首页行业新闻 >> 出于必要性来许多有趣的RFID发明

出于必要性来许多有趣的RFID发明

弗兰布朗,一年前,是做的SCADA网络评估电力工作渗透测试。他的第一个挑战就是要让里面的设施,意义,总之,他不得不中断。这样做,他决定测试它的物理安全系统,具体来说,低频RFID感应卡用于建筑的访问。

而以往的研究存在的问题,包括克里斯廷佩吉特的开创性的2007讲在RFID克隆黑帽的直流,在主题的大部分工作包括从未被释放或论文,主要的理论工具。他对信息包括关于一切过去的对话,阅读产品说明书翻译的一些信息,甚至他发现在线从捷克教授。

下个星期在拉斯维加斯举行的黑帽简报,布朗将发布最终的结果是:一个RFID阅读器,可以捕获数据从125KHz低频RFID徽章到三英尺的距离。以前的RFID黑客工具必须在受害者厘米的正常工作;布朗的工具将允许攻击者或笔测试存储装置在一个背包,它会默默的采集卡的数据从任何人接近它。

“这是一个实际的和不切实际的攻击之间的区别,”布朗说,在咨询公司的管理合伙人主教狐狸。布朗说他的病已经无数次测试有百分之100的成功率;他说他已经能够训练其他顾问使用的工具,让他们能够这样做10分钟内。

“希望我们可以开始之前,这些攻击他们变得更为适用,”布朗说,强调迪士尼从售票移动RFID阅读器的例子,快速传球的公园,和纪念品的购买与迪士尼特定的信用卡。“每一个办公室,我们测试,是否是财富100强客户或政府机构,我从来没有遇到一个不使用这些遗产的读者系统。”

RFID系统的不安全,如加密,在他们的背后,是微不足道的拦截徽章的信息。攻击者可以在理论上采集卡的数据,将其克隆到一个新的卡,并能够访问物理设备。企业的复杂问题是这些读者和徽章通常是由物理安全的团队管理的一般工作在20年的产品生命周期。一个大型公司,拥有100000名员工,你看至少有很多替代徽章和读者,经常在许多国家。HID,领先的感应卡制造商,在六月的一篇文章,承认其遗留的125KHz卡是脆弱的,但仍在物理访问控制系统百分之80尽管更安全的替代品的可用性。

“没有安全,他们已经被黑客入侵,没有数据,没有隐私的保护,一切都是清晰的,它不耐嗅闻或常见的攻击,”斯蒂芬妮说ardiley,产品经理,把全球。

布朗的袭击,包括使用Arduino微处理器把它变成一个能够从36英寸远的使隐身的办法可能读卡数据远距离读RFID读取器的定制。

“这涉及到创建一个小的,便携式[印刷电路板],可以插入到任何商业RFID阅读器偷徽章的信息方便保存到一个microSD卡本文件供以后使用,如徽章的克隆,”布朗说。

布朗说,渗透测试人员将能够购买一个Arduino的微控制器,安装程序后,他将黑色的帽子提供,并复制他的工具和攻击。

“[黑]谁是认真的机可以建立自己的自定义的东西。这是针对于财富500强的安全专业人员,”布朗说。“对于任何的渗透测试工具,这一个可以变成恶意的。但是我认为RFID黑客是10年前的Web应用安全的地方。直到人们正在做的SQL注入,这是我偷用SQL注入,没有人会被激励去做任何事情。”

布朗说,他将分享一些缓解建议在他的谈话,包括建议,保护套的工作更好地阻止这些类型的攻击,并安全螺钉应使用安全的RFID阅读器。他还将讨论基于软件的异常检测系统,应配置检测人使用访问卡在多个小时的或不寻常的位置。

 
Copyright (C)2011 无锡阿法迪科技 版权所有 Wuxi Iforward Tech All rights reserved.
地址:无锡市新区菱湖大道200号 
sitemaps_baiduxml
[苏ICP备15026584号]