OCHRANA PLATOBNÝCH A RFID KARIET

V posledných rokoch rastie celosvetový záujem o bezkontaktné platobné karty, rôzne čipové karty, ale aj biometrické preukazy totožnosti a pasy. Využívajú technológiu RFID na frekvencii 13,56 MHz. Z používateľského hľadiska stačí jednoduché priloženie platobnej karty na platobný terminál, označenú plochu na predajnom automate a podobne.

Pohodlie vykúpené rizikom

Využívanie bezkontaktnej karty je síce jednoduchšie a rýchlejšie, no mnoho ľudí si neuvedomuje riziko krádeže. Tieto technológie mávajú nižšiu mieru zabezpečenia a poskytujú možnosť na príležitostné alebo cielené načítanie údajov a ich prípadné následné zneužitie. Informácia o tom, že moderní zločinci sú vyzbrojení zariadeniami s citlivou anténou a sofistikovanejším softvérom, ktorými dokážu prečítať karty RFID a NFC na vzdialenosti výrazne väčšej ako 4 cm, ktoré uvádza špecifikácia technologického štandardu, bežného človeka asi nadmieru nevyľaká. Elita podsvetia sa predsa na bežného človeka zameriavať zrejme nebude. Ale určite spozorniete pri informácii, že každý, kto má telefón s podporou technológie NFC (Near Field Communication), si môže z aplikačného obchodu stiahnuť aplikáciu, ktorá dokáže za okamih prečítať údaje z kreditnej alebo debetnej karty, a to aj v prípade, ak je karta v peňaženke. Stačí, ak máte v kaviarni položenú peňaženku na stole a na chvíľu sa otočíte inde… Takýto okamih umožní nenápadné priloženie mobilu a načítanie údajov z karty v peňaženke.

Technologické minimum

Pre čitateľov, ktorých zaujímajú nielen praktické aspekty prenosu RFID a NFC, uvádzame stručné predstavenie týchto technológií.

RFID (Radio Frequency IDentification) – rádiofrekvenčná identifikácia. Základný princíp je pomerne jednoduchý. Predpokladajme konfiguráciu karty RFID, nálepky, prípadne iného vhodného konštrukčného formátu pasívneho zariadenia. Ak sa takáto karta či iné zariadenie dostane do blízkosti snímača, vyšle mu svoje identifikačné údaje. Aktívnym prvkom v tomto procese je snímač, ktorý elektromagneticky ožiari priestor, kde sa predpokladá prítomnosť identifikovaného tagu. Takto získaná energia sa krátkodobo akumuluje v miniatúrnom kondenzátore na tagu. Identifikačný čip tagu sa touto energiou aktivuje a vyšle svoje identifikačné údaje. Systémy RFID pracujú vo viacerých frekvenčných pásmach, počnúc pásmom nízkych frekvencií, typicky 125 kHz, prípadne 13,56 MHz, alebo vo vysokofrekvenčnom pásme 850 MHz až 950 MHz alebo 2,4 GHz až 2,5 GHz. Nízke frekvencie 125 – 134 kHz majú dosah menej ako 50 cm a prenesú malý objem dát pri nízkej rýchlosti snímania. Využívajú sa napríklad na dochádzkové systémy, automobilové imobilizéry, čipovanie zvierat a podobne. Systémy na frekvencii 13,56 MHz, využívané pri bezkontaktných kartách, majú typický dosah do 1 metra. Dosah snímania je primárne ovplyvnený typom čipu, čítacieho zariadenia a antény. V optimálnych podmienkach možno snímať pasívne tagy RFID triedy 0 do vzdialenosti 8 metrov.

NFC (Near Field Communication) umožňuje komunikáciu dvoch elektronických zariadení, ktoré sú umiestnené v bezprostrednej blízkosti, napríklad platobnej karty a terminálu, mobilného telefónu a bankomatu a podobne. Zariadenia si môžu obojsmerne vymieňať údaje. Technológia NFC používa voľné frekvenčné pásmo 13,56 MHz. Na prenos údajov sa využíva indukčná väzba, takže prenos sa môže začať až vtedy, keď sa zariadenia priblížia k sebe do bezprostrednej blízkosti, aby sa dostali do vzájomného magnetického poľa. Prenosová rýchlosť sa pohybuje v rozmedzí od 100 do 500 kbit/s, čo umožní aj prenos menších súborov vo veľmi krátkom čase. Komunikácia sa uskutočňuje poloduplexne, teda súčasne len jedným smerom. Zvyšuje to bezpečnosť, pretože v takomto režime môže terminál NFC naraz komunikovať len s jedným klientskym zariadením.

