Image
23.9.2017 3 Comments

Ochrana platobných a RFID kariet

V posledných rokoch rastie celosvetový záujem o bezkontaktné platobné karty, rôzne čipové karty, ale aj biometrické preukazy totožnosti a pasy. Využívajú technológiu RFID na frekvencii 13,56 MHz. Z používateľského hľadiska stačí jednoduché priloženie platobnej karty na platobný terminál, označenú plochu na predajnom automate a podobne.

Pohodlie vykúpené rizikom

Využívanie bezkontaktnej karty je síce jednoduchšie a rýchlejšie, no mnoho ľudí si neuvedomuje riziko krádeže. Tieto technológie mávajú nižšiu mieru zabezpečenia a poskytujú možnosť na príležitostné alebo cielené načítanie údajov a ich prípadné následné zneužitie. Informácia o tom, že moderní zločinci sú vyzbrojení zariadeniami s citlivou anténou a sofistikovanejším softvérom, ktorými dokážu prečítať karty RFID a NFC na vzdialenosti výrazne väčšej ako 4 cm, ktoré uvádza špecifikácia technologického štandardu, bežného človeka asi nadmieru nevyľaká. Elita podsvetia sa predsa na bežného človeka zameriavať zrejme nebude. Ale určite spozorniete pri informácii, že každý, kto má telefón s podporou technológie NFC (Near Field Communication), si môže z aplikačného obchodu stiahnuť aplikáciu, ktorá dokáže za okamih prečítať údaje z kreditnej alebo debetnej karty, a to aj v prípade, ak je karta v peňaženke. Stačí, ak máte v kaviarni položenú peňaženku na stole a na chvíľu sa otočíte inde... Takýto okamih umožní nenápadné priloženie mobilu a načítanie údajov z karty v peňaženke.

Technologické minimum

 Pre čitateľov, ktorých zaujímajú nielen praktické aspekty prenosu RFID a NFC, uvádzame stručné predstavenie týchto technológií.

RFID (Radio Frequency IDentification) – rádiofrekvenčná identifikácia. Základný princíp je pomerne jednoduchý. Predpokladajme konfiguráciu karty RFID, nálepky, prípadne iného vhodného konštrukčného formátu pasívneho zariadenia. Ak sa takáto karta či iné zariadenie dostane do blízkosti snímača, vyšle mu svoje identifikačné údaje. Aktívnym prvkom v tomto procese je snímač, ktorý elektromagneticky ožiari priestor, kde sa predpokladá prítomnosť identifikovaného tagu. Takto získaná energia sa krátkodobo akumuluje v miniatúrnom kondenzátore na tagu. Identifikačný čip tagu sa touto energiou aktivuje a vyšle svoje identifikačné údaje. Systémy RFID pracujú vo viacerých frekvenčných pásmach, počnúc pásmom nízkych frekvencií, typicky 125 kHz, prípadne 13,56 MHz, alebo vo vysokofrekvenčnom pásme 850 MHz až 950 MHz alebo 2,4 GHz až 2,5 GHz. Nízke frekvencie 125 – 134 kHz majú dosah menej ako 50 cm a prenesú malý objem dát pri nízkej rýchlosti snímania. Využívajú sa napríklad na dochádzkové systémy, automobilové imobilizéry, čipovanie zvierat a podobne. Systémy na frekvencii 13,56 MHz, využívané pri bezkontaktných kartách, majú typický dosah do 1 metra. Dosah snímania je primárne ovplyvnený typom čipu, čítacieho zariadenia a antény. V optimálnych podmienkach možno snímať pasívne tagy RFID triedy 0 do vzdialenosti 8 metrov.

NFC (Near Field Communication) umožňuje komunikáciu dvoch elektronických zariadení, ktoré sú umiestnené v bezprostrednej blízkosti, napríklad platobnej karty a terminálu, mobilného telefónu a bankomatu a podobne. Zariadenia si môžu obojsmerne vymieňať údaje. Technológia NFC používa voľné frekvenčné pásmo 13,56 MHz. Na prenos údajov sa využíva indukčná väzba, takže prenos sa môže začať až vtedy, keď sa zariadenia priblížia k sebe do bezprostrednej blízkosti, aby sa dostali do vzájomného magnetického poľa. Prenosová rýchlosť sa pohybuje v rozmedzí od 100 do 500 kbit/s, čo umožní aj prenos menších súborov vo veľmi krátkom čase. Komunikácia sa uskutočňuje poloduplexne, teda súčasne len jedným smerom. Zvyšuje to bezpečnosť, pretože v takomto režime môže terminál NFC naraz komunikovať len s jedným klientskym zariadením.

