Menu
A+ A A-

Opasnosti CSN pametnih čitača kartica

Lažni osjećaj sigurnosti može vas učiniti podložnijim napadima nego što možete pretpostaviti. Poznavanje pojedinih detalja i informacija od korisnika kriminalcu može omogućiti sastavljanje uređaja za kloniranje (ili simuliranje) beskontaktne pametne kartice
Izvor: HID Global
E-mail: Ova adresa el. pošte je zaštićena od spambotova. Omogućite JavaScript da biste je vidjeli.
 
Kada se beskontaktne pametne kartice pametno implementiraju i stave u upotrebu, jedna su od najsigurnijih dostupnih identifikacijskih tehnologija. Međutim, neki proizvođači u pokušaju da prodaju univerzalni čitač koji je u stanju čitati skoro sve tipove beskontaktnih kartica zapravo deaktiviraju ugrađene sigurnosne mehanizme. Takvi čitači, poznati kao CSN čitači, samo čitaju serijski broj kartice koji, prema ISO standardima, nije uopće zaštićen. ISO standard definiše upotrebu CSN-a u procesu po imenu antiinterferencija (anti-collision), koji je osmišljen tako da samo identifikuje prisustvo više različitih kartica u polju čitača te ne sadrži sigurnosne mjere. Poznavanje ovih detalja kriminalcu može omogućiti sastavljanje uređaja za kloniranje (ili simuliranje) beskontaktne pametne kartice.
 
Lažni osjećaj sigurnosti
Kako bismo razumjeli zašto korištenje serijskih brojeva beskontaktnih pametnih kartica pruža lažni osjećaj sigurnosti, važno je upoznati se s osnovnim definicijama i mehanizmima beskontaktnih pametnih kartica.
 
Serijski broj kartice (CSN): CSN se odnosi na jedinstveni serijski broj beskontaktne pametne kartice. Sve beskontaktne pametne kartice sadrže CSN, kako je i propisano ISO specifikacijama 14443 i 15693. CSN ima mnogo različitih imena, uključujući UID i CUID, a ovdje je bitno naglasiti da se on u skladu s ISO zahtjevima uvijek može detektovati bez ikakvih sigurnosnih mjera i autentifikacije. Osim toga, za pametne kartice postoje i razvojni alati poput analizatora protokola, koji su u raširenoj upotrebi te mogu emulirati ISO 14443 ili 15693 CSN-ove. CSN možete bolje shvatiti ako ga usporedite s brojem adrese na kući: svako bi trebao biti u mogućnosti pročitati broj kako bi mogao pronaći kuću. Na sličan način se i CSN koristi za prepoznavanje kartica.
 
Antiinterferencija: Riječ je o dijelu komunikacijskih protokola koje tehnologije beskontaktnih pametnih kartica koriste za identifikaciju kartice kada se više njih nalazi u blizini čitača u isto vrijeme. Ova tehnologija omogućava istovremenu komunikaciju s nekoliko beskontaktnih pametnih kartica. ISO standardi nalažu da svaka beskontaktna pametna kartica ima jedinstveni CSN te ovi standardi definišu nekoliko metoda implementacije antiinterferencije. Bitno je imati u vidu da, prema ISO standardima, CSN nikada nije bio namijenjen korištenju za bilo šta drugo osim za antiinterferenciju.
 
Kako se CSN koristi u kontroli pristupa?
CSN čitači koriste CSN-ove beskontaktnih pametnih kartica umjesto ličnih podataka pohranjenih u zaštićenim dijelovima kartica. Kada se kartica stavi pred čitač, on detektuje njen CSN i obično izvlači njegov podset, konvertuje ga u 26-bitni Wiegand ili neki drugi nesigurni format te šalje podatke dalje u sistem do uređaja poput centrale ili centralnog računara. 
 
