Yangi tadqiqot RFID Smart Card xavfsizligidagi jiddiy kamchiliklarni ochib berdi

Ilg'or tadqiqot keng qo'llaniladigan RFID smart-kartalarida zaifliklarni aniqladi

Technion Universiteti Kiberxavfsizlik Instituti tomonidan olib borilgan yangi keng qamrovli tadqiqot kirishni boshqarish, to'lov tizimlari va jamoat transportida hamma joyda mavjud bo'lgan RFID (Radio-chastota identifikatsiyasi) smart-kartalarining xavfsizligiga oid muhim signallarni keltirib chiqardi.

"Zamonaviy RFID tatbiqlarining qatlamli ishonchsizligi" deb nomlangan tadqiqot shuni ko'rsatadiki, hozirda o'rnatilgan RFID smart-kartalarining katta qismi eskirgan yoki zaif amalga oshirilgan shifrlash protokollariga tayanadi. Tadqiqotchilar arzon, tayyor uskunadan foydalangan holda bir nechta umumiy karta modellarini klonlash, tinglash va ba'zi hollarda xavfsizlikni butunlay chetlab o'tishga muvaffaq bo'lishdi.

"Ko'pgina tashkilotlar va iste'molchilar ushbu kartalar o'z-o'zidan xavfsiz deb hisoblaydilar", deb tushuntirdi yetakchi tadqiqotchi doktor Elena Vans. "Bizning topilmalarimiz soxta xavfsizlik hissi keng tarqalganligini ko'rsatadi. Biz kartalar va o'quvchilar o'rtasidagi aloqani masofadan muvaffaqiyatli ushlab oldik, noyob identifikatorlarni yig'ib oldik va funktsional dublikatlarni yaratish uchun kriptografik zaifliklardan foydalandik".

Zaifliklar bir nechta omillardan kelib chiqadi: MIFARE Classic kabi eski protokollardan doimiy foydalanish, ishlab chiqaruvchilar va oxirgi foydalanuvchilar tomonidan kalitlarni boshqarishning yomon amaliyoti va skimming va relay hujumlariga moyil bo'lgan simsiz aloqaning jismoniy tabiati. Tadqiqot shuni ta'kidlaydiki, yuqori darajadagi xavfsizlik kartalari (masalan, zamonaviy AES shifrlashdan foydalanadiganlar) mavjud bo'lsa-da, xarajatlarni kamaytirish ko'pincha past texnologiyalarni joriy etishga olib keladi.

Buning oqibatlari og'ir. Binoga ruxsatsiz kirish, soxta toʻlovlar, shaxsni oʻgʻirlash va jismoniy shaxslarning harakatlarini kuzatish” kabi harakatlar zararli shaxslar uchun mumkin boʻladi. Faqatgina ushbu zaif kartalarga bogʻliq boʻlgan muhim infratuzilma, korporativ ofislar va mehmonxona xonalari qulflari ayniqsa xavf ostida.

Topilmalarga javoban, kiberxavfsizlik bo'yicha mutaxassislar ko'p qatlamli xavfsizlik yondashuvini talab qilmoqdalar. Tavsiyalarga quyidagilar kiradi:

• Bosqichma-bosqich zamonaviy, kriptografik jihatdan kuchli alternativlar foydasiga eski RFID kartalari.

• Amalga oshirish ikki faktorli autentifikatsiya (masalan, karta va PIN-kod yoki biometrik).

• Muntazam xavfsizlik tekshiruvlari va jismoniy kirish tizimlarining penetratsion sinovlari.

• Foydalanuvchilarning xabardorligi jamoat joylarida kartalarni ko'zdan kechirish xavfi haqida.

Yirik karta ishlab chiqaruvchilari hisobotni tan olishdi va bir nechta eski texnologiya liniyalarining ishdan chiqishini tezlashtirish majburiyatini oldilar. Standartlar organlari, shuningdek, qattiqroq sertifikatlash jarayonlarini talab qilish uchun bosim ostida.

"RFID smart-kartasining xavfsizligi statik xususiyat emas; bu davom etayotgan qurollanish poygasi", deb xulosa qildi doktor Vens. "Bu tadqiqot uyg'otuvchi qo'ng'iroqdir. Biz ushbu texnologiyalarni kundalik hayotimizga va muhim tizimlarga chuqurroq integratsiyalashgan sari, biz raqamli tarmoqlarimiz uchun qilganimizdek, ularning chidamliligiga sarmoya kiritishimiz kerak."

To'liq texnik hisobot bo'lajak Kriptografik apparat va o'rnatilgan tizimlar (CHES) bo'yicha xalqaro konferentsiyada taqdim etiladi.