Analýza rizík

Najväčšie obavy vyplývajú z možnosti neautorizovaného čítania a možnosti falšovania tagov RFID. Dnes je reálne vytvorenie duplikátu čipu využívajúceho 125 kHz. Niektoré technológie 13,56 MHz sú na tom lepšie, lebo na zabezpečenie uložených informácií využívajú prístupové kľúče a prenos medzi čipom a čítacou jednotkou je zabezpečený napr. šifrovacou technológiou 3DES. Sú však známe prípady, keď boli pre nedostatočné fyzické zabezpečenie prístupových kľúčov narušené aj takéto systémy. Na hackerských konferenciách už býva bežný scenár, keď sa údaje z tagu načítajú cez snímač pripojený k notebooku. Potom sa spomínaný reťazec použije na „podstrčenie“ kódu originálnej čítačke. O možnostiach aplikácií pre smartfóny sa môžete presvedčiť sami, stačí zadať v aplikačnom obchode do vyhľadávania kľúčové slová typu „credit card reader“. Pre istotu robte prípadné pokusy s takouto aplikáciou na najmenej dôležitej debetnej karte, nikdy nemáte istotu, či autor aplikácie načítané čísla niekam neposiela.

Špecializované čítačky sú ešte citlivejšie, samozrejme, aj pomerne drahé. Technicky zdatnejší experimentátori si však môžu za menej než 10 eur kúpiť v obchode s elektronickými súčiastkami hotový modul čítačky, ktorý sa dá pripojiť k mikrokontrolérovej doske Arduino, Raspberry, STM 32 Discovery, skrátka k akémukoľvek mikrokontroléru, ktorý podporuje sériové rozhranie SPI. Na internete nájdete množstvo softvéru pre Arduino na tento účel. V konečnom dôsledku ktokoľvek môže pomerne jednoducho v priebehu niekoľkých sekúnd načítať údaje z vašej bezkontaktnej platobnej karty. Údaje sa potom dajú rôzne zneužiť, či už priamo, alebo predať na čiernom trhu. Môžu sa zneužiť napríklad pri on-line nákupe, požičaní auta, objednaní služieb, kriminálnej činnosti, vydávaní sa za niekoho iného, na podvody pri uzatváraní zmlúv či krádeže peňazí z účtov ľudí i firiem.


Modul čítačky, ktorý sa dá pripojiť k vhodnej mikrokontrolérovej doske, možno kúpiť za menej ako 10 eur

Chybu pri platení môžete urobiť aj sami, napríklad omylom vytiahnete z peňaženky namiesto jednej karty dve, ktoré sa prekrývajú, a platba sa vykoná z nesprávnej karty. Platobný terminál prijíma platbu od prvej bezkontaktnej karty, ktorá zareaguje na vysielaný signál. To znamená, že ak súčasne používate rôzne typy čipových bezkontaktných kariet, môže sa vám stať, že budete účtovaní dvakrát, pokiaľ budú obe karty vedľa seba. Prípadne ak máte platobnú a dopravnú kartu, platba môže byť stiahnutá z bezkontaktnej platobnej karty, hoci cesta mala byť pokrytá dopravnou kartou. To sa môže stať aj v prípade, ak je karta alebo peňaženka príliš blízko k platobnému terminálu, ktorý chcete použiť. Môže sa tak stiahnuť platba z karty, ktorou ste platiť nechceli.

