FRID úskalia čipových kariet.

05.02.2019

Analýza rizík.

Najväčšie obavy vyplývajú z možnosti neautorizovaného čítania a možnosti falšovania tagov RFID. Dnes je reálne vytvorenie duplikátu čipu využívajúceho 125 kHz. Niektoré technológie 13,56 MHz sú na tom lepšie, lebo na zabezpečenie uložených informácií využívajú prístupové kľúče a prenos medzi čipom a čítacou jednotkou je zabezpečený napr. šifrovacou technológiou 3DES. Sú však známe prípady, keď boli pre nedostatočné fyzické zabezpečenie prístupových kľúčov narušené aj takéto systémy. Na hackerských konferenciách už býva bežný scenár, keď sa údaje z tagu načítajú cez snímač pripojený k notebooku. Potom sa spomínaný reťazec použije na "podstrčenie" kódu originálnej čítačke. O možnostiach aplikácií pre smartfóny sa môžete presvedčiť sami, stačí zadať v aplikačnom obchode do vyhľadávania kľúčové slová typu "credit card reader". Pre istotu robte prípadné pokusy s takouto aplikáciou na najmenej dôležitej debetnej karte, nikdy nemáte istotu, či autor aplikácie načítané čísla niekam neposiela.

Špecializované čítačky sú ešte citlivejšie, samozrejme, aj pomerne drahé. Technicky zdatnejší experimentátori si však môžu za menej než 10 eur kúpiť v obchode s elektronickými súčiastkami hotový modul čítačky, ktorý sa dá pripojiť k mikrokontrolérovej doske Arduino, Raspberry, STM 32 Discovery, skrátka k akémukoľvek mikrokontroléru, ktorý podporuje sériové rozhranie SPI. Na internete nájdete množstvo softvéru pre Arduino na tento účel. V konečnom dôsledku ktokoľvek môže pomerne jednoducho v priebehu niekoľkých sekúnd načítať údaje z vašej bezkontaktnej platobnej karty. Údaje sa potom dajú rôzne zneužiť, či už priamo, alebo predať na čiernom trhu. Môžu sa zneužiť napríklad pri on-line nákupe, požičaní auta, objednaní služieb, kriminálnej činnosti, vydávaní sa za niekoho iného, na podvody pri uzatváraní zmlúv či krádeže peňazí z účtov ľudí i firiem.

Chybu pri platení môžete urobiť aj sami, napríklad omylom vytiahnete z peňaženky namiesto jednej karty dve, ktoré sa prekrývajú, a platba sa vykoná z nesprávnej karty. Platobný terminál prijíma platbu od prvej bezkontaktnej karty, ktorá zareaguje na vysielaný signál. To znamená, že ak súčasne používate rôzne typy čipových bezkontaktných kariet, môže sa vám stať, že budete účtovaní dvakrát, pokiaľ budú obe karty vedľa seba. Prípadne ak máte platobnú a dopravnú kartu, platba môže byť stiahnutá z bezkontaktnej platobnej karty, hoci cesta mala byť pokrytá dopravnou kartou. To sa môže stať aj v prípade, ak je karta alebo peňaženka príliš blízko k platobnému terminálu, ktorý chcete použiť. Môže sa tak stiahnuť platba z karty, ktorou ste platiť nechceli.

Možnosti ochrany.

Na ochranu kariet s možnosťou bezdotykového snímania sú k dispozícii rôzne ochranné puzdrá z kovového alebo kovovými vláknami popretkávaného materiálu, ktorý blokuje prístup signálu z čítačky ku karte. Puzdrá z kovového materiálu sú však hrubé, takže sa nedajú vložiť do peňaženky. Praktickejšie sú plastové puzdrá s ochrannou vrstvou nanesenou vhodnou technológiou. Najčastejšie sa využíva hliníková fólia, ktorá nie je magnetická. Častým vysúvaním a zasúvaním kariet do puzdra sa však ochranná vrstva môže poškodiť, vzniknú mikrotrhliny, ktoré môžu prepúšťať signál na frekvencii 13,56 MHz, ktorý využívajú bežné platobné karty.

