Fördelarna med metoderna litteraturöversikt och experiment som valts i detta arbetet, är att inte bara behöva förlita sig på det som litteraturöversikten visar och andra kommit fram till, utan att också känna trygghet i att resultaten som experimenten ligger till grund för är verkliga och replikerbara.
Nackdelarna som kan finnas med experiment som metod, är att om bredden på urval av kort är begränsad finns viss risk att resultaten som redovisas i experimenten inte fungerar på alla typer av kort. Att läsa redan publicerade arbeten kan göra att man redan i ingången till ett arbete ha skaffat sig en uppfattning om vilka resultat som förväntas och hur experimenten ska utföras. Risken att influeras av andras verk kan ses som en stor nackdel och därför bör författarna av ett arbete undvika att påverkas allt för mycket av informationen som inhämtats från litteraturöversikten.
För att ta reda på hur allmänheten känner för tekniken och dess risker kanske en undersökning eller intervju hade varit ett bra alternativ till de metoder som valts. Men för att kartlägga befintliga säkerhetsåtgärder och de möjliga säkerhetsbrister som finns, kan metoderna som valts anses som adekvata. Kanske kunde en undersökning tillsammans med de metoder som valts varit ett alternativ att för att få en mer övergripande syn och kanske belysa problemet och upplysa fler människor att tänka på hur de hanterar sina kort.
En fråga som kan uppkomma är om det är rätt att undersöka de passerkort som valts i arbetet. Det kanske kan tyckas vara mer intressant att titta på nyare teknik som har mer och bättre
krypteringsteknik som till exempel MIFARE Plus. Eftersom det fortfarande finns företag som använder MIFARE Classic som lösning i sin dagliga verksamhet för identifiering togs beslutet att det finns utrymme för att utföra experimenten mot tekniken. Bankkorten som användes är från två olika storbanker, det ena är ett Visakort och det andra är ett Mastercard. Eftersom korten som användes står för en viss spridning i typ och utgivare, känns det som att det kan representera kort som kan finnas och användas i vardagliga sammanhang.
Efter att ha tagit del av tidigare studier som hävdar att det krävs avancerad utrustning för att utnyttja sårbarheter hos de utvalda korten fanns det utrymme för att testa om det med enklare metoder skulle gå att uppnå samma eller liknande resultat som i de fall där avancerad utrustning använts.
Experiment som använts i detta arbete går ut på att med mycket små medel kunnat påvisa
säkerhetsbrister i tekniken som studerats och testats. Eftersom viss erfarenhet av Arduino fanns vid ingången till projektet var det ett naturligt val att välja just Arduinon istället för annan billig teknik och på grund av att stora delar av befolkningen idag har tillgång till en smartphone kändes det som
40
ett naturligt val. Det kan kanske tyckas krångligt och svårt för vissa att lära sig hur Arduinon ska programmeras och kopplas upp, men med lite hjälp av Internet skulle vem som helst kunna utföra experimenten som utförts i detta arbetet. Den enda kodning som gjordes var en förändring i en av de befintliga koderna och den gjordes för att få reda på lite extra information som egentligen inte hade behövts för att utnyttja svagheterna hos MIFARE Classic. Genom att klippa och klistra skulle vem som helst kunna läsa av informationen från ett kort och skriva den till ett annat och därigenom utföra en kloning av ett RFID-kort.
6.3 Förslag på fortsatta arbeten
För fortsatta arbeten rekommenderas en extern antenn för att undersöka hur långt
avsläsningsavståndet är i olika typer av miljöer. Ju större avstånd desto mer risker med att tekniken utnyttjas i ont syfte. Fler enheter skulle behöva testas, dels för att få en större mängd data att analysera och dels för att undersöka hur olika företags säkerhetslösningar ser ut.
42
Kapitel 7
Slutsats
Experimentet visar klart och tydligt att det med väldigt små medel går att utnyttja svagheterna i den RFID-utrustning som testats. De flesta enheter som testats har ingen eller väldigt bristfällig
säkerhet. Även fast bankkorten inte gick att kopiera i detta experiment är det oerhört allvarligt att bankkortsinformationen kan stjälas utan sin vetskap. Detta kan i sin tur leda till stora ekonomiska förluster för den som bli drabbad. Eftersom UID skickas i klartext i alla enheter som testats är det uppenbart att kortutgivare som är det minsta intresserad av att ha ett säkert system bör använda sig av flerstegsautentisering och/eller säkrare kryptering. Om det endast är UID som krävs för
autentisering i exempelvis ett passerkortsystem så är det möjligt att läsa av ett legitimt passerkorts UID och skriva den informationen till ett så kallat Kinakort. Detta Kinakort kan sedan användas i illegitimt syfte för att bereda sig åtkomst till platser som du normalt sett inte ska ha åtkomst till.
