Analyzovali jsme ve\u0159ejn\u011b pou\u017e\u00edvan\u00e9 karty (Bratislavsk\u00e1 j\u00edzdenka, univerzitn\u00ed\/ISIC pr\u016fkazy, parkovac\u00ed karty, pr\u016fkazy Slovak Lines a jin\u00e9) na Slovensku a v \u010cech\u00e1ch zalo\u017een\u00e9 na technologii Mifare Classic. Pomoc\u00ed r\u016fzn\u00fdch technologick\u00fdch postup\u016f a na z\u00e1klad\u011b dostupn\u00fdch v\u011bdeck\u00fdch publikac\u00ed jsme prakticky demonstrovali mo\u017enost kompletn\u00edho z\u00edsk\u00e1n\u00ed p\u0159\u00edstupov\u00fdch kl\u00ed\u010d\u016f pou\u017e\u00edvan\u00fdch na \u0161ifrov\u00e1n\u00ed obsahu uveden\u00fdch karet. Prakticky jsme tak\u00e9 ov\u011b\u0159ili mo\u017enost pln\u00e9 kontroly nad testovan\u00fdmi \u010dipov\u00fdmi kartami v\u010detn\u011b kompletn\u00edho na\u010d\u00edtan\u00ed, modifikace a vytvo\u0159en\u00ed duplik\u00e1tu \u010dipov\u00e9 karty. Odhadli jsme n\u00e1klady na realizaci samotn\u00e9ho \u00fatoku a navrhli vhodn\u00e9 bezpe\u010dnostn\u00ed protiopat\u0159en\u00ed \u2013 od nejbezpe\u010dn\u011bj\u0161\u00edch (kompletn\u00ed sta\u017een\u00ed zraniteln\u00fdch karet a nahrazen\u00ed bezpe\u010dn\u011bj\u0161\u00edmi) a\u017e po m\u00e9n\u011b bezpe\u010dn\u00e9 (sv\u00e1z\u00e1n\u00ed UID karty s identitou cestuj\u00edc\u00edho a ov\u011b\u0159ov\u00e1ni platnosti UID karty, digit\u00e1ln\u00ed podepisov\u00e1n\u00ed obsahu, „decrement counter“ \u0159e\u0161en\u00ed).<\/p>\n
Pro demonstraci z\u00e1va\u017enosti uveden\u00e9 zranitelnosti a nutnosti sou\u010dasn\u00e9 karty p\u0159estat pou\u017e\u00edvat a nahradit bezpe\u010dn\u011bj\u0161\u00edmi, jsme vytvo\u0159ili a zve\u0159ejnili vlastn\u00ed implementaci \u201eoffline nested“ \u00fatoku pomoc\u00ed kter\u00e9ho je mo\u017en\u00e9 \u00fatokem na kartu (bez pou\u017eit\u00ed legitimn\u00ed RFID \u010dte\u010dky) z\u00edskat v\u0161echny kl\u00ed\u010de ke v\u0161em sektor\u016fm.<\/p>\n