Datos no cifrados sobre Magnetic Card Reader. ¿Cuáles son los riesgos de seguridad?

Navega tus respuestas
3

Estoy trabajando para evaluar la seguridad de la tarjeta de identificación de estudiante de mi universidad. La tarjeta de identificación contiene tanto una banda magnética como un componente RFID y se utiliza para realizar pagos, así como para proporcionar acceso a edificios. Cuando intenté leerlo con un lector de tarjetas magnéticas basado en Arduino, pude ver los datos en texto sin formato. Como no se ingresó un PIN basado en teclado durante ninguna transacción de pago con la tarjeta, mi pregunta es qué riesgos de seguridad están involucrados con esta configuración. Soy un noob completo en seguridad, así que disculpe mi ignorancia aquí, pero creo que podemos usar un escritor de tarjetas magnéticas para clonar esta tarjeta y usarla de la misma manera que la tarjeta original. ¿Será esto posible?

    
pregunta user1952143 20.04.2013 - 14:56
fuente

2 respuestas

2

En resumen: sí, es muy probable que sea .

Si la banda magnética y la RFID no están relacionadas, incluso si los datos estuvieran cifrados, la configuración no sería segura. Sería demasiado fácil deslizar los datos de la tarjeta original (puede hacerlo con un cabezal grabador de cinta, e incluso hay Aplicaciones de iPhone para hacerlo, al interactuar con el conector de audio), límpielos y regístrelos en cualquier tarjeta ISO2.

Si tanto la RFID como la banda magnética son necesarias, entonces es mucho más costoso, pero no difícil: solo necesita un lector / grabador de RFID.

Las tarjetas pasivas sin PIN no son seguras , eso es todo. Su información puede ser clonada de varias maneras; por ejemplo, he sido testigo de una prueba en una variación de 'phreaking' de Van Eck, en la que un sensor ubicado cerca del swiper de la tarjeta original fue capaz de "escuchar" la conversación desde el cabezal de lectura de la tarjeta. Una vez que conozca los datos en la tira, simplemente pase cerca del titular de la tarjeta con un terminal RFID y consulte la tarjeta para su carga útil de datos. Las cartas pasivas siempre responderán de la misma manera. Una vez que tenga tanto información de banda como de RFID, todo lo que necesita es un espacio en blanco para almacenar la información.

Si solo se necesita la banda magnética, las cosas pueden empeorar aún más: uno podría borrar la banda magnética de su propia tarjeta y regrabarla con la información de otra persona, por lo que parece tener un legítimo y una tarjeta auténtica que pasaría un examen superficial, pero en realidad registraría los accesos y debitaría las sumas a otra persona.

Si el escenario objetivo no involucra la interacción humana, ni siquiera se necesita un buen espacio en blanco; puede desmagnetizar y reciclar cualquier tarjeta ISO2 antigua, y deslizarla mientras usa un mando RFID en una pulsera. La tira proporcionará los datos correctos, el mando engañará al lector haciéndole creer que hay un chip RFID en la tarjeta, y el lector será engañado.

Estoy bastante sorprendido de que en la actualidad alguien aún esté considerando aceptar pagos con una tarjeta que se puede cerrar sin la necesidad de autenticación de dos factores. (como un PIN). Intentaría advertir a la Universidad, pero de forma anónima, ya que este tipo de configuraciones generalmente practican disparar al mensajero , y es muy probable que atrae a un Feynman de ti.

    
respondido por el LSerni 20.04.2013 - 15:19
fuente
1

Como primer comentario, si no hay un PIN durante una transacción, entonces la tarjeta no tiene forma de estar segura de que es el verdadero "usted" quien la tiene actualmente. Entonces, si alguien roba tu tarjeta, puede ir en modo de orgía de compras completo a tu cargo.

Una banda magnética no es diferente de unas pocas letras impresas en la tarjeta, excepto que un lector magnético lee la banda en lugar de los ojos humanos. La clonación de una banda magnética es tan simple como leerla con un lector magnético y luego volver a escribirla en otra tarjeta con el mismo lector (esta vez se usa como escritor).

El componente RFID puede potencialmente ser más robusto. Inicialmente, RFID era solo un puerto de la tecnología de banda magnética a un mundo inalámbrico: el lector emite un campo magnético oscilante, que la antena RFID convierte en cierta potencia suficiente para que el componente envíe, a través de la radio (a través de la misma antena) algo de estática datos en ella Más adelante, la tecnología mejoró y un componente RFID puede ser una computadora pequeña de pleno rendimiento, capaz de intercambiar datos con el lector y realizar cálculos. Al menos en teoría, el componente podría ser una tarjeta inteligente resistente a la manipulación indebida que puede almacenar datos privados y hacer criptografía, incluso verificando y firmas digitales . En ese caso, es posible que el componente RFID no se pueda clonar, lo que hace que su tarjeta sea "segura" (a excepción de la falta de PIN, como se explicó anteriormente).

Por supuesto, la antena RFID no consume mucha energía, y el precio de cada tarjeta es generalmente bajo, por lo que es bastante improbable que su tarjeta de estudiante realmente contenga un chip capaz de realizar firmas. Sin embargo, muchas personas están trabajando en ello . También trabajan en romperlo; Debido al hecho de que la potencia es, por diseño, proporcionada por el lector, esto hace que sea bastante difícil proteger el dispositivo del análisis de potencia .

    
respondido por el Tom Leek 20.04.2013 - 16:12
fuente

Lea otras preguntas en las etiquetas

Usuario extraño registrado y comportamiento extraño. ¿Es siniestro? ¿Cómo puede uno recuperarse de Yahoo! ¿Ataque XSS?