Hakkerit ajelivat Lontoon metrolla ilmaiseksi
YTV:n matkakortteja tämä haavoittuvuus ei kosketa
26.6.2008 12:26 Hollantilaiset tietoturvatutkijat kloonasivat älykortteja ajaakseen Lontoon metroilla ilmaiseksi päivän verran. Tempaus suoritettiin rfid-älykorteissa käytetyn Mifare-sirun turvattomuuden testaamiseksi.
Sanomalehti Timesin verkkosivujen mukaan hollantilaisen Radboudin yliopiston tutkija Bart Jacobs käytti tempauksen toteuttamiseen tavallista kannettavaa ryhmänsä kanssa.
Ennen Lontoon metrossa suorittamaansa testiä, he kokeilivat tekniikkaa menestyksellisesti Hollannissa sijaitsevan rakennuksen rfid (radio frequency identification) -tekniikalla toimivan kulkulupakortin kloonaamiseen.
Tutkijat skannasivat metroajelua varten ensin metron korttilukijan saadakseen salausavaimet korttien avaamiseen. Sen jälkeen he kulkivat ihmisten läheltä kannettavan koneensa kanssa ladatakseen älykorttien sisältöjä koneelleen.
Salausavaimen avulla he pystyivät kloonaamaan älykortteja lataamiensa tietojen perusteella.
Älykortin salaus ei
ole riittävä
Tietoturvakonsultti Adam Laurie toteaa kyseessä olevan salauksen olevan kelpaamaton tarkoitukseen. Salaus on hyvin haavoittuva ja voimme odottaa pahantahtoisten tahojen hakkeroivan sen, elleivät he ole sitä jo tehneet, Laurie kertoo sanomalehti Telegraphin jutussa.
Bart Jacobs varoittaakin, että tekniikkaa voidaan käyttää kulkulupakorttien kloonaamiseen. Kloonattavan kortin omistaja ei välttämättä huomaa kloonauksen tapahtumista ja tekniikalle ei ole tällä hetkellä mitään teknisiä vastatoimia, Jacobs kertoo.
Jacobs on varoittanut Mifare-sirun haavoittuvuudesta Hollannin hallitusta huhtikuussa, joka on nyt aikeissa uusia kulkulupajärjestelmiään.
Kyseessä olevia haavoittuneita Mifare-siruun pohjautuvia kortteja on Timesin arvion mukaan kaksi miljardia kappaletta ympäri maailmaa.
Mifaren ongelmat ovat
tiedossa valmistajalla
Mifaren kehittäjäyritys NXP Semiconductors kertoo olevansa tietoinen Jacobsin ryhmän tutkimustuloksista. Yhtiö kertoo olevansa yhteyksissä Jacobsin ryhmään suunnitellakseen vastatoimia.
NXP Semicondcutors ryhtyy toimittamaan Mifaresta uutta versiota pilottikäyttöön vielä tänä vuonna. Uudessa Mifare Plus-versiossa on uusina ominaisuuksina muun muassa 128-bittinen salaus.
Ongelma ei koske
YTV:n matkakortteja
Pääkaupunkiseudun joukkoliikenteestä vastaava YTV ei käytä kyseessä olevaa haavoittunutta tekniikkaa. YTV:llä on käytössä Idescon ratkaisu älykorteissa. Käytössä olevalla ratkaisulla ei ole mitään sertifikaatteja.
YTV on uusimassa tekniikkaansa 2009 kesällä. Korttivalinnassa päädyttiin NXP Semiconductorsin Mifare Desfireen, jota tämä haavoittuvuus ei kosketa.
Hannu Nokso-Koivisto toimitus@digitoday.fi
Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.
- Digitodayn tuoreimmat uutiset.