Možnosti ochrany

Na ochranu kariet s možnosťou bezdotykového snímania sú k dispozícii rôzne ochranné puzdrá z kovového alebo kovovými vláknami popretkávaného materiálu, ktorý blokuje prístup signálu z čítačky ku karte. Puzdrá z kovového materiálu sú však hrubé, takže sa nedajú vložiť do peňaženky. Praktickejšie sú plastové puzdrá s ochrannou vrstvou nanesenou vhodnou technológiou. Najčastejšie sa využíva hliníková fólia, ktorá nie je magnetická. Častým vysúvaním a zasúvaním kariet do puzdra sa však ochranná vrstva môže poškodiť, vzniknú mikrotrhliny, ktoré môžu prepúšťať signál na frekvencii 13,56 MHz, ktorý využívajú bežné platobné karty.

Naproti tomu ochrana pomocou bezpečnostnej karty PS, ktorú vložíte medzi ostatné karty, je oveľa praktickejšia a podľa výrobcu poskytuje ochranu odtienením na úrovni 98 %. V praxi to znamená, že ochráni až tri bezkontaktné karty súčasne. Karta využíva tienenie taftom, ktorý má veľmi dobrú vodivosť, takže absorbuje veľa vysokofrekvenčného signálu a navyše odráža signál od kariet a iných predmetov, ktoré má karta PS chrániť. Pripomíname, že proces bezkontaktného snímania sa realizuje tak, že čítacie zariadenie ožiari vysokofrekvenčným signálom pasívnu kartu alebo čip RFID. Energia tohto signálu, zachytená anténou najčastejšie v tvare plošnej cievky, slúži následne na napájanie čipu. Ten pomocou rovnakej antény vyšle signál obsahujúci identifikačné údaje. Ak to zosumarizujeme, karta PS vložená do peňaženky blokuje prípadné prenosy RFID z vašich bezkontaktných platobných kariet. Kartu vyvinul britský investor Andre Kay a je patentovaná v mnohých krajinách.


Porovnanie hrúbky kovového ochranného puzdra a karty PS

Praktické skúsenosti

Pripravili sme si mobilnú aplikáciu umožňujúcu čítať bezkontaktné karty pomocou NFC a takisto čítačky pre obidve najpoužívanejšie frekvencie 13,56 MHz aj 125 kHz. Pre obe frekvencie sme mali k dispozícii jednak profesionálne čítačky, ktoré sa pripájajú cez rozhranie USB k PC, a aj nami zo stavebnice postavené čítačky ako periférie k mikrokontrolérom, kde sme mohli experimentovať s anténami, prípadne čítacím softvérom.

Začali sme testovať na „frekvencii NFC“ 13,56 MHz. V prípade, že karta PS prekrývala minimálne 2/3 plochy platobnej karty, nedali sa údaje z nej prečítať. Ochranná karta nemusí prekrývať presne miesto čipu, stačí, keď aspoň čiastočne prekryje plošnú cievku, ktorá slúži ako anténa. V praxi to znamená, že kartu PS musíte mať v rovnakej priehradke peňaženky ako platobné karty, ktoré má chrániť. S vysokou pravdepodobnosťou ochráni aj karty v susednej priehradke, ktorá je v peňaženke posunutá o 5 – 7 milimetrov. Nám sa v nijakej polohe žiadnu kartu chránenú v susednej priehradke kartou PS načítať nepodarilo, no spoliehať sa na to nedá. Naproti tomu kartu chránenú kartou PS umiestnenou o dve priehradky vyššie alebo nižšie sme načítali viac než v polovici prípadov. Preto znovu zdôrazňujeme, že karta PS stopercentne chráni bezkontaktnú kartu iba vtedy, keď ju úplne alebo takmer úplne prekrýva. Pri čítaní nezáleží na tom, či je karta PS medzi platobnou kartou a terminálom, alebo za platobnou kartou. V obidvoch prípadoch pohltí dostatok rádiofrekvenčného vlnenia, takže čip na karte nebude mať energiu na fungovanie. Nechránená karta sa dá v pohode prečítať, aj keď je vložená v peňaženke.


Karta PS chráni bankovú kartu (hnedú) fungujúcu na frekvencii 13,56 MHz. Bielu dochádzkovú kartu na frekvencii 125 kHz snímač dochádzkového systému bez problémov načíta.


