PRAHA Plzeňská karta je děravá. Mobilním telefonem s vhodnou aplikací lze přečíst nejen jméno a datum narození držitele, ale i kolik mu na kartě zbývá peněz. A jednoduše lze tuto částku snížit, zcela vymazat nebo i zvýšit, aniž by proběhly odpovídající přesuny skutečných peněz.
„Již v roce 2009 jsme zaznamenali prvé případy napadení Plzeňské karty, které po jejich odhalení ustaly. Nové případy jsme zaznamenali v posledním měsíci,“ uvedl ředitel plzeňského dopravního podniku Michal Kraus. Celkové škody na jízdném z těchto zneužití se podle něho pohybují v řádech stovek korun, a proto firma zatím pachatele trestně nestíhá.
Špatná ochrana údajů před manipulací je způsobena tím, že Plzeňská karta používá zastaralý čip Mifare Classic. Podle odborníků je již od roku 2008 známo, že tento čip „prolomí“ i hacker začátečník.
Dopravní podnik v Plzni o tom ví, proto chce tyto čipy nahradit bezpečnějšími.
„Zhruba na počátku roku 2013 plánujeme v systému Plzeňská karta zahájit emisi čipových karet na standardu Mifare Desfire,“ uvedl ředitel Kraus.
Známého kryptologa Tomáše Rosu vyjádření plzeňského dopravního podniku překvapilo.
„Používat čip Mifare Classic v roce 2011 je bezpečnostní faux pas. Tři roky se o tomto čipu ví, že je snadno zranitelný, dopravní podnik vědomě vrhá lidi do rizika. A skutečně mne šokuje, že čip s poněkud vyšším zabezpečením chce podnik zavádět až v roce 2013, pět let po odhalení propastných slabin starého čipu,“ řekl Rosa.
Ředitel plzeňského dopravního podniku je přesvědčen, že čipové karty, které se používají pro placení jízdného i pro další účely, jako je vstupné do kulturních a sportovních zařízení, k získání slev v některých obchodech a restauracích, jsou zabezpečené dostatečně.
„Mobilní telefon s technologií NFC je možné využít pro čtení čipových karet a využíváme jej tak i v rámci revizorského systému. Čtecí pole takového mobilního telefonu je však velmi malé, do deseti centimetrů. I v případě, že se držiteli telefonu podaří prolomit bezpečnostní slabiny stávající karty, nedokáže číst data o držitelích karet bez jejich vědomí,“ uvedl Kraus.
Změnu zůstatku karty bez vědomí držitele podnik podle něho zatím nezaznamenal.
„Technicky ji považujeme za velmi komplikovanou s velkým rizikem odhalení pachatele. Pokud by takový případ nastal, bude odhalen bezpečnostními mechanismy v systému,“ dodal ředitel dopravního podniku.
Amatérský programátor Libor Tomšík, na rozdíl od ředitele Krause, manipulaci s kartou za komplikovanou nepovažuje. Na své webové stránce zveřejnil již v roce 2009 svou zkušenost.
„Plzeňská karta, Plzeňská jízdenka, karta JIS Západočeské Univerzity, identifikační karta Karlovy Univerzity a čip na dveře v Kalikovském mlýně, všechny lze cracknout, číst je, zapisovat na ně. Nejvíce jsem si hrál s Plzeňskou kartou a jízdenkou, klíče od všech sektorů jsem získal za 20 minut. Na první pohled jsem našel jméno a datum narození. Během další chvíle jsem našel paměťový blok, kde je uložen kredit na kartě. Zkusil jsem si na anonymní plzeňské jízdence nabít 3000 korun a podívat se, kolik je tam peněz, na čtečce v tramvaji. A fungovalo to,“ popisuje Tomšík svou zkušenost s tím, že Dopravní podnik města Plzně o svém zjištění informoval a modifikovanou kartu zničil.
Manipulace s údaji na kartě je podle ředitele Krause trestným činem a pachateli hrozí až 12 let vězení. „Hrozba vězením je absurdní. To je to samé, jako by na dveře zámečník místo bezpečnostního zámku přitloukl plech s tím, že to je dostatečná ochrana, protože loupež je trestným činem,“ podotkl kryptolog Rosa. Plzeňský dopravní podnik vydal celkem 250 tisíc čipových karet a do systému již investoval 260 milionů korun. Prvních 120 tisíc karet rozdal zdarma, další stojí 170 korun. Čipový systém je v provozu od roku 2004. Za poslední tři roky podnik prostřednictvím karet utržil 636 milionů korun, za papírové jízdenky 197 milionů, provozní náklady činily 45 milionů.
***
Jak vypadá snadný útok na čipovou kartu
Výzvou „PRILOZ KARTU“ aplikace signalizuje, že je připravena prolomit zabezpečení čipové karty a přečíst jméno a datum narození držitele. Pro demonstraci bylo použito smyšlené jméno i datum narození. Po demonstraci byla karta na snímku znehodnocena, nikdy se ve skutečnosti nepoužila.
Výzva „Add“ znamená, že aplikace je připravena měnit zůstatky na kartě. Konkrétně přidáváme číslovku 40 a karta to pochopila jako zvýšení zůstatku o 40 korun.
Každým dalším stisknutím tlačítka enter na telefonu se částka na kartě zvyšuje o poslední přidané číslo. Nebo lze zadat nové číslo, například 400.
Když útočník nechce stále mačkat enter, zadá třeba čtyřicet tisíc. A karta to poslušně pochopí jako zvýšení sumy peněz, třeba na necelých 165 tisíc korun.
Jak probíhá útok Útočník si pořídí mobilní telefon s technologií komunikace na krátkou vzdálenost NFC (Near Field Communication) Do mobilního telefonu stáhne potřebnou aplikaci Přiblíží se k oběti na méně než pět centimetrů Jednoduchými povely přidává nebo také ubírá peníze na cizí kartě
Útočící mobil nezastaví ani kabelka nebo batoh, aplikace přečte údaje z karty na vzdálenost 5 až 10 centimetrů.