- 07:00 Facebook laskee tykkääjät aktiivikäyttäjiksi
- 01:28 Google taklaa mahdottomia ongelmia
- 6.2. Google pyyhki Atlantiksen kartalta
- 6.2. Nokia Lumia saa valkoisen värin
- 6.2. Pelkkä kortin vilautus riittää kaupan kassalla
- 6.2. Järjestelmävika sotki DNA:n lukuja
- 6.2. Suosittu piraattisivusto antautui
- 6.2. Apple hakkasi Nokian ennätyksen
- 6.2. Riita roihahti Android Marketin 15 minuutin palautusajasta
- 6.2. Tällaista osuutta Motorola vaatii Applen puhelimista
- 6.2. Facebookin kännykkämainokset tulevat maaliskuussa
- 6.2. It-tähdet loistavat Super Bowl -mainoksissa
- 4.2. Åbo Akademi: IPhone on ensikäyttäjälle Lumiaa helpompi
- 4.2. Nokia: Laittomia mineraaleja on vaikea valvoa
- 4.2. Googlen virhe pudotti Chrome-selaimen suosiota
- Uusimmat
- 48h luetuimmat kaikista uutisista.
- 6.2. Pelkkä kortin vilautus riittää kaupan kassalla
- 4.2. Googlen virhe pudotti Chrome-selaimen suosiota
- 6.2. Nokia Lumia saa valkoisen värin
- 6.2. Riita roihahti Android Marketin 15 minuutin palautusajasta
- 4.2. Åbo Akademi: IPhone on ensikäyttäjälle Lumiaa helpompi
- 6.2. Suosittu piraattisivusto antautui
- 6.2. Google pyyhki Atlantiksen kartalta
- 6.2. Facebookin kännykkämainokset tulevat maaliskuussa
- 6.2. Apple hakkasi Nokian ennätyksen
- 6.2. Tällaista osuutta Motorola vaatii Applen puhelimista
- Luetuimmat
- 48h suositelluimmat kaikista uutisista.
- Suositelluimmat
- 48h kommentoiduimmat kaikista uutisista.
- 4.2. Åbo Akademi: IPhone on ensikäyttäjälle Lumiaa helpompi
- 6.2. Nokia Lumia saa valkoisen värin
- 6.2. Pelkkä kortin vilautus riittää kaupan kassalla
- 6.2. Tällaista osuutta Motorola vaatii Applen puhelimista
- 6.2. Apple hakkasi Nokian ennätyksen
- 6.2. Suosittu piraattisivusto antautui
- 4.2. Googlen virhe pudotti Chrome-selaimen suosiota
- 6.2. Riita roihahti Android Marketin 15 minuutin palautusajasta
- 6.2. Facebookin kännykkämainokset tulevat maaliskuussa
- 4.2. Nokia: Laittomia mineraaleja on vaikea valvoa
- Kommentoiduimmat
Uutispäivä
Vuorokauden kaikki uutiset yhdellä sivulla.
RSS-feedit
Seuraa Digitodayn kaikkia uutisia tai vain tiettyä osiota RSS:llä.
Uusimmat uutiset
- Suosittu piraattisivusto antautui 13:02
- Hakkerit veivät tietoa VeriSignin palvelimilta 10:08
- Google palkkasi portsarin Android Markettiin 09:09
- Yhdysvaltain lääkevirastoa syytetään Gmail-vakoilusta 13:36
- Poliisi sulki suositun tiedostonjakopalvelun Ukrainassa 12:59
- Apple paikkaa Maceista yli 50 tietoturva-aukkoa 12:46
- Suomen verkkopankkeja urkitaan jatkuvasti 12:10
- Kuuluisa krakkeri jäi nalkkiin Romaniassa 00:06
- Lisää
Digiyesterday
Viisi vuotta sitten
Omistajat pistävät DNA:ta lihoiksi
07.02.2007 Maakuntien suuret puhelinyhtiöt ja DNA-operaattorin pääomistajat puuhaavat DNA:n ympärille mini-Elisaa. Yritysjärjestelyt ovat vauhdittaneet huhuja DNA:n myynnistä ja pörssiin menosta.
Kolme vuotta sitten
Pommiuhkaus johti Facebook-seksirikosten paljastumiseen
07.02.2009 Pommiuhkaus Wisconsinissa, New Berlinin lukiossa johti tutkimuksiin, joissa epäiltyä syytetään ainakin seitsemän alaikäisen pojan kiristämisestä homoseksuaaliseen seksiin. Tapahtuman keskiössä on Facebookissa esiintynyt keksitty naishahmo.
