Artikel top billede

En milliard RFID-kort i fare for hacking

Den hollandske regering udsender advarsel om adgangskort, der baserer sig på Mifare Classic RFID-chip. RFID-chippen er en af de mest udbredte RFID-chips i verden.

Den hollandske indenrigsminister Guusje ter Horst skrev i går onsdag et brev til det hollandske parlament, at regeringsinstitutioner skal tage "ekstra forholdsregler for at opretholde sikkerheden."

Det er Mifare Classic RFID (radio frequency identification) chip, som er udviklet af
NXP som er årsagen til de hollandske bekymringer.

Forskere viser sårbarhed

Den hollandske advarsel kommer efter, at to uafhængige forskergrupper har demonstreret sårbarheder i kortets sikkerhed.

I mandags offentliggjorde de tyske forskere Karsten Nohl and Henryk Plötz en beskrivelse af problemet med kortets krypteringsteknologi.

Allerede tilbage i december måned sidste år havde de to forskere på Chaos Computer Camp fortalt om sårbarheden i RFID-kortet.

De har dog ikke offentliggjort selve hacket.

"Vi ønsker at få en debat igang, så folk kan tilpasse eller fravælge systemet," siger Karsten Nohl til hollandske Webwereld.

I går onsdag demonstrerede Bart Jacobs, en it-sikkerhedsprofessor fra Radboud Universitetet i Nijmegen, et hack af chippens sikkerhedskryptering.

ID-tyveri og indbrud

Kriminelle kan udnytte sårbarheden til at klone kort, der anvender Mifare Classic RFID-chip og derved give dem adgang til btygninger eller foretage identitetstyveri.

Ifølge den hollandske indenrigsminister Guusje ter Horst anvendes RFID-chippen i to millioner hollandske adgangskort til bygninger.

Globalt set er der ifølge Webwereld en milliard kort, der anvender teknologien fra NXP, hvilket gør det til et globalt problem.

På NXP's website listes følgende anvendelser af Mifare Classic chippen:

"Electronisk afgiftsopkrævning via en On-Board enhed eller via Stop-and-Go betaling med kontaktfri kortlæsere ved afgiftssteder; parkometre eller adgang til parkeringspladser; frequent flyer kort med Lufthansa og Air France samt betaling på tankstationer (Shell Easypay)."

NXP nævner, at Mifare udgør 85 procent af markedet for kontaktfri smartcard. Markedsandelen er dog fra en undersøgelse fra år 2000.

Det danske Rejsekort er også udsat for sårbarheden ligesom chippen anvendes i det engelske Oyster Card, som anvendes i Londons Underground.

Computerworld har kontaktet NXP, for at høre hvor mange Mifare Classic-chips, der er i anvendelse i Danmark, men har ikke modtaget noget svar endnu.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
JN Data A/S
Driver og udvikler it-systemer for finanssektoren.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere