Beveiligingnieuws Logo

Onze partners

SOBA

De Beveiligingsjurist

PG Security Systems

Genetec

Uniview

NetworxConnect

SmartSD

ADI

Regio Control Veldt

Paxton

Crown Security Services

BHVcertificaat.online

Seris

Paraat

Bydemes

Securitas

CSL

JMB Groep

HD Security

DZ Technologies

VBN

Alarm Meldnet

CDVI

GFT

ASIS

20face

Avigilon Alta

Kiwa

Nimo Drone Security

G4S

Bosch Security Systems

ARAS

Trigion

Hanwha Vision Europe

Service Centrale Nederland

Sequrix

Oribi ID Solutions

Hikvision

ASSA ABLOY

Gold-IP

Ajax Systems

Eizo

Milestone

Seagate

VEB

VideoGuard

Secusoft

RoSecure

Optex

Alphatronics

IDIS

Eagle Eye Networks

Brivo

Masset Solutions

2N

Centurion

Akuvox

Top Security

VAIBS

Advancis

Connect Security

Lobeco

OSEC

Add Secure

VVNL

Traka ASSA ABLOY

SmartCell

Unii

Nimo Dog Security

CardAccess

SMC Alarmcentrale

Dero Security Products

EAL

i-Pro

Explicate

Nenova

HID

NIBHV

Multiwacht

Maatregelen Nedap tegen beveiligingslek Mifare

29 maart 2008
Redactie
01:04

Nedap komt met aanvullingen in haar security management systeem AEOS om het risico van het klonen van Mifare toegangspassen te beperken. Met het uitbrengen van een software patch beschermt Nedap haar Mifare-lezers tegen de kraakmethode die onlangs door de Radboud Universiteit te Nijmegen is gepresenteerd.

De Digital Security Groep van de Radboud Universiteit Nijmegen stelt in haar persverklaring van 12 maart jongstleden in staat te zijn de Mifare Classic contactloze toegangspas te kunnen klonen. De contactloze Mifare Classic chipkaart is midden jaren ’90 ontwikkeld door NXP (voorheen Philips Semiconductors) op basis van de toen beschikbare kennis en technologie. Mede door zijn lage kostprijs en multifunctionele inzetbaarheid is de kaart een relatief populair identificatiemiddel voor gebruik in onder andere toegangscontrolesystemen.

De Mifare Classic kan op twee manieren in een toegangscontrole-systeem worden toegepast. Op de eerste plaats kan het unieke CSN (Card Serial Number) van een Mifare kaart (onversleuteld) worden gelezen en gebruikt om een persoon te identificeren. De tweede methode is het lezen van versleutelde informatie uit één van de sectoren. Voor het schrijven en lezen van deze informatie wordt gebruik gemaakt van een (geheime) sleutel. Alleen als zowel in de kaartlezer als in de kaart dezelfde sleutel wordt gebruikt, is het mogelijk om de informatie uit het segment uit te lezen en op basis van die informatie te bepalen of een persoon toegang wordt verleend. De Mifare lezers die volgens dit principe werken zijn iets duurder zijn dan CSN-lezers.

De hack van de Mifare-kaart is uitgevoerd met behulp van de Methode Jacobs , waarbij een Mifarelezer voortdurend wordt bestookt met foutieve gegevens. Op basis van de reacties van de lezer wordt een tabel opgesteld die kan worden gebruikt voor het achterhalen van de Mifare-sleutel. Met deze Mifare-sleutel kunnen vervolgens eenvoudig informatie uit de sectoren worden gelezen en kunnen kopieën van een Mifare-kaart worden gemaakt.

Het nieuws zou de indruk kunnen wekken dat gebruik van het CSN wel veilig is. Dit is helaas niet waar. In het onderzoek van de Universiteit Nijmegen wordt gebruik gemaakt van draagbare RFID apparatuur. Met soortgelijke apparatuur is het eenvoudig mogelijk om unieke CSN nummer te reproduceren en naar de lezer te versturen.

De nieuwe software van Nedap detecteert deze kraakmethode waarna de lezer tijdelijk wordt uitgeschakeld. Tevens verstuurt de lezer een alarm naar het security systeem en kunnen er passende maatregelen worden genomen. Alle Nedap klanten met een Upgrade Assurance overeenkomst krijgen automatisch de beschikking over deze nieuwe software.

In welke mate het feit dat de Mifare Classic kaart te klonen blijkt een risico vormt voor de beveiliging van gebouwen en terreinen hangt mede af van de aanvullende beveiligingsmaatregelen. Moderne toegangscontrolesystemen bieden tal van functies om de gevolgen van het verliezen van een kaart of een gekopieerde kaart te minimaliseren. Voorbeelden hiervan zijn het gebruik van de kaart in combinatie met pincodes, Anti Pass back, video verificatie en biometrie. Het is daarom aan te raden in het licht van de recente ontwikkelingen een hernieuwde risicoanalyse uit te laten voeren.

Naast lezers voor alle vormen van encryptie zoals Mifare DESFire en Mifare Plus ondersteunt het AEOS Security Management systeem alle bekende veiligheidsmaatregelen. Zowel lezers, controllers als de embedded- en serversoftware worden geheel in eigen huis ontwikkeld.

Deel dit artikel via:

Vlog 6

Premium partners

Videoguard

Suricat

Seagate

Wordt een partner