Co to jest RFID i NFC – oraz dlaczego mogą być niebezpieczne?

W świecie nowoczesnych systemów bezpieczeństwa fizycznego niemal każdy obiekt — od biura, przez magazyn, po fabrykę — korzysta z technologii RFID lub NFC. Drzwi otwierane kartą, systemy kontroli dostępu, logowanie wejść i wyjść, a nawet szlabany w firmowym parkingu — wszystkie one polegają na tych technologiach. Tylko czy naprawdę są tak bezpieczne, jak się wydaje?

RFID i NFC – jak to działa?

RFID (Radio-Frequency Identification) i NFC (Near Field Communication) to technologie, które umożliwiają bezprzewodową identyfikację obiektów lub osób za pomocą fal radiowych.

W skrócie:

• RFID działa w różnych pasmach (głównie 125 kHz i 13,56 MHz) i może być odczytywany z kilku centymetrów do kilku metrów,

• NFC to podzbiór RFID, który działa bardzo blisko – zwykle do 10 cm. Stosowany np. w płatnościach zbliżeniowych i nowoczesnych identyfikatorach.

Gdzie używa się RFID i NFC?

• Przepustki i identyfikatory do biur,

• Elektroniczne klucze do drzwi i wind,

• Szlabany i bramy,

• Rejestratory czasu pracy,

• Magazynowanie towarów (znaczniki RFID w logistyce),

• Transport publiczny,

• Nawet… niektóre automaty z kawą ☕

Brzmi dobrze. Więc w czym problem?

Właśnie w tym, że większość systemów RFID/NFC została zaprojektowana z myślą o wygodzie — a nie bezpieczeństwie.

🔓 Słabe punkty RFID i NFC, które testujemy w Black Vector:

1. ❗ Można je sklonować

Wiele kart RFID (szczególnie 125 kHz) można skopiować w ciągu kilku sekund — wystarczy tanie urządzenie za kilkadziesiąt złotych (lub… Flipper Zero).
Jeśli ktoś zeskanuje kartę pracownika – może wejść bez problemu, wyglądając na „swojego”.

2. ❗ Brak szyfrowania

Starsze systemy nie używają żadnego szyfrowania.
Działa to na zasadzie: „wysyłam ID – otwieram drzwi”.
Jeśli ktoś zna ten identyfikator – może go bez problemu odtworzyć.

3. ❗ Można przechwycić sygnał zdalnie

Z odpowiednim sprzętem (np. antena kierunkowa + odbiornik), można przechwycić komunikację między kartą a czytnikiem, nawet z kilku metrów.

4. ❗ Brak weryfikacji tożsamości

Systemy RFID/NFC identyfikują kartę – nie osobę.
Jeśli ktoś znalazł cudzy brelok, zgubiłeś kartę, albo ktoś „pożyczy” ją na chwilę — system nie wie, że to nie Ty.

5. ❗ Niektóre urządzenia są podatne na ataki replay

To atak, w którym intruz nagrywa transmisję między kartą a czytnikiem, a potem ją odtwarza, np. przez urządzenie podszywające się pod kartę.

Jak to testujemy?

Podczas audytów fizycznych Black Vector:

• Skanujemy i emulujemy breloki, by sprawdzić, czy da się wejść nieautoryzowanie,

• Analizujemy poziom szyfrowania i podatność na klonowanie,

• Testujemy zachowanie pracowników, np. czy zgłaszają zgubioną kartę, czy dają ją „serwisantowi”,

• Oceniany ogólne ryzyko związane z technologią, która z założenia miała chronić.

✅ Jak się zabezpieczyć?

• Używaj nowoczesnych kart 13,56 MHz z szyfrowaniem (np. MIFARE DESFire),

• Wdrażaj 2FA (karta + PIN / karta + twarz) tam, gdzie to możliwe,

• Regularnie zmieniaj uprawnienia i monitoruj dostęp,

• Zgłaszaj każdą zgubioną kartę – natychmiast,

• Raz na jakiś czas... zrób test penetracyjny. Tak jak robimy my 😎

Podsumowując:

RFID i NFC to świetne technologie – szybkie, wygodne, powszechne.
Ale nie są kuloodporne. Jeśli nie zostały przetestowane i dobrze skonfigurowane – mogą dać fałszywe poczucie bezpieczeństwa.

My w Black Vector sprawdzamy, czy tak właśnie nie jest w Twoim przypadku.