Eftersom bankkorten inte gick att kopiera medan resekortet gick att kopiera är det uppenbart att MIFARE Classic inte bör användas i system som inte har något bakomliggande system för granskning. Det bästa skulle vara om kortutgivarna helt och hållet slutade använda just MIFARE Classic och gick över till andra säkrare lösningar. Fram till dess rekommenderas RFID-säkra plånböcker eller korthållare då det precis som experimentet visar är den enda helt säkra metoden för att skydda sina RFID-kort från avläsning.
Litteraturförteckning
[1] D. Karlsson. “VB: Annat ärende,” Personligt e-postmeddelande (24 januari 2018)
[2] C. Ströberg, “Busschaufför sålde falska resekort - omfattande rättegång pågår,” Sveriges Radio, 25 mars 2018 [Online] Tillgänglig: http://sverigesradio.se/sida/artikel.aspx?
programid=160&artikel=6917440. [Hämtad 13 april 2018]
[3] F. Joelsson, “Busschaufför misstänks ha sålt falska busskort – för en halv miljon,” Metro, 25 mars 2018 [Online] Tillgänglig: https://www.metro.se/artikel/busschauff%C3%B6r-misst%C3%A4nks-ha-s%C3%A5lt-falska-busskort-f%C3%B6r-en-halv-miljon. [Hämtad 13 april 2018]
[4] TT, “Tros ha sålt falska busskort för halv miljon,” Svenska Dagbladet, 25 mars 2018 [Online] Tillgänglig: https://www.svd.se/bussforare-atalas-for-att-ha-salt-falska-kort [Hämtad 13 april 2018]
[5] M. Rieback et al., “The Evolution of RFID Security,” IEEE Pervasive Computing, vol. 5, nr. 1, s. 62-69, 2006.
[6] J. Landt, “The history of RFID,” IEEE Potentials, vol. 24, nr. 4, s. 8-11, 2005.
[7] S. Mohite et al., “RFID Security Issues,” International Journal of Engineering Research
& Technology, vol. 2, s. 746-748, 2013.
[8] Y. Zhang & P. Kitsos, Security in RFID and sensor networks, Boca Raton: CRC Press, 2009.
[9] T. S. Heydt-Benjamin et al., “Vulnerabilities in First-Generation RFID-enabled Credit Cards,” Financial Cryptography and Data Security Lecture Notes in Computer Science, s.
2–14, 2007.
[10] D. R. Thompson et al., “RFID SECURITY THREAT MODEL,” Department of Computer Science and Computer Engineering University of Arkansas, Fayetteville, AR 72701, 2006.
[11] “Near Field Communication Technology Standards,” NFC, [Online] Tillgänglig:
http://nearfieldcommunication.org/technology.html. [Hämtad 5 april 2018]
[12] F. Garcia et al., “Wirelessly Pickpocketing a Mifare Classic Card,” 2009 30th IEEE Symposium on Security and Privacy, 2009.
[13] G. Kulkarni et al., “RFID security issues & challenges,” 2014 International Conference on Electronics and Communication Systems (ICECS), 2014.
[14] N. Desai & M. L. Das, “On the security of RFID authentication protocols,” 2015 IEEE International Conference on Electronics, Computing and Communication Technologies (CONECCT), 2015.
[15] T. Gilså, “Forskare varnar för missbruk av rfid,” CIO Sweden, 4 februari 2015 [Online]
Tillgänglig: https://cio.idg.se/2.1782/1.238694/forskare-varnar-for-missbruk-av-rfid.
[Hämtad: 24 januari 2018]
[16] N. Zachrisson, “Så kan ditt säkra pass hamna i fel händer,” Sveriges Radio, 10 februari
2016 [Online] Tillgänglig: http://sverigesradio.se/sida/artikel.aspx?
programid=406&artikel=6364623. [Hämtad: 24 januari 2018]
[17] R. O. Jägemar, “Så kan tjuven skimma ditt nya bankkort,” SVT Nyheter, 18 oktober 2017 [Online] Tillgänglig: https://www.svt.se/nyheter/lokalt/uppsala/sa-kan-tjuven-skimma-ditt-nya-bankkort. [Hämtad: 24-Jan-2018]
[18] A. Sumathi & B. Vinayaga Sundaram, “An ANN Approach in Ensuring CIA Triangle using an Energy based Secured Protocol E-AODV for Enhancing the Performance in MANETS,” Indian Journal of Science and Technology, vol. 8, nr. 34, 2015.