Najčešće korišten kartični format pogoršava ovaj problem
Postoje mnogi kartični formati, a oni se sastoje od više numeričkih polja. Najčešće korišteni kartični format sadrži ukupno 26 bita. Ukoliko se koristi 26-bitni Wiegand protokol, iz CSN-a se izvlači 16-bitno numeričko polje, dok se šifra lokacije obično kreira iz unaprijed programiranog broja pohranjenog u čitaču. Ovo rezultira vjerovatnoćom da će doći do kreiranja više istih kartičnih brojeva. Statistički gledano, na svakih 65.535 kartica bit će najmanje jedan duplikat. 
Najbolje bi bilo koristiti kartični format s više bitova u numeričkom polju kartice. Neki proizvođači nude kartični format koji u kombinaciji sa šifrom lokacije koristi i veće numeričko polje i ima dodatno prilagodljivo polje. Imajte u vidu da problem dupliciranih kartičnih brojeva nije ograničen samo na Wiegand protokol. On se pojavljuje u bilo kojem protokolu koji koristi manji broj bitova dobijen od CSN-a radi prepoznavanja broja kartice.
 
Zašto su ipak CSN čitači tako popularni?
Pružaoci ovih usluga koji nude proizvod najniže cijene često pribjegavaju zaobilaženju odgovarajućeg licenciranja sigurnosnih algoritama kako bi smanjili troškove. Oni često preskaču educiranje svojih kupaca o kompromisu koji uvode u kupčevo sigurnosno rješenje. Iako kupac može imati prednost od početne niske cijene tokom montiranja, dugoročni trošak usljed sigurnosnog kompromisa može biti katastrofalno visok. 
 
Preporuke nadležnih tijela
Vlada SAD-a i međunarodne organizacije upozoravaju da CSN ne treba koristiti ni za šta osim za ono za što je prvobitno namijenjen.
 
• U izvještaju vlade SAD-a preporučuje se da se CSN ne koristi u identifikacijske svrhe s obzirom na to da "korištenje CSN-a kao identifikatora funkcioniše samo za 14443A i 14443B, a to bi mogao biti nasumični broj koji se svaki put mijenja, o čemu će se raspravljati u budućoj verziji specifikacije." 
• Međunarodna organizacija za civilno vazduhoplovstvo također upozorava: "Pri korištenju CSN-a ne postoji zaštita zato što je to često tako podesio proizvođač u samom softveru čipa te se ne može promijeniti." 
 
Zaključak
Pri implementaciji i stavljanju tehnologije za beskontaktne pametne kartice u upotrebu neophodno je koristiti najbolju praksu i uvijek imati na umu da su beskontaktne pametne kartice sigurne kada se koriste kako treba, a da korištenje CSN-a beskontaktnih pametnih kartica zaobilazi sigurnosne mehanizme ugrađene u njih. Poznavanje sigurnosnih rizika povezanih s korištenjem CSN-a umjesto čitanja podataka zaštićenih sigurnosnim mehanizmima pomoći će u održavanju odgovarajuće zaštite osoblja i imovine. 
 
 
 

     

Global Security d.o.o.
Safeta Zajke 115c, 71000 Sarajevo, Bosna i Hercegovina
Tel: +387 (0)33/788-985
Fax: +387 (0)33/788-986
Web site: www.asadria.com
Marketing: marketing@asadria.com
Pretplata: pretplata@asadria.com
PDV broj: 201142740001
Identifi kacioni broj: 4201142740001
www.asadria.com
ISSN 1986-5

  

Magazin a&s Adria – stručni magazin za kompletna sigurnosna rješenja – mjesečna je publikacija licencirana od strane kompanije Messe Frankfurt New Era Business Media za Adriatic regiju: Bosnu i Hercegovinu, Crnu Goru, Hrvatsku, Kosovo, Makedoniju, Sloveniju i Srbiju.

Magazin a&s Adria je mjesečna publikacija iz oblasti sigurnosti i zaštite čiji je primarni cilj da informiše, educira i poveže sigurnosno tržište u Adriatic regiji. Magazin nastoji biti graditelj i poveznica između proizvođača i krajnjih korisnika u čijem lancu su neizostavni sistem-integratori i instalaterske kompanije kao ponuđači usluga. Zahvaljujući jasnoj viziji razvoja koja prepoznaje potrebe tržišta, a&s Adria se etablirala kao pouzdan izvor informacija i kao takva je prepoznata od strane čitalaca još od samih početaka 2006. godine.