Analýza rizík

Najväčšie obavy vyplývajú z možnosti neautorizovaného čítania a možnosti falšovania tagov RFID. Dnes je reálne vytvorenie duplikátu čipu využívajúceho 125 kHz. Niektoré technológie 13,56 MHz sú na tom lepšie, lebo na zabezpečenie uložených informácií využívajú prístupové kľúče a prenos medzi čipom a čítacou jednotkou je zabezpečený napr. šifrovacou technológiou 3DES. Sú však známe prípady, keď boli pre nedostatočné fyzické zabezpečenie prístupových kľúčov narušené aj takéto systémy. Na hackerských konferenciách už býva bežný scenár, keď sa údaje z tagu načítajú cez snímač pripojený k notebooku. Potom sa spomínaný reťazec použije na „podstrčenie“ kódu originálnej čítačke. O možnostiach aplikácií pre smartfóny sa môžete presvedčiť sami, stačí zadať v aplikačnom obchode do vyhľadávania kľúčové slová typu „credit card reader“. Pre istotu robte prípadné pokusy s takouto aplikáciou na najmenej dôležitej debetnej karte, nikdy nemáte istotu, či autor aplikácie načítané čísla niekam neposiela.

Špecializované čítačky sú ešte citlivejšie, samozrejme, aj pomerne drahé. Technicky zdatnejší experimentátori si však môžu za menej než 10 eur kúpiť v obchode s elektronickými súčiastkami hotový modul čítačky, ktorý sa dá pripojiť k mikrokontrolérovej doske Arduino, Raspberry, STM 32 Discovery, skrátka k akémukoľvek mikrokontroléru, ktorý podporuje sériové rozhranie SPI. Na internete nájdete množstvo softvéru pre Arduino na tento účel. V konečnom dôsledku ktokoľvek môže pomerne jednoducho v priebehu niekoľkých sekúnd načítať údaje z vašej bezkontaktnej platobnej karty. Údaje sa potom dajú rôzne zneužiť, či už priamo, alebo predať na čiernom trhu. Môžu sa zneužiť napríklad pri on-line nákupe, požičaní auta, objednaní služieb, kriminálnej činnosti, vydávaní sa za niekoho iného, na podvody pri uzatváraní zmlúv či krádeže peňazí z účtov ľudí i firiem.

Modul čítačky, ktorý sa dá pripojiť k vhodnej mikrokontrolérovej doske, možno kúpiť za menej ako 10 eur

Chybu pri platení môžete urobiť aj sami, napríklad omylom vytiahnete z peňaženky namiesto jednej karty dve, ktoré sa prekrývajú, a platba sa vykoná z nesprávnej karty. Platobný terminál prijíma platbu od prvej bezkontaktnej karty, ktorá zareaguje na vysielaný signál. To znamená, že ak súčasne používate rôzne typy čipových bezkontaktných kariet, môže sa vám stať, že budete účtovaní dvakrát, pokiaľ budú obe karty vedľa seba. Prípadne ak máte platobnú a dopravnú kartu, platba môže byť stiahnutá z bezkontaktnej platobnej karty, hoci cesta mala byť pokrytá dopravnou kartou. To sa môže stať aj v prípade, ak je karta alebo peňaženka príliš blízko k platobnému terminálu, ktorý chcete použiť. Môže sa tak stiahnuť platba z karty, ktorou ste platiť nechceli.

Možnosti ochrany

Na ochranu kariet s možnosťou bezdotykového snímania sú k dispozícii rôzne ochranné puzdrá z kovového alebo kovovými vláknami popretkávaného materiálu, ktorý blokuje prístup signálu z čítačky ku karte. Puzdrá z kovového materiálu sú však hrubé, takže sa nedajú vložiť do peňaženky. Praktickejšie sú plastové puzdrá s ochrannou vrstvou nanesenou vhodnou technológiou. Najčastejšie sa využíva hliníková fólia, ktorá nie je magnetická. Častým vysúvaním a zasúvaním kariet do puzdra sa však ochranná vrstva môže poškodiť, vzniknú mikrotrhliny, ktoré môžu prepúšťať signál na frekvencii 13,56 MHz, ktorý využívajú bežné platobné karty.