[19] R. O. Jägemar, “Tillsynsmyndigheten: Det är allvarligt,” SVT Nyheter, 26 april 2017 [Online] Tillgänlig: https://www.svt.se/nyheter/lokalt/uppsala/tillsynsmyndigheten.
[Hämtad 11 april 2018]
[20] R. O. Jägemar, “Polisen: Tjuvarna ligger tre steg före,” SVT Nyheter, 26 april 2017 [Online] Tillgänlig: https://www.svt.se/nyheter/lokalt/uppsala/polisen-tjuvarna-ligger-tre-steg-fore. [Hämtad 14 april 2018]
[21] G. de Koning Gans et al., “A Practical Attack on the MIFARE Classic,” Smart Card Research and Advanced Applications, s. 267-282, 2008.
[22] T. Loukusa, “Analys av säkerheten av RFID i inpasseringssystem,” Uppsala universitet, augusti 2012 [Online] Tillgänglig:
http://uu.diva-portal.org/smash/get/diva2:547126/FULLTEXT01.pdf. [Hämtad 6 april 2018]
[23] “RFID-läsare för Arduino,” Kjell & Company, [Online] Tillgänglig:
https://www.kjell.com/se/sortiment/el-verktyg/arduino/moduler/rfid-lasare-for-arduino-p87911. [Hämtad: 24 januari 2018]
[24] S. Jeřábek et al., “Emulator of contactless smart cards in FPGA,” 2017 6th Mediterranean Conference on Embedded Computing (MECO), 2017.
[25] S. Oriyano, CEHv9: Certified Ethical Hacker Version 9 Study Guide, Sybex: John Wiley
& Sons, 2016.
[26] P. Hawrylak et al., “Security Risks Associated with Radio Frequency Identification in Medical Environments,” Journal of Medical Systems, vol. 36, nr. 6, s. 3491-3505, 2011.
[27] D. Engels et al., “On security with the new Gen2 RFID security framework,” 2013 IEEE International Conference on RFID (RFID), 2013.
[28] D. Sun & J. Zhong, “A hash-based RFID security protocol for strong privacy protection,”
IEEE Transactions on Consumer Electronics, vol. 58, nr. 4, s. 1246-1252, 2012.
[29] “MIFARE Classic EV1 1K - Mainstream contactless smart card IC for fast and easy solution development,” NXP, 23 november 2017 [Online] Tillgängling:
https://www.nxp.com/docs/en/data-sheet/MF1S50YYX_V1.pdf. [Hämtad 10 april 2018]
[30] J. Grüll, “Security Statement on Crypto1 Implementations,” MIFARE, oktober 2015 [Online] Tillgänglig: https://www.mifare.net/en/products/chip-card-ics/mifare-classic/security-statement-on-crypto1-implementations. [Hämtad 9 april 2018]
[31] C. Meijer & R. Verdult, “Ciphertext-only Cryptanalysis on Hardened Mifare Classic Cards,” Proceedings of the 22nd ACM SIGSAC Conference on Computer and Communications Security - CCS '15, 2015.
46
[32] K. Nohl, “Cryptanalysis of Crypto-1,” University of Virginia [Online]
[33] “History of Near Field Communication,” NFC, [Online] Tillgänglig:
http://nearfieldcommunication.org/history-nfc.html. [Hämtad 5 april 2018]
[34] “Download the Arduino IDE,” Arduino, [Online] Tillgänglig:
https://www.arduino.cc/en/Main/Software. [Hämtad: 28 mars 2018]
[35] H. Svensson, ”ResSaldo - Reskortets saldo direkt i telefonen,” ResSaldo [Online]
Tillgänglig: http://ressaldo.se/. [Hämtad 19 april 2018]
[36] “Arduino RFID Library for MFRC522,” GitHub, [Online] Tillgänglig:
https://github.com/miguelbalboa/rfid. [Hämtad: 23-Mars-2018]
[37] Polisregion Öst, Förundersökningsprotokoll, Linköpings tingsrätt, Målnr. B1912-16, Aktbilaga 160, s. 276-293, 2017
[38] Polisregion Öst, Förundersökningsprotokoll, Linköpings tingsrätt, Målnr. B1912-16, Aktbilaga 160, s. 247, 2017
Besöksadress: Kristian IV:s väg 3 Postadress: Box 823, 301 18 Halmstad Telefon: 035-16 71 00
E-mail: registrator@hh.se www.hh.se
Tinny Gidensköld Emil Gavelin