Taloussanomat
- Anteeksi, unohdin kaiken – pätkiikö sinullakin töissä? 06:01
- Neuvottelut jatkuvat Kreikassa – yleislakko säästöjä vastaan 08:21
- Kriisi iski autonvuokraajiin – ikärajojakin laskettu 06:08
- HS: Liki 70 kuskia saa lähteä Helsingin bussiyhtiöstä 07:25
- Haaviston kannattajat asuvat kalleimmin 15:37
- Kreikassa ei kosketa 13. ja 14. kuun palkkoihin 14:19
- Arvio: Romahdus Nokian älypuhelinten toimituksissa 18:04
- Kohulihan jäljityksen tulos: 30 kiloa löytyi 18:54
- Kreikka leikkaa 15 000 julkisen alan työpaikkaa 20:30
- Poliittinen paine sai johtajat luopumaan jättibonuksista 20:27
- » Taloussanomat.fi
-
189 e
HP Z400 (Xeon W3565, 6 GB, 1 TB, Win 7 Professional), keskusyksikkö
-
136 e
HP Z600 (Xeon E5620, 8 GB, 1 TB, Win 7 Professional), keskusyksikkö
-
124 e
MSI WindBox II (Atom N270, 2 GB, 160 GB, WinXP), keskusyksikkö
-
117 e
MSI WindBox II (Atom N270, 2 GB, 160 GB, Ei käyttöjärjestelmää), keskusyksikkö
-
115 e
HP Z600 (Xeon E5645, 6 GB, 1 TB, Win 7 Professional), keskusyksikkö
-
-58 e
HP Z400 (Xeon W3550, 6 GB, 1 TB, Win 7 Professional), keskusyksikkö
-
-11 e
HP Compaq 8200 Elite CMT (Core i5-2500, 4 GB, 500 GB, Win 7 Professional), keskusyksikkö
-
-10 e
Lenovo ThinkCentre M81 SFF (Core I3-2100, 4 GB, 500 GB, Windows 7 Professional), keskusyksikkö
-
-4 e
HP Compaq 8200 Elite USDT (Core i5-2400S, 4 GB, 250 GB, Win 7 Professional), keskusyksikkö
-
-4 e
Apple iMac (Intel Core i5 2,7 GHz, 4 GB, 1 TB, 21,5", OS-X), keskusyksikkö
Kommentit (13)
Ovatkohan vastatoimet tyyppiä oikeussali vai tyyppiä yhteistyö.
48-bittinen.
Suurempi syy korttien uusimiseen on kuitenkin koko lippujärjestelmän uudistus. Pk-seudullehan on tulossa sellainen malli, että kaupunkien sisäiset kausiliput säilyy, mutta kaupunkien rajat ylittävistä matkoista maksetaan jatkossa matkan pituuden perusteella. Tuo taas edellyttää korttien leimaamista tai etälukemista sekä kulkuvälineeseen noustessa, että poistuttaessa. Nykyisillä matkakorteilla sitä ei voida toteuttaa mitenkään järkevästi tai luotettavasti.
Käyttötiedot siirtyy päivittäin lukijoista yhteiseen kantaan ja voisin kuvitella että siellä alkaa punainen valo vilkkua jos sama kortti matkustaa 50 matkaa päivässä.
On muuten itseasiassa asiakkaan kannalta paljon fiksumpi kortti kuin HKL:n vastaava: Jos esim. matkustaa kertamaksuilla niin systeemi varmistaa ettei kuitenkaan joudu maksamaan enempää kuin vuorokausilippu olisi maksanut. Myös matkustamisen takkuillessa tipahtaa hyvitystä takaisin päin kunhan jaksaa pienen lomakkeen täyttää netissä.
No hyvä sentään että täällä on tietoturvan ja matkajärjestelmien asiantuntijoita selittämässä meille miten systeemit tehdään ettei vain jää asiat epäselviksi.