Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.

Razlike

Slijede razlike između dviju inačica stranice.

Poveznica na ovu usporedbu

Starije izmjene na obje strane Starija izmjena
Novija izmjena 		Starija izmjena
racfor_wiki:seminari:rfid_skimming [2023/01/09 21:38]
mf51776 		racfor_wiki:seminari:rfid_skimming [2023/06/19 18:17] (trenutno)
Redak 1: Redak 1:
 ====== Sažetak ====== ====== Sažetak ======
  
-Radiofrekvencijska identifikacija (RFID) koristi elektromagnetsko polje za automatsku identifikaciju i praćenje oznaka pričvršćenih na objekte. RFID sustav sastoji se od radio transpondera malih dimenzija, radio prijemnika odašiljačaIako se često uz RFID oznake koristi pridjev pasivna, one to jesu i nisuPasivne su u smislu da u većini slučajeva nemaju vlastiti izvor energije, već se „pasivno“ napajaju korištenjem energije iz čitača oznaka. Ta količina energije je dovoljna da se aktivira strujni krug sa malom količinom memorije, procesorom i odašiljačem koji onda „aktivno“ obavlja neki proces. (2.)+Radiofrekvencijska identifikacija (RFID) koristi elektromagnetsko polje za automatsku identifikaciju i praćenje oznaka pričvršćenih na objekte. Mogućnost čitanja osobnih informacija bez pristanka izaziva ozbiljnu zabrinutost oko privatnosti. Ova zabrinutost rezultirala je razvojem standardnih specifikacija koje se bave pitanjima privatnosti sigurnostičlanku su navedene razne vrste napada kojima je podložna RFID tehnologija. Nadalje, opisan je problem RFID „skimminga“ odnosno pribavljanja kloniranja podataka bez privoleU posljednjem dijelu su ukratko opisani radovi istraživača o stvarnom problemu RFID naplate sa bankovnim karticama.
  
-Mogućnost čitanja osobnih informacija bez pristanka izaziva ozbiljnu zabrinutost oko privatnosti. Ova zabrinutost rezultirala je razvojem standardnih specifikacija koje se bave pitanjima privatnosti sigurnosti. U prvom poglavlju su navedene razne vrste napada kojima je podložna RFID tehnologijaU drugom poglavlju je opisan problem RFID „skimminga“ odnosno pribavljanja kloniranja podataka bez privoleU trećem poglavlju su ukratko opisani radovi istraživača o stvarnom problemu RFID naplate sa bankovnim karticama.+====== Uvod ====== 
 +RFID sustav sastoji se od radio transpondera malih dimenzija, radio prijemnika odašiljača (prikazano shematski na Ilustraciji 1)Iako se često uz RFID oznake koristi pridjev pasivna, one to jesu i nisuPasivne su u smislu da u većini slučajeva nemaju vlastiti izvor energije, već se „pasivno“ napajaju korištenjem energije iz čitača oznaka. Ta količina energije je dovoljna da se aktivira strujni krug sa malom količinom memorije, procesorom i odašiljačem koji onda „aktivno“ obavlja neki proces. (2.)
  
 {{:racfor_wiki:seminari:rfidcircuit.png?624x284}} {{:racfor_wiki:seminari:rfidcircuit.png?624x284}}
Redak 52: Redak 53:
  