Naproti tomu ochrana pomocou bezpečnostnej karty PS, ktorú vložíte medzi ostatné karty, je oveľa praktickejšia a podľa výrobcu poskytuje ochranu odtienením na úrovni 98 %. V praxi to znamená, že ochráni až tri bezkontaktné karty súčasne. Karta využíva tienenie taftom, ktorý má veľmi dobrú vodivosť, takže absorbuje veľa vysokofrekvenčného signálu a navyše odráža signál od kariet a iných predmetov, ktoré má karta PS chrániť. Pripomíname, že proces bezkontaktného snímania sa realizuje tak, že čítacie zariadenie ožiari vysokofrekvenčným signálom pasívnu kartu alebo čip RFID. Energia tohto signálu, zachytená anténou najčastejšie v tvare plošnej cievky, slúži následne na napájanie čipu. Ten pomocou rovnakej antény vyšle signál obsahujúci identifikačné údaje. Ak to zosumarizujeme, karta PS vložená do peňaženky blokuje prípadné prenosy RFID z vašich bezkontaktných platobných kariet. Kartu vyvinul britský investor Andre Kay a je patentovaná v mnohých krajinách.

Porovnanie hrúbky kovového ochranného puzdra a karty PS

Praktické skúsenosti

Pripravili sme si mobilnú aplikáciu umožňujúcu čítať bezkontaktné karty pomocou NFC a takisto čítačky pre obidve najpoužívanejšie frekvencie 13,56 MHz aj 125 kHz. Pre obe frekvencie sme mali k dispozícii jednak profesionálne čítačky, ktoré sa pripájajú cez rozhranie USB k PC, a aj nami zo stavebnice postavené čítačky ako periférie k mikrokontrolérom, kde sme mohli experimentovať s anténami, prípadne čítacím softvérom.

Začali sme testovať na „frekvencii NFC“ 13,56 MHz. V prípade, že karta PS prekrývala minimálne 2/3 plochy platobnej karty, nedali sa údaje z nej prečítať. Ochranná karta nemusí prekrývať presne miesto čipu, stačí, keď aspoň čiastočne prekryje plošnú cievku, ktorá slúži ako anténa. V praxi to znamená, že kartu PS musíte mať v rovnakej priehradke peňaženky ako platobné karty, ktoré má chrániť. S vysokou pravdepodobnosťou ochráni aj karty v susednej priehradke, ktorá je v peňaženke posunutá o 5 – 7 milimetrov. Nám sa v nijakej polohe žiadnu kartu chránenú v susednej priehradke kartou PS načítať nepodarilo, no spoliehať sa na to nedá. Naproti tomu kartu chránenú kartou PS umiestnenou o dve priehradky vyššie alebo nižšie sme načítali viac než v polovici prípadov. Preto znovu zdôrazňujeme, že karta PS stopercentne chráni bezkontaktnú kartu iba vtedy, keď ju úplne alebo takmer úplne prekrýva. Pri čítaní nezáleží na tom, či je karta PS medzi platobnou kartou a terminálom, alebo za platobnou kartou. V obidvoch prípadoch pohltí dostatok rádiofrekvenčného vlnenia, takže čip na karte nebude mať energiu na fungovanie. Nechránená karta sa dá v pohode prečítať, aj keď je vložená v peňaženke.

Karta PS chráni bankovú kartu (hnedú) fungujúcu na frekvencii 13,56 MHz. Bielu dochádzkovú kartu na frekvencii 125 kHz snímač dochádzkového systému bez problémov načíta.

Nesprávna poloha ochrannej karty

Pokračovali sme v testovaní na frekvencii 125 kHz, na ktorej pracujú napríklad kartové dochádzkové systémy. Na tejto frekvencii karta PS nechráni ani vtedy, ak je medzi kartou a čítačkou. V praxi to znamená, že ak máte v peňaženke vedľa seba platobnú, dochádzkovú a ochrannú kartu PS, platobná karta sa nebude dať načítať, no ak priložíte peňaženku k snímaciemu zariadeniu dochádzkového systému na frekvencii 125 kHz, bez problémov takúto kartu prečíta. Pre zaujímavosť, vlnová dĺžka pri frekvencii 13,56 MHz je 22 m a pri frekvencii 125 kHz až 2400 m.

Resumé

Karta PS v cene niekoľkých eur spoľahlivo ochráni vaše platobné karty, samozrejme, iba v prípade, ak bude správne umiestnená tak, aby prekrývala platobné karty.

 

 

Zdroj: https://www.pcrevue.sk/a/Ochrana-platobnych-a-RFID-kariet

 

Upozornenie: Internetový obchod www.patrolslovakia.sk nie je autorom článkov a videí. Zdieľa publikované diela. Uvedené diela zároveň neslúžia ako návod, ani ako podnecovanie k páchaniu trestnej činnosti. Cieľom je poukázanie na bezpečnostné riziká bezkontaktných platobných kariet.
Komentáre