"Den holländska regeringen har gått ut med en varning om säkerheten i passerkort baserade på Mifares Classic RFID-chip. Detta efter att två forskningsteam under en vecka visat på svagheter i Mifares krets.

Förutom att varna tänker den holländska regeringen vidta ytterligare åtgärder, sade inrikesministern Guusje ter Horst. Det finns cirka två miljoner inpasseringssystem i Holland som bygger på Mifares RFID-läsare. I hela världen har cirka en miljard passerkort med Mifares teknik distribuerats.

Förra måndagen publicerade de tyska forskarna Karsten Nohl och och Henryk Plötz en rapport om hur krypteringen i Mifare-chippet kunde knäckas. De både avböjde att visa upp sitt hack offentligt med hänvisning till att de först ville att det skulle vara en diskussion. Detta för att systemägare ska ha en chans att bygga om eller byta ut sina system, sade Nohl till nyhetstjänsten Webwereld förra veckan. Han lovade dock att demontrera sitt hack innan juni.

Förra ondsdagen visade Bart Jacobs, lärare inom informationssäkerhet vid Radboud universitet i Nijmegen i Holland, ett hack mot Mifare-chippets kryptering. Jacobs hade i förväg berättat om sin upptäckt. En videofilmad demonstration av hacket väntas bli offentlig i morgon onsdag.

Hacket låter angripare klona kortet och på så sätt göra kopior av passerkort. Det kan ge dem tillträde till byggnader eller ta över någon annans identitet. Mifare-chippet används i betalkort som Oyster Card i Storbritannien och Charliecard i Boston. Båda tillåter betalningar via trådlös överföring. I Holland har Mifare-chippet varit kontroversiellt sedan Nohl och Plötz först visade sina upptäckter vid Chaos Compuer Camp i Berlin i december.

Både den första och den andra konsult vi ringer till säger att de inte vill bli nämnda vid namn. Båda verkar också känna till attackerna som skett.

Efter vad vi kunnat läsa oss till på webben används Mifare-chipen av alla medlemmar i före detta resekortsföreingen, bland andra SJ, SL, Västtrafik, Länstrafiken i Örebro/Sörmland, Skånetrafiken och DSB.
Möjligen även av Länstrafiken i Norrbotten, Umeå lokaltrafiik, Dalatrafik och Västernorrlands läns trafik. Philips har utvecklat tekniken och sen knoppat av den till ett eget bolag, NXP Semiconductors. Sony har uttalat stöd för tekniken. Om Sony använder det hackade Mifare Classic-chipet.

På SL säger teknikern Mikael Svenne att SL ska använda Mifare Classic-chipet i de kontaktlösa kort som ska rullas ut i SL-Access projektet. Men han är inte orolig, det går att signera innehållet på ett bra sätt trots att Classic-chipet bara rymmer max 768 byte.

- Det holländska hacket är obetydligt. Det tyska är mer på allvar och det är nog bara en tidsfråga innan någon börjar använda det. Men vi är skyddade mot det också, säger Mikael Svenne.

Klicka här för att läsa mer om Mifare på Wikipedia"


Källa: http://www.idg.se/2.1085/1.151379