Pražská MHD
Každá informační technologie má svoje slabé místo. Pokud si Pražané donedávna mysleli, že cestování městskou hromadnou dopravou s opencard je bezpečné a nikdo nemůže kartu zneužít, mýlili se. Německým vědcům se totiž před nedávnem podařilo prolomit čipovou kartu Mifare DESFire MF3ICD40. „Jde o starší verzi Mifare DESFire EV1, přesto hojně využívanou v různých zemích včetně České republiky,“ napsal slovenský server patřící společnosti Nethemba, která se zabývá IT bezpečností webových aplikací a penetračními (průnikovými) testy. Prolomení neznamenalo žádnou modifikaci karty.
Penetraci provedli němečtí výzkumníci z Porúrské univerzity Bochum. Držitele opencard může snad na chvíli uklidnit, že útok trval sedm hodin, během nichž byla karta u čtečky. Celkové náklady na zařízení potřebná pro prolomení činily 3000 dolarů. „Případné prolomení bezpečnější technologie Mifare DESFire EV1 v budoucnu může vážně ohrozit současné nejbezpečnější čipové karty používané na Slovensku i v Čechách. Čipová karta MF3ICD40 postrádá jakoukoliv ochranu proti diferenční odběrové analýze - dá se předpokládat, že cena útoku i čas potřebný k prolomení budou klesat,“ dodávají IT experti z firmy Nethemba.
Společnost NXP, výrobce karet Mifare, proto doporučuje co nejdříve změnit stávající technologii na bezpečnější – Mifare DESFire EV1. Ta je vůči podobným útokům analýzou postranních kanálů chráněna. Týdeník Euro oslovil s otázkami na bezpečnost čipu společnost Haguess, která systém opencard v hlavním městě rozjížděla. Nikdo z firmy ale nereagoval.
„Toto riziko dlouhodobě sledujeme a i z toho důvodu bylo vyhlášeno s dostatečným předstihem výběrové řízení na dodávku nových karet opencard, které budou založeny na inovativním čipu EV1, který úroveň bezpečnosti posouvá opět o krok dále. Obecně se předpokládá, že nebude v nejbližších čtyřech letech prolomen, stejně jako se to stalo současné technologii,“ uvádí šéf odboru informatiky pražského magistrátu Martin Vimr. Proto jsou podle něj karty opencard, kterých je v oběhu zhruba milion kusů, vydávány se čtyřletou expirační dobou, po níž postupně dojde k jejich obměně za bezpečnější technologii. „Doba do prolomení technologie je přímo úměrná ochotě investovat do vyšší technologie, která dokáže nalézt slabiny - obejít bezpečnostní protokoly nebo využít nějaký nedostatek. Z pohledu opencard jsou současné deklarované náklady příliš vysoké na to, abychom se museli obávat masivního útoku na karty uživatelů,“ dodal Vimr.