Naproti tomu ochrana pomocou bezpečnostnej karty, ktorú vložíte medzi ostatné karty, je oveľa praktickejšia a podľa výrobcu poskytuje ochranu odtienením na úrovni 98 %. V praxi to znamená, že ochráni až tri bezkontaktné karty súčasne. Karta využíva tienenie taftom, ktorý má veľmi dobrú vodivosť, takže absorbuje veľa vysokofrekvenčného signálu a navyše odráža signál od kariet a iných predmetov, ktoré má karta chrániť. Pripomíname, že proces bezkontaktného snímania sa realizuje tak, že čítacie zariadenie ožiari vysokofrekvenčným signálom pasívnu kartu alebo čip RFID. Energia tohto signálu, zachytená anténou najčastejšie v tvare plošnej cievky, slúži následne na napájanie čipu. Ten pomocou rovnakej antény vyšle signál obsahujúci identifikačné údaje. Ak to zosumarizujeme, karta PS vložená do peňaženky blokuje prípadné prenosy RFID z vašich bezkontaktných platobných kariet. Kartu vyvinul britský investor Andre Kay a je patentovaná v mnohých krajinách.

Praktické skúsenosti.

Začali sme testovať na "frekvencii NFC" 13,56 MHz. V prípade, že karta X prekrývala minimálne 2/3 plochy platobnej karty, nedali sa údaje z nej prečítať. Ochranná karta nemusí prekrývať presne miesto čipu, stačí, keď aspoň čiastočne prekryje plošnú cievku, ktorá slúži ako anténa. V praxi to znamená, že kartu X musíte mať v rovnakej priehradke peňaženky ako platobné karty, ktoré má chrániť. S vysokou pravdepodobnosťou ochráni aj karty v susednej priehradke, ktorá je v peňaženke posunutá o 5 - 7 milimetrov. Nám sa v nijakej polohe žiadnu kartu chránenú v susednej priehradke kartou PS načítať nepodarilo, no spoliehať sa na to nedá. Naproti tomu kartu chránenú kartou X umiestnenou o dve priehradky vyššie alebo nižšie sme načítali viac než v polovici prípadov. Preto znovu zdôrazňujeme, že karta X stopercentne chráni bezkontaktnú kartu iba vtedy, keď ju úplne alebo takmer úplne prekrýva. Pri čítaní nezáleží na tom, či je karta X medzi platobnou kartou a terminálom, alebo za platobnou kartou. V obidvoch prípadoch pohltí dostatok rádiofrekvenčného vlnenia, takže čip na karte nebude mať energiu na fungovanie. Nechránená karta sa dá v pohode prečítať, aj keď je vložená v peňaženke.

Karta X chráni bankovú kartu (hnedú) fungujúcu na frekvencii 13,56 MHz. Bielu dochádzkovú kartu na frekvencii 125 kHz snímač dochádzkového systému bez problémov načíta.

Pokračovali sme v testovaní na frekvencii 125 kHz, na ktorej pracujú napríklad kartové dochádzkové systémy. Na tejto frekvencii karta PS nechráni ani vtedy, ak je medzi kartou a čítačkou. V praxi to znamená, že ak máte v peňaženke vedľa seba platobnú, dochádzkovú a ochrannú kartu PS, platobná karta sa nebude dať načítať, no ak priložíte peňaženku k snímaciemu zariadeniu dochádzkového systému na frekvencii 125 kHz, bez problémov takúto kartu prečíta. Pre zaujímavosť, vlnová dĺžka pri frekvencii 13,56 MHz je 22 m a pri frekvencii 125 kHz až 2400 m.

Resumé: Karta X v cene niekoľkých eur spoľahlivo ochráni vaše platobné karty, samozrejme, iba v prípade, ak bude správne umiestnená tak, aby prekrývala platobné karty.