30/07/2015

BLEkey: Συσκευή αξίας 10 δολαρίων κλωνοποιεί RFID (Radio-Frequency Identification) κάρτες εισόδου

Η μικροσκοπική συσκευή των $10 δολαρίων αναπτύχθηκε από δύο ερευνητές ασφαλείας και μπορεί πολύ εύκολα να ξεγελάσει τις RFID κάρτες. Με την ονομασία BLEkey ή Bluetooth Low Energy device αυτή η μικροσκοπική συσκεή σχεδιάσθηκε για να ενσωματωθεί σε έναν RFID card reader, ένα μικρό κουτάκι που αγγίζετε ή περνάτε από πάνω για να εισέλθετε σε κάποιον χώρο. Το BLEkey εκμεταλλεύεται μια ευπάθεια στο Wiegand πρωτόκολλο επικοινωνίας που χρησιμοποιείται από την πλειοψηφία των RFID card readers σήμερα για να κλωνοποιήσει τις κάρτες RFID-equipped. Η ιδέα πίσω από το BLEkey είναι να γνωστοποιηθούν οι τεχνολογίες όπως οι HID proximity cards, οι οποίες διανέμουν αυτές τις κάρτες πρόσβασης στην πλειονότητα των γραφείων και κτηρίων ανά τον κόσμο, καθώς επίσης και να αποδειχθεί ότι το Wiegand protocol είναι ξεπερασμένο και δεν θα έπρεπε να χρησιμοποιείται πλέον. Σύμφωνα με τους ερευνητές, το BLEkey μπορεί να εγκατασταθεί σε λιγότερο από δύο λεπτά και είναι ικανό να αποθηκεύσει δεδομένα περισσότερων από 1,500 RFID κάρτες, είτε μπορεί να γίνει download σε ένα mobile phone μέσω Bluetooth για να κλωνοποιήσει αυτές τις κάρτες.

Δυνατότητες του BLEkey:
Τώρα αυτές οι κλωνοποιημένες κάρτες μπορούν να χρησιμοποιηθούν από τους χάκερς για να αποκτήσουν φυσική πρόσβαση σε ευαίσθητες περιοχές, όπως ένα data center ή ένα printing room.
Επίσης, η μικροσκοπική αυτή συσκευή παρέχει και μια μοναδική δυνατότητα, όπως το να απενεργοποιήσει τον card reader για δύο λεπτά αφού εισέλθει ο εισβολέας στον χώρο με την κλωνοποιημένη κάρτα.

Οι ερευνητές εκτιμούν ότι περίπου το 80 τοις εκατό από τα κτήρια γραφείων που χρησιμοποιούν αυτή τη μέθοδο έχουν ευπαθείς RFID readers για τον έλεγχο της φυσικής εισόδου. Εντωμεταξύ, οι επιχειρήσεις θα πρέπει να αντικαστήσουν αυτά τα ευπαθή συστήματα με άλλα πιο ασφαλούς τεχνολογίας, ο κύριος Baseggio προτείνει μεταξύ άλλων να εγκατασταθεί μια κάμερα στους card readers για να τραβάει φωτογραφία του εισβολέα. Αυτές όμως είναι μόνο προσωρινές λύσεις που θα μπορούσαν να δείξουν εάν κάποιος χρησιμοποιεί κλωνοποιημένη κάρτα, όμως δεν λύνει το πρόβλημα από τη ρίζα του.Ο Mark Baseggio, από την εταιρεία ασφαλείας Accuvant και ο Eric Evenchick από την Faraday Future, οι οποίοι δημιούργησαν το BLEkey θα παρουσιάσουν τα ευρύματά τους στο συνέδριο Black Hat security conference που θα πραγματοποιηθεί την επόμενη εβδομάδα στο Las Vegas.

https://www.secnews.gr/95566/hacking-rfid-access-card/

No comments :

Post a Comment