Naujas atvirojo kodo įrankis, pavadintas Crapto1, gali leisti įsilaužėliams nemokamai keliauti Londono metro, iššifruojant ryšio duomenis tarp RFID lustų ir skaitytuvų.
„Oyster“ kortelių sistema yra pagrįsta „Mifare“ lustu, kuris naudoja šifravimo algoritmą, vadinamą „Crypto1“. Ataka prieš šį algoritmą neseniai buvo išsamiai aprašyta Radboudo universiteto Olandijoje akademiniame darbe, ir būtent šią ataką įgyvendina Crapto1.
„Šiuo metu aš nežinau apie jokius kitus viešus įgyvendinimus, nusprendžiau parašyti savo. Šis kodas įgyvendina reikalingą kriptografiją, kad iššifruotų užfiksuotą ryšį tarp crypto1 pagrįstų žymų ir skaitytuvų. Ir netgi susigrąžinti bendrą paslaptį“, – sako The pagrindiniame projekto puslapyje „Google Code“..
MIFARE ne tik maitina Londono metro bilietų sistemą, bet ir panašiai naudojama Nyderlandų viešojo transporto sistemoje ir daugelyje biurų saugaus įėjimo sistemų.
Projektas, sukurtas programuotojo, besivadinančio slapyvardžiu blapost, šiuo metu yra priglobtas Google Code, kur jį galima laisvai atsisiųsti. Programinė įranga leidžia per dvi sekundes iššifruoti Mifare lusto prieigos kodą standartiniame kompiuteryje, atidaryti dureles, kad būtų galima manipuliuoti kortelėje saugomais duomenimis, pvz., likučiu Oyster likučiu kortelę.
Tai leistų įsilaužėliams gauti nemokamą prieigą prie sistemų, pavyzdžiui, naudojamų Londono metro, kaip anksčiau šiais metais padarė Radboudo universiteto mokslininkai.
„Nėra įrodymų apie plačiai paplitusią Oyster kortelių klonavimą, į sistemą nebuvo įsilaužta ir nėra rizika kortelių turėtojų asmeniniams duomenims, nes jie nėra saugomi kortelėje“, – aiškina „Transport for London“ (TfL). atstovas spaudai. „Pastarosios Oyster sistemos problemos visiškai su tuo nesusijusios ir neturi nieko bendra su įsilaužimu.
Nuo tada „TfL“ nutraukė sutartį su „TranSys“, įmone, kuri padėjo sukurti „Oyster“ kortelių sistemą, tačiau neigia, kad saugumas yra problema, o nurodo galimą išlaidų sutaupymą.
