英國捷運卡又被破了

我不是 RFID 專家，我是做 Web security 的，有沒有 RFID 專家給些意見啊？我記得會議現場有很熟這方面的...

前幾天（18號）的新聞，看來英國捷運卡又被駭了，細節十月才會公布：


http://technology.newscientist.com/channel/tech/dn14358-academics-hack-londons-transport-payment-system.html?feedId=online-news_rss20

倫敦捷運的Oyster卡跟我們的捷運一樣，都是用荷蘭NXP的Mifare晶片的RFID卡（有興趣可以找Fyodor）。這次的研究是荷蘭Radboud University的教授Bart Jacobs做的；他們其實從年初就一直有這方面的發表：

http://www.myusbonly.com/cht/news_read.php?id=84

另外早在去年年底，Dave Evans的博班學生Karsten Nohl就公布過他破解Mifare的細節，最後當成論文發表在Usenix Security'08（論文接受了，會議還沒舉行，Jul 28-Aug 1）：

http://www.jeffersonswheel.org/?p=59

Usenix Security會真是越來越有看頭了，Google讓惡意程式一炮而紅的鬼魂論文也是投到這裡，可惜我都沒時間去，台灣每年不少人去，今年有去的blog一下吧！

題外話，Dave Evans是security源碼檢測始祖工具splint（開放源碼）的發明人，因為他們2004年時做PHP的動態弱點防護，測試資料是我們給的，所以去年原本我有意思邀他來演講，但是他說最近比較沒有在做Web方面的了 :(

回到主題，我覺得有意思的是，NXP從一開始不承認，到承認但否定嚴重性，到這則新聞裡，談到這樣將細節公開對社會的負面影響，讓我想到最近各地駭客年會上，vulnerability disclosure的模式仍是很熱門的題目：

http://www.ee.oulu.fi/research/ouspg/sage/disclosure-tracking/index.html

如果去年有來OWASP的朋友，上面link裡頭也有收錄Jeremiah的文章：

http://jeremiahgrossman.blogspot.com/2007/01/disclosure-ready-or-not.html

漏洞找到後該如何公開？有什麼法律責任？像我們做源碼檢測的廠商，因為用大量的開放源碼當作測試資料，公司裡可說是0day滿天飛，但是想到要如何公布，就是令人頭痛的問題。

就這次的新聞來說，NXP質疑這樣直接並詳細的公開會「傷害NXP的客戶並讓駭客更容易盜用大眾捷運系統」，但是法院是認定Karsten的公開是合理合法的：

"But the court ruled that the university's right to publish was part of the freedom of speech and that the publication of scientific research on the chip's faults could help to take appropriate countermeasures."

最酷的是下面這句：

"Damage to NXP is not the result of the publication of the article, but of the production and sale of a chip that appears to have shortcomings," the court said.

「NXP的損失是起因於製造並販賣有漏洞的產品，不是起因於此論文之發表」
;-)