 Na vrlo sličan način je 2019. u radu //„First Contact - Vulnerabilities in Contactless Payments“ (7.)// sa dva uređaja probijena PIN zaštita. U prvom koraku se izbriše bit koji označava potrebu za dodatnom verifikacijom koju zahtijeva terminal, a u drugom koraku se mijenja bit koji označava da je uspješno provedena verifikacija korisnika na uređaju, te se umjesto maksimalnih 30$ transkacije bez dodatne verifikacije omogućava transkacija do 5500$. Na vrlo sličan način je 2019. u radu //„First Contact - Vulnerabilities in Contactless Payments“ (7.)// sa dva uređaja probijena PIN zaštita. U prvom koraku se izbriše bit koji označava potrebu za dodatnom verifikacijom koju zahtijeva terminal, a u drugom koraku se mijenja bit koji označava da je uspješno provedena verifikacija korisnika na uređaju, te se umjesto maksimalnih 30$ transkacije bez dodatne verifikacije omogućava transkacija do 5500$.
 +
 +===== Kako i zašto?=====
 +MIFARE RFID transponderi (vlasnik Philips Austria GmbH) se nalaze u preko milijardu kartica.
 +Obitelj tehnologija podliježe ISO 14443 standardu. MIFARE Standard oznake koriste vlasnički protokol za autentifikaciju i šifriranje podataka, MIFARE UltraLight ne koriste zaštitu.
 +MIFARE Pro, ProX, and SmartMX potpuno implementiraju ISO 14443-3 standard, koriste dva sigurnosna ključa.
 +Koristeći 1000 uređaja koji bi provjeravali ključ svakih 25ms trebalo bi i dalje 226 godina da se probije zaštita.
 +Iza sve te zaštite stoji najranjivija karika, programer. U praksi se koristi 60 default vrijednosti sigurnosnih ključeva u pokaznim implementacijama korištenja oznaka. Smatra se da preko dvije trećine softverskih rješenja koristi 1 od 60 jednih te istih ključeva. Zabrana brute-forceanja ključeva putem nekog brojača pokušaja ili timeouta je rijetka i neviđena. (8.)
  
 ====== Zaključak ====== ====== Zaključak ======
Redak 59: Redak 67:
 Više treba biti pažljiv prilikom korištenja softverskih rješenja koja koriste u nekom svom koraku RFID tehnologiju poput beskontaktnog plaćanja do određene svote novca bez autorizacije,  Više treba biti pažljiv prilikom korištenja softverskih rješenja koja koriste u nekom svom koraku RFID tehnologiju poput beskontaktnog plaćanja do određene svote novca bez autorizacije, 
 koja je dokazano ranjiva i podložna napadima. koja je dokazano ranjiva i podložna napadima.
 +Ukoliko projektiramo informatički sustav koji će koristiti zaštićene RFID oznake treba voditi računa da ne postoji ranjivost u implementaciji uslijed ljudskog previda.
 Neki jednostavni koraci kako se zaštiti od najučestalijih (iako i dalje vrlo rijetkih) kriminalnih radnji vezanih za RFID kartice jesu: Neki jednostavni koraci kako se zaštiti od najučestalijih (iako i dalje vrlo rijetkih) kriminalnih radnji vezanih za RFID kartice jesu:
   * Sniziti limite za neautorizirano plaćanje na minimum u bankovnim aplikacijama   * Sniziti limite za neautorizirano plaćanje na minimum u bankovnim aplikacijama
Redak 72: Redak 81:
   - Basin, David, Ralf Sasse, and Jorge Toro-Pozo. "The EMV standard: Break, fix, verify." //2021 IEEE Symposium on Security and Privacy (SP)//. IEEE, 2021.   - Basin, David, Ralf Sasse, and Jorge Toro-Pozo. "The EMV standard: Break, fix, verify." //2021 IEEE Symposium on Security and Privacy (SP)//. IEEE, 2021.
   - Leigh-Anne Galloway and Tim Yunusov, https:%%//%%www.blackhat.com/eu-19/briefings/schedule/index.html#first-contact---vulnerabilities-in-contactless-payments-17454   - Leigh-Anne Galloway and Tim Yunusov, https:%%//%%www.blackhat.com/eu-19/briefings/schedule/index.html#first-contact---vulnerabilities-in-contactless-payments-17454
 +  - prezentacija (ignorirati) https://drive.google.com/file/d/1W6lX-0GIh5Pip8j3T08XhTN-HNSrLS1g/view?usp=share_link
  
racfor_wiki/seminari/rfid_skimming.1673296725.txt.gz · Zadnja izmjena: 2023/06/19 18:15 (vanjsko uređivanje)
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0