университет для оценки ситуации прибыли специалисты NBV, национального Бюро безопасности связи, входящего в состав Службы общей разведки и безопасности (AIVD). Ознакомившись с методикой взлома, эксперты спецслужбы пришли к заключению, что атака несет реальную угрозу, которую нельзя игнорировать. В воскресенье, 9 марта, была проинформирована корпорация NXP, производящая Mifare, а 10 марта - компания Trans Link Systems, занимающаяся едиными смарт-картами для общественного транспорта. Специалисты университета предоставили обеим компаниям исчерпывающие сведения о выявленных слабостях системы и ныне сотрудничают с ними в поиске возможных контрмер. В тот же день компания NXP Semiconductors издала пресс-релиз о выпуске к ноябрю 2008-го новой бесконтактной карты Mifare Plus, гораздо лучше защищенной и призванной обеспечить модернизацию систем на основе Mifare Classic (отметим, что о компрометации Classic в пресс-релизе нет ни слова). В среду, 12 марта, министр внутренних дел тер Хорст проинформировала парламент о случившемся и предпринимаемых в связи с этим мерах.
О технических деталях взлома Mifare Classic читайте в материале на стр. 34.