Documente Academic
Documente Profesional
Documente Cultură
9 de Agosto de 2010
Agenda
1
Introduo ca Aplicaes co Cartes sem Contato o O Carto MIFARE a Pesquisa Fraquezas Ataques Finalizao ca Consequncias e Concluso a Referncias e Perguntas
Aplicaoes c
Tecnologia RFID e Cartes sem Contato o Em substituio a tecnologias anteriores: ca
Cdigo de Barras o Cartes com Trilha Magntica o e Tickets de Papel (eventos)
Passaportes Eletrnicos o Transporte Pblico u Implantes sob a pele Pedgios em rodovias a Controle de acesso (edif cios, aeroportos, etc)
Carto MIFARE a
Detalhes sobre o MIFARE Baseado na norma ISO-14443A (1K e 4K) O carto MIFARE amplamente utilizado (detm 85% do a e e mercado) Fabricando inicialmente pela NXP Semiconductors (antiga Philips), e hoje licenciado para outros fabricantes e Consiste em 4 diferentes tipos: Ultralight, Classic, DESFire, SmartMX MIFARE Classic fornece autenticao mtua e segurana ca u c atravs da cifra CRYPTO1 com chaves de 48 bits e (proprietria e fechada) a
Carto MIFARE a
Estrutura do MIFARE Classic Cada setor contm 64 bytes e Cada bloco contm 16 bytes e O ultimo bloco de cada setor (trailer) contm as chaves A e B e e as condies de acesso. co As condies de acesso determina co as permisses em cada bloco. o
Carto MIFARE a
Carto MIFARE a
Segurana do MIFARE Classic c Unique Identier (UID) somente leitura e Autenticao mtua entre o leitor e o carto ca u a O algoritmo da cifra CRYPTO1 no pblico a e u Informao de paridade ofuscada ca Somente implementao em hardware ca
Carto MIFARE a
Comandos do MIFARE Classic autenticate read/write, increment/decrement transfer (grava o resultado de um decremento, increment/restore para memria no voltil) o a a restore (prepara o valor do valor corrente de um bloco para ser regravado na memria no voltil) o a a halt
Fraquezas Ataques
Carto MIFARE a
Problemas Problemas de segurana j relatados (mais adiante); c a Diversas aplicaes importantes utilizam o MIFARE Classic, e co 75% delas utilizam as chaves de trasnporte default presentes na documentao [Grunwald, Lukas, 2007], busque no Google ca por A0A1A2A3A4A5 Por ser to barato no fornece a segurana necessria, pois a a a c a unidade custa menos que $1.00;
Fraquezas Ataques
Fraquezas Ataques
Engenharia reversa CRYPTO1 (lgica) o [Garcia, Gans, Muijrers, Verdult, Schreur, Jacobs, 2008]
Ghost Device
Wellington Baltazar de Souza Fraquezas no Carto MIFARE Classic a
Fraquezas Ataques
Engenharia reversa CRYPTO1 (lgica) o [Garcia, Gans, Muijrers, Verdult, Schreur, Jacobs, 2008]
Proxmark III
Wellington Baltazar de Souza Fraquezas no Carto MIFARE Classic a
Fraquezas Ataques
Histrico o
Linha do Tempo Dez-2007 - Engenharia reversa parcial da CRYPTO1, por Nohl e Pltz o Mar-2008 - Engenharia revesa completa da cifra CRYPTO1 por equipe da Radboud University (Holanda) Jun-2008 - NXP tenta evitar atravs da justia a publicao e c ca irresponsvel a Jul-2008 - Os ju rejeitam a proibio, com base na zes ca liberdade de expresso a Out-2008 - Radboud University realiza a publicao cient ca ca e libera biblioteca para CRYPTO1 sob cdigo aberto o
Fraquezas Ataques
Engenharia reversa CRYPTO1 (lgica) o [Garcia, Gans, Muijrers, Verdult, Schreur, Jacobs, 2008]
Fraquezas Ataques
Fraquezas Ataques
Fraquezas Ataques
Diagrama de Inicializao ca
Fraquezas Ataques
Processo de Autenticao ca
Fraquezas Ataques
Processo de Autenticao ca
Processo de Autenticao ca
Tag Escolhe um nT e envia para o Reader ks1 cipher (K , uid, nT ) ks2 , ks3 . . . cipher (K , uid, nT , nR ) envia para o Reader suc 3 (nT ) ks3 Reader ks1 cipher (K , uid, nT ), escolhe nR ks2 , ks3 . . . cipher (K , uid, nT , nR ) e envia para a Tag nR ks1 , suc 2 (nT ) ks2 aR suc 2 (nT )
Fraquezas Ataques
Exemplo
Trace no Processo de Autenticao ca
Step 01 02 03 04 05 06 07 08 09 10 Sender Reader Tag Reader Tag Reader Tag Reader Tag Reader Tag Hex 26 04 00 93 20 c2 a8 2d f4 b3 93 70 c2 a8 2d f4 b3 ba a3 08 b6 dd 60 30 76 4a 42 97 c0 a4 7d db 9b 83 67 eb 5d 83 8b d4 10 08 Abstract req type A answer req select uid, bcc select(uid) MIFARE 1K auth(block 30) nT nR ks1, aR ks2 aT ks3
Fraquezas Ataques
Fraquezas Ataques
Fraquezas Ataques
Nested Attack
Passo a Passo
1
Autentique um bloco com chave default e leia o nT (determinado pelo LFSR) Autentique novamente o mesmo bloco com a chave default e leia o nT (determinado pelo LFSR), (esta autenticao est ca a em uma sesso encriptada) a Calcule a distncia de tempo(nmero de shifts LFSR) a u Calcule o valor nT e autentique em um bloco diferente
3 4
Fraquezas Ataques
Outros ataques a serem pesquisados Replay attack: espionar a comunicao entre a tag e o leitor, ca criar um dispositivo que transimite os mesmos dados (Ghost, Proxmark III) Error attack: vericar a paridade de aR , dependendo do resultado da comparao modicar o valor de aT ca Card only attak: ataques sem espionagem da comunicao ca
Fraquezas Ataques
Outros Erros Chaves de 48-bits so muito curtas para os dias de hoje a O lado leitor aceita frames de tamanho invlido a O bit de paridade cifrado, mas o estado interno no ocorrer e a a shift, assim, o primeiro bit do proximo byte ser cifrado pelo a mesmo keystream bit inuncia estat e stica na cifra inuncia de bits no balanceada e a e
Consequncias e
O que pode ocorrer? Quando todas as chaves so descoberdas, o carto pode ser a a facilmente clonado Podemos clonar o carto quase por completo, exceto o bloco a 0 do setor 0, que contm o UID (read-only) e Todos os blocos podem ser 100% emulados inclusive o UID (Ghost device e Proxmark III)
O que pode ser feito? Para evitar clonagem criar uma whitelist com os UIDs permitidos, ou utilize o contedo dos cartes cifrado u o Proteo contra clonagem no impede a restaurao de um ca a ca dump do carto contendo saldo (creditos) anterior a
Concluso a
Tudo isso diz que ... O uso de cartes MIFARE Classic d falsa sensao de o a ca segurana, pois ele est quebrado de fato c a A segurana por obscuridade realmente no funciona, o tempo c a tem mostrado que algoritmos e protocolos abertos funcionam melhor
Referncias e
COURTOIS, Nicolas T. The Dark Side of Security by Obscurity and Cloning MiFare Classic Rail and Building Passes Anywhere, Anytime LUPTAK, Ing. Pavol Mifare Classic analysis in Czech Republic / Slovakia GANS, HOEPMAN, GARCIA, Gerhard de Konning, Jaap-Henk, Flavio D., 2008 A Practical Attack on the MIFARE Classic
Referncias e
GARCIA, GANS, MUIJRERS, VERDULT, SCHREUR, JACOBS, Flavio D., Gerhard de Konning, Ruben, Peter, Roel, Ronny Wichers, Bart, 2008 Dismantling MIFARE Classic VERDULT, Roel, 2008 Security analysis of RFID tags (master tesis) NOHL, PLOTZ, Karsten, Henryk, 2007 Mifare: Little Security, Despite Obscurity GRUNWALD, Lukas, 2007 New Attacks against RFID-Systems CHENG, Chen-Mou, 2010 MIFARE Classic: Completely Broken
Wellington Baltazar de Souza Fraquezas no Carto MIFARE Classic a
Perguntas