2008-10-09

荷蘭研究員揭露捷運悠遊卡晶片組安全漏洞


 
 
詳情本周一已在馬拉加舉行的Esorics資安會議上公諸於世。同時,一篇鉅細靡遺描述加密安全漏洞的學術報告,已發表在Radboud大學的網站上。詳全文
 

http://www.zdnet.com.tw/enterprise/topic/developer/0,2000085753,20132323,00.htm?feed=NL:+%A5%F8%B7%7E%C0%B3%A5%CE+%3A+%A5D%C3D%A4%A4%A4%DF+%3A+%B6%7D%B5o%A4H%AD%FB

荷蘭研究員揭露捷運悠遊卡晶片組安全漏洞
友善列印 | 轉寄朋友 | 加入Furl網路書籤 | 加入HEMiDEMi網路書籤 | 加入MyShare網路書籤 | 加入funP | 留下回應
    
ZDNET新聞專區:Tom Espiner 2008/10/09 13:27:02

荷蘭研究員揭露,倫敦Oyster旅遊智慧卡用的晶片組有安全漏洞。

詳情本周一已在馬拉加舉行的Esorics資安會議上公諸於世。同時,一篇鉅細靡遺描述加密安全漏洞的學術報告,已發表在Radboud大學的網站上。

研究領隊暨Radboud大學電腦安全教授Bart Jacobs周二接受本網站英國姊妹站ZDNet.co.uk訪問時指出,Oyster智慧卡採用的是Mifare Classic晶片組,而該晶片組的安全防護「完全無效」(completely ineffectual)。Mifare晶片也同樣用在台北捷運悠遊卡和荷蘭OV-Chipkaart卡。

Jacobs說:「這款晶片基本上已遭破解。你能做的,只是用額外的安全措施來補強,並加強監督、檢查。相關人士應改用不同的晶片,除非受影響的財產價值很低。」

研究員在研究報告中聲稱,Mifare Classic智慧卡用的專屬Crypto1加密演算法,可用48位元的金鑰「輕易解密」。報告還詳細描述演算法的數學原理,以及智慧卡加密架構的相關資訊。

根據Radboud大學的網站,研究員攔截智慧卡 與一台Mifare讀卡機之間傳訊的「軌跡」(trace),計算出加密金鑰(cryptographic key),然後將它解密(decrypted)。如同研究員今年4月在倫敦地下鐵示範的情況,一旦金鑰被解密,智慧卡就可以拷貝、複製。(未完,請繼續下 一頁)

  繼續閱讀: >>

荷蘭研究員揭露捷運悠遊卡晶片組安全漏洞
友善列印 | 轉寄朋友 | 加入Furl網路書籤 | 加入HEMiDEMi網路書籤 | 加入MyShare網路書籤 | 加入funP | 留下回應
    
ZDNET新聞專區:Tom Espiner 2008/10/09 13:27:02

Jacobs向ZDNet.co.uk表示,德國研究員Henryk Plotz本周一發表博士論文後,更進一步破壞該智慧卡的安全性。Plotz去年12月與另一研究員Karsten Noehl共同發表Mifare的安全漏洞。Plotz博士論文的附錄中,內含攻擊程式碼(attack code),據Jacobs指稱可用來破解Mifare Classic智慧卡。

在研究團隊公開破解細節後,Jacobs表示,倫敦運輸局(TfL)的Oyster智慧卡管理者必須提防,民眾對旅遊智慧卡的信心可能受損,罪犯可能天天複製新卡。

他說:「對倫敦運輸局而言,一大危險是,複製卡片輕而易舉。假設我複製你的卡,倫敦運輸局會看到,然後封殺這張卡的卡號,但正卡會跟仿冒卡一樣遭到封殺。這正是危險所在。到某種程度,乘客會對此卡失去信心。」

不過,倫敦運輸局對ZDNet.co.uk表示,Mifare Classic晶片組本身雖然遭到破解,但該局與Royal Holloway資安組織的研究團隊會商後,已採取額外的安全措施。

倫敦運輸局發言人說:「Mifare Classic晶片只是Oyster智慧卡系統眾多安全防護的一環,而且倫敦運輸局會持續評估這套系統的安全性。我們已和獨立的學術研究團隊合作評估任何可能的風險,並在該系統上實施若干額外的安全防護措施。」

倫敦運輸局發言人並表示,目前沒有改用他款晶片組的計畫。

他說:「IT系統遭到攻擊並非不尋常的事。此刻,我們不認為有必要換掉Mifare系統,也不認為這種票證詐欺行為會演變成普遍性的問題。但我們會密切關注這種情況。」(全文完/ 唐慧文譯)





Windows Cloud就是Windows Strata? [2008/10/09]

Windows Cloud就是Windows Strata? [2008/10/09]
主題電子報
2008年 10月 9日
   
本週焦點
   
 
眼尖的部落客8日在微軟的PDC網站上發現,一個名為"Windows Strata"的標題下,列出了幾場雲端運算的小組研討會。微軟隨後撤下了Windows Strata標題...詳全文
 
   
 
美國行動電信商Sprint Nextel與合作伙伴,8日在東岸的巴爾帝摩,正式推出美國第一個行動WiMax網路。 詳全文
 
     
 
贊助
 
 
【商情快訊】台灣IT 薪資解秘!
立即註冊acitveTechPros,即免費下載"2008 台灣 IT 薪資和技術一覽" 更多資訊
 
     
   
 
甲骨文週三宣布計畫買下Primavera,這是一家專案管理軟體公司。詳全文
 
   
 
BPM叫好不叫座? 在今年八月AIIM針對超過三百家企業所做的調查顯示,87%的受訪企業同意BPM能否成功,與是否已制訂明確的各個業務流程的歸屬(ownership),有極顯著的關係。但該調查亦顯示57%的企業尚未有專責單位負責規劃BPM,有專責主管(CPO,Chief Process Officer)的企業只有10%。 詳全文
 
   
 
美國政府發表截至目前涵蓋面最廣的一份報告,目的在檢視資料採礦(data mining)能否有效指認出恐怖份子。結果得到的結論是:沒什麼效果。 詳全文
 
   
 
雖說不算太意外,但社交網站 Facebook 已經將微軟Live Search功能整合至網站中。詳全文
 
贊助
最新討論
 
 
 
若您閱讀ZDNet電子報時有任何問題、疑問或建議,歡迎來信至:編輯部
版權所有 © 2008 CNET Networks, Inc. All rights reserved. 隱私權聲明
track