Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Polowy zestaw do hackowania RFID – zasięg: prawie 1 metr
U Amerykanów zawsze ciekawie: ostatnio pisaliśmy o hackowaniu sygnalizacji świetlnej, a tym razem potomkowie Krzysztofa Kolumba (czy księżniczki Pocahontas) prezentują zestaw DYI do pentestów RFID.
Aby złożyć to cudo wystarczy: Arduino, kieszeń baterii AA, czytnik RFID, karta micro SD (gdzieś trzeba zapisywać te wyniki testów…), termos kawy, oraz ręce o niskim współczynniku drżenia. Efekt pracy poniżej:
Podręczny zestaw do pentestów RFID
A 'draft’ potencjalnych zastosowań, tutaj (zasięg to około 90cm!):
Za bishopfox
Twórcy urządzenia wspominają o testowaniu kart zapewniających dostęp np. w hotelach, choć zastosowań RFID jest oczywiście wiele. Ciekawe czy robili testy np. w zatłoczonym metrze? Pewnie nie, bo przecież pentesty wymagają odpowiedniej zgody :-) W każdym razie sam rozglądam się za małą klatką faradaya (najlepiej z możliwością wszycia w kieszeń spodni), w której mógłbym przechowywać wszystkie swoje RFID-enabled gadgety. Jeśli ktoś coś takiego sprzedaje, z chęcią zaproponuję darmową reklamę na sekuraku ;-)
–ms
Od ponad roku mam: www. bezpiecznekarty. pl (to nie reklama, więc sobie poskładajcie linka) ;) Innych RFIDów niż karty nie używam, bo nie ufam technologii.
Ja używam do kart zbliżeniowych e-leash. Linka nie wrzucam żeby nie robić reklamy. Wydaje mi się, że można torbę czy plecak wyłożyć folią aluminiową i będzie podobny efekt. Chociaż w sklepie mogą nas potraktować jak złodzieja, bo to znana metoda na oszukiwanie bramek :)
A moze Sekurak pokusilby sie o testy takich rozwiązań
Michał – w sumie – why not.
to byłyby bardzo przydatne informacje
W sklepie HiMountain w Olsztynie są dostępne produkty firmy Tatonka z RFID BLOCK. Portfele, sportowe Torebki, oraz paszportówki.
W Euro AGD i RTV można kupić etui firmy Koruma.
a ja zwyczajnie nakleilem na kartke folie aluminiową i wsunąłem do wewnętrznych kieszonek portfela. Testowane na kilku czytnikach – nie działa :)
…potem z jednej strony wyjąłem, tak, że karty działają tylko przykładając portfel z jednej strony (tak, żeby można używać zbliżeniówek wyjmując portfel, ale bez wyjmowania karty z portfela)
Warto zwrócić jednak uwagę, że ten konkretny projekt dotyczy kart low frequency czyli 125kHz, które już nie są tak popularne, zwłaszcza w .pl. Czytanie z tak dużej odległości kart high frequency (13.56MHz), które są zdecydowanie szerzej wykorzystywane (np. Mifare Classic i reszta) jest zdecydowanie większym wyzwaniem, delikatnie mówiąc.
ja tam zrobiłem inny myk – włożyłem kilka kart obok siebie, żadna nie działa :D poza tym wystarczy podszewkę w portfelu wykleić folią alu.
Może na czytniku w bramce metra nie działa, ale są czytniki, które bez problemu łapią więcej, niż jedną kartę na raz. Powiem więcej – to jest zachowanie domyślne, tylko w bramkach metra i terminalach do płatności zbliżeniowych jest to zablokowane ze względów bezpieczeństwa…
nie dziala bo tak zalozyli dzialanie terminala.. widzi kilka kart to nie kasuje.. ale odczytac da sie elegancko kazda
potwierdzam oba już dodane komentarze: to że nie czyta gdy jest kilka kart w pobliżu czytnika to kwestia założenia / konfiguracji a nie niemożliwości odczytania
dyi czy diy?
do it yourself (diy)
tszepiasz się ;P
http://koruma.pl/ mówisz masz…
ja wsadziłem sobie w portfel dwie blaszki (grubość ok. 3-4 mm), które kiedyś doklejali mi do rachunków za telefon (żeby te były cięższe). Portfel waży więcej, ale czuję się bezpieczny :)
Jak już się wymieniacie linkami, to tutaj jest http://www.idblock.pl z patentami i pierwszy w Polsce. Z tego co wiem, to sprawdzają każdą wyprodukowaną sztukę i mają certyfikaty.
Marek, bardzo dziękujemy za wspomnienie o nas. Oczywiście masz rację, nasze etui mają certyfikaty i hologramy, doskonale chronią karty płatnicze przed tego typu urządzeniami. Polecamy odwiedzić naszą stronę, w razie pytań służymy pomocą :)
http://www.idblock.pl/
Tak jak wspomniałem przy okazji tekstu – tym razem wszelka reklama w komentarzach jest możliwa i zatwierdzana ;-)
Jakby też jakiś sklep chciał ufundować jakieś tego typu gadgety dla naszych czytelników (co jakiś czas mamy różne ciekawe konkursy – http://sekurak.pl/tag/hackme) – to prośba o kontakt. Możliwość fajnej reklamy.
A czy posiadanie więcej niż jednej karty w tej samej technologii obok siebie w portfelu nie wystarczy? prawdziwe czytniki sobie nie radzą z odczytem wtedy, to może hackerskie też nie?
Na pewno dużo bezpieczniejszą i pewniejszą metodą jest zakup profesjonalnego etui. Szczerze zachęcamy!
Najlepiej zainwestować w etui antykradzieżowe 4guard.eu – bezpieczeństwo i unikatowy design w Twoim portfelu!!
:D
Między wykonaniem testu, a realnym wykorzystaniem do płatności za pomocą zczytanej karty jest mała różnica.