Beveiligingnieuws Logo

Onze partners

VEB

Seagate

VBN

Intrasec

Regio Control Veldt

VideoGuard

Trigion

Kiwa

SMC Alarmcentrale

Securitas

BHVcertificaat.online

Sequrix

SmartSD

Ajax Systems

SOBA

ASIS

VVNL

2N

Service Centrale Nederland

Connect Security

G4S

Avigilon Alta

CDVI

Add Secure

Alphatronics

Bydemes

Optex

Lobeco

Paxton

Multiwacht

Traka ASSA ABLOY

Masset Solutions

Hikvision

NetworxConnect

Milestone

MOBOTIX

ASSA ABLOY

Crown Security Services

PG Security Systems

HID

Akuvox

Seris

ARAS

Nenova

Eagle Eye Networks

EAL

Oribi ID Solutions

IDIS

OSEC

Top Security

HD Security

Alarm Meldnet

Centurion

Genetec

Unii

Uniview

NIBHV

Bosch Security Systems

Brivo

Paraat

i-Pro

ADI

Aritech

VAIBS

Advancis

Secusoft

Eizo

Network Optix

CSL

Distri Company

Dero Security Products

SmartCell

Hanwha Vision Europe

Gold-IP

Maatregelen Nedap tegen beveiligingslek Mifare

29 maart 2008
Redactie
01:04

Nedap komt met aanvullingen in haar security management systeem AEOS om het risico van het klonen van Mifare toegangspassen te beperken. Met het uitbrengen van een software patch beschermt Nedap haar Mifare-lezers tegen de kraakmethode die onlangs door de Radboud Universiteit te Nijmegen is gepresenteerd.

De Digital Security Groep van de Radboud Universiteit Nijmegen stelt in haar persverklaring van 12 maart jongstleden in staat te zijn de Mifare Classic contactloze toegangspas te kunnen klonen. De contactloze Mifare Classic chipkaart is midden jaren ’90 ontwikkeld door NXP (voorheen Philips Semiconductors) op basis van de toen beschikbare kennis en technologie. Mede door zijn lage kostprijs en multifunctionele inzetbaarheid is de kaart een relatief populair identificatiemiddel voor gebruik in onder andere toegangscontrolesystemen.

De Mifare Classic kan op twee manieren in een toegangscontrole-systeem worden toegepast. Op de eerste plaats kan het unieke CSN (Card Serial Number) van een Mifare kaart (onversleuteld) worden gelezen en gebruikt om een persoon te identificeren. De tweede methode is het lezen van versleutelde informatie uit één van de sectoren. Voor het schrijven en lezen van deze informatie wordt gebruik gemaakt van een (geheime) sleutel. Alleen als zowel in de kaartlezer als in de kaart dezelfde sleutel wordt gebruikt, is het mogelijk om de informatie uit het segment uit te lezen en op basis van die informatie te bepalen of een persoon toegang wordt verleend. De Mifare lezers die volgens dit principe werken zijn iets duurder zijn dan CSN-lezers.

De hack van de Mifare-kaart is uitgevoerd met behulp van de Methode Jacobs , waarbij een Mifarelezer voortdurend wordt bestookt met foutieve gegevens. Op basis van de reacties van de lezer wordt een tabel opgesteld die kan worden gebruikt voor het achterhalen van de Mifare-sleutel. Met deze Mifare-sleutel kunnen vervolgens eenvoudig informatie uit de sectoren worden gelezen en kunnen kopieën van een Mifare-kaart worden gemaakt.

Het nieuws zou de indruk kunnen wekken dat gebruik van het CSN wel veilig is. Dit is helaas niet waar. In het onderzoek van de Universiteit Nijmegen wordt gebruik gemaakt van draagbare RFID apparatuur. Met soortgelijke apparatuur is het eenvoudig mogelijk om unieke CSN nummer te reproduceren en naar de lezer te versturen.

De nieuwe software van Nedap detecteert deze kraakmethode waarna de lezer tijdelijk wordt uitgeschakeld. Tevens verstuurt de lezer een alarm naar het security systeem en kunnen er passende maatregelen worden genomen. Alle Nedap klanten met een Upgrade Assurance overeenkomst krijgen automatisch de beschikking over deze nieuwe software.

In welke mate het feit dat de Mifare Classic kaart te klonen blijkt een risico vormt voor de beveiliging van gebouwen en terreinen hangt mede af van de aanvullende beveiligingsmaatregelen. Moderne toegangscontrolesystemen bieden tal van functies om de gevolgen van het verliezen van een kaart of een gekopieerde kaart te minimaliseren. Voorbeelden hiervan zijn het gebruik van de kaart in combinatie met pincodes, Anti Pass back, video verificatie en biometrie. Het is daarom aan te raden in het licht van de recente ontwikkelingen een hernieuwde risicoanalyse uit te laten voeren.

Naast lezers voor alle vormen van encryptie zoals Mifare DESFire en Mifare Plus ondersteunt het AEOS Security Management systeem alle bekende veiligheidsmaatregelen. Zowel lezers, controllers als de embedded- en serversoftware worden geheel in eigen huis ontwikkeld.

Deel dit artikel via:

Vlog

Premium partners

Distri Company

Seagate

SequriX

Videoguard

Aritech

Suricat

Wordt een partner