PSEUDOTVŮRCI VELICE PILNĚ PŘIPRAVUJÍ PLNOST NEGATIVNÍHO STAVU

Opencard je slabě zabezpečena, může se stát terčem pirátů

8.6.2010

Noste Opencard v alobalu! A opatřete svůj přístup heslem! Podobné výzvy se mohou objevit na pobočkách Městské knihovny. Kryptolog pomocí relativně jednoduchého zařízení přečetl při demonstrativním pokusu asi ze vzdálenosti 15 cm v pobočce knihovny z Opencard identitu nic netušícího čtenáře. Dostal se pak pod cizím jménem do databáze knihovny obsahující osobní údaje či historii výpůjček.

Na slabiny v zabezpečení upozornila nevládní organizace Iuridicum Remedium (IuRe), která o kryptologově pokusu natočila krátký snímek. Přestože čip používá novou technologii, číslo karty se podařilo přečíst přes rádiové rozhraní bez vědomí držitele a získat volně dostupná identifikační data.

Lze je následně pomocí jednoduchého emulátoru, tedy zařízení, které se tvářilo jako cizí bezkontaktní opencard, zadat do čteček v knihovně. Na problém v květnu upozornil kryptolog Tomáš Rosa na přednášce Vysokého učení technického v Brně. IuRe jeho zjištění potvrdilo.

Uživatelé podceňují rizika

„Čip karty byl navíc nedostatečně zabezpečen, neboť přístupový klíč pro ochranu uvedených údajů byl nastaven na takzvanou veřejnou hodnotu, která je všeobecně známa a běžně dostupná například na internetu,“ upozornil Filip Pospíšil z IuRe. Podle něho důležitým aspektem bylo, že čtenář knihovny nepoužíval pro svůj přístup heslo.

Mluvčí městské knihovny Lenka Hanzlíková Právu řekla, že přístup do výpůjčního a rezervačního programu Koniáš bez hesla je pro čtenáře rizikem a knihovna na to své klienty upozorňuje.

„Budeme znovu a ještě více připomínat, že je dobré si průkazky zaheslovat,“ poznamenala Hanzlíková. Jinou možností je nosit kartu s čipem, který se identifikuje na rádiové frekvenci (RFID), v alobalovém obalu, který znemožnění její přečtení např. přes kapsu.

Hanzlíková připustila, že elektronický útočník může z programu Koniáš zjistit osobní data člověka, jehož identitu si zkopíroval. Knihu si však na cizí identitu nevypůjčí. „Data nejsou na kartě ale v naší databázi. I když máte data, nepůjčíte si knížku,“ uvedla mluvčí s tím, že knihovník vydávající objednanou literaturu musí dostat do rukou kartu s fotografií dotyčného.

Mluvčí projektu Opencard zjištění nevěří

Mluvčí projektu Opencard Martin Opatrný se zjištěním IuRe podivil, pokládá je za poměrně nepravděpodobné a za matení veřejnosti. Podle něho se renomovaní odborníci, a to i ze zahraničí, shodli, že systém Opencard je bezpečný.

„Čipy RFID, které máme na Opencard, zatím nikdo celosvětově neprolomil,“ uvedl Opatrný. Připustil však, že lidé nevyužívají karty kontaktní, u nichž čtení na vzdálenost více než 10 cm prakticky není možné, anebo anonymní. „Většina vydaných karet je bezkontaktních a na jméno,“ konstatoval Opatrný.

IuRe už delší čas žádá, aby se zrovnoprávnily podmínky pro uživatele karet anonymních, které jsou zpoplatněny a jejichž držitelé neuspějí třeba v knihovně. Opencard si nyní budou pořizovat děti a junioři do 19 let. Naposledy 12. června si totiž mohou koupit papírové kupóny na MHD, poté pro ně bude jejich nosičem jen karta.

„To nepochybně také povede k vynucenému rozšířenému využívání Opencard v Městské knihovně mezi dětmi a mládeží. V ohrožení se tak ocitnou data nejvíce zranitelné části populace,“ varoval Pospíšil.

 

7000 stran textů a 5000 obrázků o Vesmírných lidech Sil Světla najdete zde:

vesmirni-lide.cz vesmirnilide.cz andele-svetla.cz andelesvetla.cz
universe-people.cz anjeli-neba.sk anjeli-svetla.sk universe-people.com
cosmic-people.com angels-light.org angels-heaven.org ashtar-sheran.org
himmels-engel.de angeles-luz.es angely-sveta.ru anges-lumiere.fr
angelo-luce.it anioly-nieba.pl feny-angyalai.hu anjos-ceu.eu
angeli-raja.eu