Nesprávna poloha ochrannej karty

Pokračovali sme v testovaní na frekvencii 125 kHz, na ktorej pracujú napríklad kartové dochádzkové systémy. Na tejto frekvencii karta PS nechráni ani vtedy, ak je medzi kartou a čítačkou. V praxi to znamená, že ak máte v peňaženke vedľa seba platobnú, dochádzkovú a ochrannú kartu PS, platobná karta sa nebude dať načítať, no ak priložíte peňaženku k snímaciemu zariadeniu dochádzkového systému na frekvencii 125 kHz, bez problémov takúto kartu prečíta. Pre zaujímavosť, vlnová dĺžka pri frekvencii 13,56 MHz je 22 m a pri frekvencii 125 kHz až 2400 m.

Resumé

Karta PS v cene niekoľkých eur spoľahlivo ochráni vaše platobné karty, samozrejme, iba v prípade, ak bude správne umiestnená tak, aby prekrývala platobné karty.

a pre zaujímavosť ešte test odolnosti platobných kariet voči elektromagnetickému impulzu

Zobrazit Galériu

Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Ako na to

Užitočné SW nástroje

12.07.2018 08:45

JPEG Saver v5.0 Určenie: šetrič obrazovky na prezentáciu knižnice digitálnych fotografií a zobrazenie aktuálneho času a ďalších doplnkových informácií Vlastnosti: program sa konfiguruje v rámci š ...

Ako na to

InPage: 5 najčastejších nedostatkov na webe a ako ich odstrániť

12.07.2018 08:39

Vytvoriť webové stránky na inPage je veľmi jednoduché. Stačí sa prihlásiť do webovej administrácie a môžete začať plniť web obsahom. Systém vám v tomto ohľade necháva veľkú voľnosť. Viete však, ako vy ...

Ako na to

Tipy, triky a návody: Ako editovať video priamo vstavanými nástrojmi Windows 10?

12.07.2018 08:27

Pokiaľ Windows používate už nejaký ten rôčik, zrejme si pamätáte, že v minulosti umožňoval aj relatívne jednoduchú editáciu videa pomocou vstavaného nástroja Windows Movie Maker. Tento nástroj sa nesk ...

q

3 Comments

  1. Karty s integrovanou ochranou reakcia na: Ochrana platobných a RFID kariet
    3.10.2017 23:10
    Uz davnejsie som prisiel na jednoduche riesenie ako tento problem s samovolnym snimanim bezkontaktnych kariet odstranit. Staci do platobnych kariet implementovat jednoduchy spinaci obvod. Karta nebude odpovedat pokial ju uzivatel neuchopi na specifickom mieste. To znamena ze bez skutocnej vole uzivatela zaplatit sa to ani nebude dat. Akt stlacenia sa nebude dat nijako obijst. Bez zopnuteho obvodu karta nebude odpovedat. Zial zistil som ze Master Card ma na tuto inovaciu patent takze som v tom nepokracoval. Podla mna strategicky cakaju kym tento problem s bezkontaktnymi platobnymi kartami narastie do takych rozmerov ze uvedenie tejto inovacie na trh im zaruci najvetsi narast ziskov. Klasicky marketingovy tah :)
    Reagovať
  2. reklama? reakcia na: Ochrana platobných a RFID kariet
    25.9.2017 08:09
    preco tento clanok nie je oznaceny ako reklamny?
    Teda okrem toho, ze je recyklovany, ale to sa neoznacuje... :)
    Reagovať
    • RE: reklama? reakcia na: reklama?
      Autor: Lubo
      25.9.2017 09:09
      Nie je to reklamný článok, ale recenzia produktu ako každá iná. Recenzujem ochrannú kartu so všetkými jej výhodami aj nevýhodami. Potom by musela byť ako reklamný článok úplne každá recenzia konkrétneho produktu. Článok nie je recyklovaný, napísal som dve verzie jeden s viacerými obrázkami primárne na web a druhý z viacerými podrobnosťami o použitých technológiách do printu, ktoré sú zároveň aj v privátnej zóne pre predplatiteľov. Je bežná prax, že po čase tieto odomkneme pre všetkých používateľov.
      Reagovať

Vyhľadávanie

Najnovšie videá



PC forum button