Thẻ thông minh phổ biến nhất cũng bị... bẻ khoá

Làm thế nào để hack được chiếc thẻ thông minh phổ biến nhất thế giới?– Bí mật này đã được công bố trên mạng Internet từ vài ngày qua.

Đó là nghiên cứu của giáo sư Bart Jacob và các cộng sự tại trường đại học Radboud tại Hà Lan. Họ đã tìm ra điểm yếu trong chip RFID đang được sử dụng rộng rãi và là chip dùng để sản xuất thẻ thông minh Oyster card – loại thẻ phổ biến được sử dụng trong hệ thống giao thông tại Anh. Việc phổ biến tài liệu nghiên cứu nói trên đã được trì hoãn bởi một nỗ lực của nhà sản xuất con chip này.

Giáo sư Jacobs và cộng sự đã xác định được điểm yếu đầu tiên trong một báo cáo dự định xuất bản hồi tháng 3/2008. Tuy nhiên, việc công bố rộng rãi về nghiên cứu này đã bị hoãn lại sau khi nhà sản xuất loại chip RFID này xin được lệnh của tòa án chống lại việc công bố bản nghiên cứu.

Tuy nhiên, bản báo cáo này đã được xuất bản ngày hôm nay trên tại chí chuyên đề châu Âu, chuyên trang về Hội nghị bảo mật máy tính được diễn ra tại Malaga, Tây Ban Nha.

Những dữ liệu nhạy cảm được chứa trong loại chip Mifare Classic này chỉ được bảo vệ duy nhất bởi một con số được gọi là khóa. Và do đó, sự an toàn của cả hệ thống thẻ chỉ phụ thuộc vào khóa này mà thôi. Hồi tháng 3, giáo sư Jacob đã phát hiện ra một sai lầm trong việc thiết kế con chip mà làm cho có thể dễ dàng sao chép hoặc tính toán được khóa bảo mật của chip.

"Một khi mà chúng tôi biết được cách thức hệ thống làm việc và điểm yếu của nó ở đâu thì rất dễ dàng để tạo ra những thẻ giả” – giáo sư Jacob nói. Sau khi tìm ra thiếu sót này, giáo sư và các cộng sự của mình đã thông báo cho nhà chức trách Hà Lan cũng như nhà sản xuất loại chip này, công ty NXP.

Tuy nhiên, những gì chúng ta biết về bản báo cáo này đó là NXP đã khởi kiện giáo sư Jacob để nhằm hoãn việc công bố bản nghiên cứu. Steve Owen, phó chủ tịch phụ trách mảng bán hàng của NXP nói rằng, công ty này đã phải khởi kiện nhằm tìm kiếm thời gian để sửa chữa hệ thống của mình.

“Chúng tôi chỉ tìm kiếm một lí do để trì hoãn chứ không phải là chấm dứt việc công bố bản nghiên cứu” - ông Owen nói. “Chúng tôi có thể sẽ không sử dụng loại chip Mifare Classic cho những cài đặt mới, chúng tôi hiện đang làm việc với khách hàng để kiểm tra độ an toàn của họ”.

Mifare Classic là loại chip được sử dụng rộng rãi trong hệ thống giao thông của London bao gồm cả hệ thống thẻ Oyster. Các nhà nghiên cứu nói rằng họ có thể sao chép những chiếc thẻ từ thiếu sót của con chip này. Tuy nhiên, họ cũng cảnh báo rằng họ có thể thay đổi được số tiền có trong chiếc thẻ trả trước này.

Hồi đầu năm, một số thành viên trong nhóm của giáo sư Jacob đã tới London, Anh để kiểm tra những gì họ đã phát hiện bằng cách sử dụng thẻ do họ chế tạo để đi lại bằng hệ thống tàu điện ngầm tại Anh. Tuy nhiên, Shashi Verma, giám đốc bộ phận quản lý vé giao thông tại London, Anh nói rằng họ đã phát hiện ra việc này.

“Chúng tôi phát hiện ra việc này trước khi những sinh viên này thông báo với chúng tôi” – ông Verma nói. Ông cũng nhấn mạnh rằng chip Mifare Classic trong thẻ Oyster chỉ là một phần của hệ thống giao thông rộng lớn ở Anh. Có những phần mà khách hàng cũng như những sinh viên trong cuộc nghiên cứu kia không thể sờ vào. “Chúng tôi vẫn đang củng cố độ an toàn cho hệ thống Oyster” – ông nói.

Vào hồi tháng 7, một chuyên gia bảo mật Bruce Schneier nói: “Việc công khai nghiên cứu này không khác gì một hành động phá hoại, tuy nhiên, sự phá hoại này lại càng tồi tệ hơn nếu nó không được công khai”. Chuyên gia này cũng cho rằng thực sự là một giả định nguy hiểm nếu không chỉ có những người nghiên cứu biết được điểm yếu của Mifare. “Hãy tưởng tượng rằng nếu một tổ chức tội phạm nào đó biết được điều này…” ông nói.

Bình luận về việc công khai bản nghiên cứu của mình, giáo sư Jacob nói rằng những thông tin được tiết lộ không phải là bản hướng dẫn cho những kẻ tấn công.