形同虛設：花費700美元便可突破門禁

　　近日，黑客向Tech Insider展示了如何通過在亞馬遜和eBay上購買價值700美元的電子零件來克隆門禁卡，成功闖入辦公室的全過程。

　　對于黑客而言，未經(jīng)授權闖入一家公司是及其簡單，而且還無需花費很多金錢的事情，可能只需要花700美元從亞馬遜和eBay上購買一些零件就可以了。

　　Tech Insider 網(wǎng)這樣 寫道 ：

　　“我們曾親眼看過一個黑客團隊在不到24小時的時間瓦解了一家電力公司。該電力公司位于美國中西部，名為“metrofader”的黑客從口袋中掏出電子胸牌，在外部傳感器上揮動一下，門就開了，但是，不得不說明的是，這個電子胸牌是在其前期竊取的數(shù)據(jù)基礎上制作的假卡?！?/p>

　　RedTeam 安全公司的研究人員稱，黑客可以從亞馬遜或eBay商城購買到價值350美元的設備，并通過偽造門禁卡來繞過基于員工ID胸章的門禁控制系統(tǒng)。

　　安全專家進一步向Tech Insider的記者解釋道，黑客在不竊取員工個人信息的前提下，克隆任何一名員工的門禁卡也是非常容易實現(xiàn)的。

　　RedTeam 安全公司的MattGrandy解釋道，黑客在造訪目標公司的時候，會使用特定的設備，而這些設備只需要花費350美元。

　　RedTeam 的安全顧問MattGrandy說：

　　“(我們)從亞馬遜商城上獲得了支持大規(guī)模，遠距離的讀卡器，它們同樣也可以從eBay上買得到?！?/p>

　　黑客假冒成一名參觀公司的學生，將設備放置在筆記本電腦包中，該設備可以攔截員工門禁卡與控制開/關門的訪問系統(tǒng)之間的加密通信。

　　亞馬遜和eBay上出售的RFID標記閱讀器能夠捕捉到三英尺外的門禁卡數(shù)據(jù)，并將其寫入microSD卡上。

　　攻擊者只需要在員工使用RFID徽章的時候，在有效范圍內接近他就行了。隨后，攻擊者就可以利用捕獲的員工胸牌數(shù)據(jù)來制作假的胸牌了，整個操作需要借助第二個設備——Proxmark，價值300美元，操作簡單，成本低廉。

　　Tech Insider 稱：

　　“RedTeam安全公司向我們揭示了一個眾所周知的，關于RFID或無線射頻識別的問題，也是目前很多企業(yè)認證員工訪問設備最常用的方法。員工通過RFID徽章驗證身份，獲得進入一扇門的訪問權。但是，問題是很多時候，這些數(shù)據(jù)是以明文的方式發(fā)送的，并沒有加密處理，這使得黑客可以輕松的盜取員工的數(shù)據(jù)信息，進而克隆假卡侵入設備，實現(xiàn)其不為人知的目的?！?/p>

　　當然，為了提高物理安全，可能對數(shù)據(jù)加密而言，另一個很好的措施就是使用RFID阻隔套來保護通過保護門禁卡，防止數(shù)據(jù)被盜。