实际没在BJ待过,,理论上讲用PM3监听应该可以爆掉,,,,,
业内信息安全专家厂商北京安软点评:
这是今年十一国庆前发布的一则新闻,两位已经被宣布为罪犯的黑客在去年底开始对北京的公交IC卡进行了有效的攻击。对于这条消息,我们并不感到意外,这是早晚都会发生的事。甚至,很可能这两位并不是第一个这么干的,只是他们两个被抓到并且用来给所有正在破解公交IC卡的人一个警告罢了。
早在2006年北京开始使用公交IC卡时起,业内人士就对北京公交IC卡的安全性表示担心。射频IC卡按照加密等级来分,有不加密、逻辑加密和CPU加密三种。CPU加密的安全性是最高的,但是在国内只有少数城市的公交系统使用这种卡,大多数城市都是采用成本较低的逻辑加密IC卡。最初北京使用的是Mifare Class S50或S70的卡,是属于第二种逻辑加密的卡,其安全性取决于加密算法的安全性。
2007年9月,公交IC卡开始具备支付的功能,一些便利店和超市可以刷公交卡消费。从此,公交IC卡还部分承担了支付功能,我就看到有人把大额的公交IC当礼品送人的例子。
2008年初的时候,美国和德国的两位研究人员把Mifare Class芯片的加密算法破解了,据说 “破解的成本非常低”。虽然这两位出于黑客的道德准则并没有公开具体破解方法,但是随后市面上出现了专门破解此芯片的软件和硬件在销售,荷兰政府立即要求更换已经发出的数百万张IC卡。我在2008年5月国内的一个论坛上就看到有人开始“兴高采芦茄烈”地讨论这件事,也就是说至少3年前国人就已经开始在打公交IC的主意了。
2009年2月的时候,北京公交IC卡得发卡量已经达到了2000多万张,北京人基本上人手一张卡。请注意这些卡都是安全性岌岌可危的、已经被破解快一年的逻辑加密卡。这时北京市政交通一卡通有限公司发布了一条消息,称“北京公交一卡通明年升级为CPU卡”,可以看出此时一卡通公司已经意识到公交IC卡的安全性问题,并且开始升级为更加安全的CPU卡。此后两个月媒体上开始讨论公交IC卡的安全问题,我想这也会引起更多人的注意,包括管理者和攻击者。
然而将这2000多万张卡完全更换为安全强度更高的CPU卡,时间将会很漫长,成本会很高。至少我家里的三张公交IC卡都是2009年以前发的逻辑加密卡,除非丢失,我是不会更换新卡的,一卡通公司会免费给我换一张新卡吗?应该不会。攻击者在这段时间可以复制卡、免费充值、甚至用一个手持读卡器偷窃路人的公交IC卡里的钱,想一想就知道这是多么大的诱惑。
终于在两年后,我们看到了两个禁不住诱惑的年轻人以身试法,身陷囹圄。另一方面,我们口袋里的公交IC卡将继续处于危险之中。
安软观点
要记住没有绝对的安全,只有破解时间和破解成本的区别。防护与攻击、加密与破解都是在交迭地演绎魔与道的较量。这样陪散察的故事以后还会继续,下一个故事的主角可能是某个哈希算法、某个加密算法、某个网银的USBKEY……
所以,安全的投入和建设要由前瞻性,如果出于成本的考虑,采用较为廉价的安全措施,到头来可能一个攻击技术的突破会导致一整套安全体系的崩塌。
安软提示
北京安软天地数字证书认证系统的数字证书完全符合X.509v3标准,支持SHA1哈希算法、CPU运算USBKey证书存储,可以保证您的掘做数字证书安全无忧。
内容全部来源于网络收集,如有侵权,请联系网站删除:QQ:24596024