 |
||||
|
Potentiel risiko ved MiFARE sikkerhedsbristDet meget udbredte teknologi til adgangskort og adgangsbrikker, MiFARE Classic, er blevet hacket, og det er nu muligt at lave kopier af den teknologi som ofte bliver udråbt som særlig sikker. I marts 2008 offentliggjorde studerende fra Radboud Universitet i Holland at de har brudt krypteringen, og viser bl.a. på en film på YouTube hvordan det er muligt at kopiere et adgangskort uden indehaverende af kortet opdager det. Idet mange virksomheder benytter denne teknologi i deres adgangskontrolsystemer og derfor baserer deres fysiske sikkerhed på denne teknologi, vil de derfor teoretisk set være udsat for risiko for kopiering af deres adgangskort/brikker. Der er tidligere set eksempler i Danmark på avancerede forsøg på at omgås sikkerhedssystemer for at få adgang til virksomhedskritiske data, værdifulde produkter eller teknologier, hvorfor Vitani anser truslen for reel, og ikke blot teoretisk. Producenten (NXP - tidl. Phillips) har annonceret en afløser (MiFARE Plus), men indtil denne er lanceret, anbefaler Vitani A/S såvel som producenten, at benytte den mere sikre version kaldet MiFARE DESFire til nye løsninger. MiFARE DESFire er beskyttet af bedre kryptering og er et nyere produkt fra samme producent. MiFARE DESFire giver udover krypteringen mere hukommelse til informationer, samme frihed i forhold til leverandører samt bedre sikkerhed når flere leverandører skal benytte samme hukommelsesopbygning. Anbefalinger For eksisterende brugere af MiFARE, anbefaler Vitani at man vurderer hvorvidt en udskiftning eller opgradering til en mere sikker kortteknologi kan lade sig gøre, og hvorvidt det er en reel sikkerhedsbrist set i forhold til eventuelt andre muligheder for at omgå sin sikkerhedspolitik. Selve kortteknologien er kun een ud af flere sikkerhedslag man bør være opmærksom på. For nye kunder, der er ifærd med at investere i nye sikringssystemer, anbefaler Vitani at man benytter enten MiFARE DESFire, HID iCLASS eller en tilsvarende teknologi, eller tager en senere opgradering med i planlægningen. Mange kunder anvender et ekstra sikkerhedslag i form af enten pinkode eller biometri, og dette er naturligvis med til at hæve sikkerhedsniveauet. For virksomheder hvor sikkerhed er væsentlig, anbefaler Vitani dog ikke at man benytter sig af kombinationen MiFARE Classic og pin-kode alene, idet denne løsning vil være kompromittérbar, da man kan aflæse eller udlåne sin kode, og dermed åbnes der for insider-misbrug. Virksomheder der benytter et MiFARE kort med en biometriske data på kortet, vil også have en teoretisk større risiko, idet det vil være muligt at erstatte de biometriske data hvis ikke løsningen er krypteringsmæssigt forsvarligt udført.
Læs evt. producentens faq her: HTTP://WWW.NXP.COM/CGI-BIN/FAQ/FAQ.PL?QUERY=G&ID=41&FID=18 eller download dokument der beskriver de forskellige begreber her: Download den originale pressemeddelelse fra Radboud Universitet: Læs producentes informationer til slutkunder (p.t. dateret 10. november 2008): http://www.mifare.net/security/enduser_information.asp Se video med eksempel på hvorledes de studerende snyder deres eget adgangskontrolsystem: http://www.youtube.com/watch?v=NW3RGbQTLhE Læs Nedap's nyhed: http://www.nedap-aeos.com/en/news/news49.php
Kontakt evt. Vitani A/S såfremt du er i tvivl om hvorvidt dette er en reel sikkerhedsbrist for din virksomhed. |
|
||
|
||||
