Download Ataques Selectivos a Mifare Classic

page
1
page
2
page
3
page
4
page
5
page
6
page
7
page
8
page
9
page
10
page
11
page
12
page
13
page
14
page
15
page
16
page
17
page
18
page
19
page
20
page
21
page
22
page
23
page
24
page
25
page
26
page
27
page
28
page
29
page
30
page
31
page
32
page
33
page
34
page
35
page
36
page
37
page
38
page
39
page
40
page
41
page
42
page
43
page
44
page
45
page
46
page
47
Document related concepts
no text concepts found
Transcript 
Ataques Selectivos a Mifare Classic
Ataques Selectivos a Mifare Classic
Jorge Kamlofsky1
1CAETI
- Universidad Abierta Interamericana
Av. Montes de Oca 725 – Buenos Aires – Argentina
Jorge.Kamlofsky@uai.edu.ar
Jorge.kamlofsky@uai.edu.ar
CIBSI – 2013
1
Ataques Selectivos a Mifare Classic
Resumen | Introducción | Ataques a Mifare Classic | Implementacion | Conclusiones | Trabajos Futuros
Contenido
1. Resumen
2. Introduccion
Acerca de Mifare Classic
Objetivos del trabajo y relevancia del tema
3. Ataques a Mifare Classic
Ingenieria inversa sobre el chip MF1ICS50
Desmantelando a Mifare Classic
Un ataque práctico a Mifare Classic
Robo sin cable a tarjetas Mifare Classic
Ataque “Lado oscuro”
4. Implementacion de ataques
Lectores NFC y librería Libnfc
Ataque a Mifare con MFOC
Ataque a Mifare con MFCUK
Ataque combinado con MFCUK y MFOC
Ataques selectivos en función de su configuración de claves
5. Conclusiones
6. Trabajos Futuros
Contra la barrera del ocultamiento
Contra los grandes sistemas de procesamiento en línea
Contra Desfire
Jorge.kamlofsky@uai.edu.ar
CIBSI – 2013
2
Ataques Selectivos a Mifare Classic
Resumen | Introducción | Ataques a Mifare Classic | Implementacion | Conclusiones | Trabajos Futuros
Resumen
Mifare Classic es una tarjeta de proximidad, con memoria y seguridad criptográfica.
A fines de 2007 se presentó el primer trabajo de ingeniería inversa sobre el chip que
presentó detalles acerca del cifrador, lo cual inició una catarata de trabajos que
fueron exponiendo sus secretos.
En este trabajo se describen brevemente los papers más importantes.
Se propone una clasificación de los sistemas que usan Mifare Classic en función de
la configuración de sus claves. Con ello, se plantean ataques selectivos a los
sistemas Mifare.
Jorge.kamlofsky@uai.edu.ar
CIBSI – 2013
3
Ataques Selectivos a Mifare Classic
Resumen | Introducción | Ataques a Mifare Classic | Implementacion | Conclusiones | Trabajos Futuros
Introducción: Acerca de Mifare Classic
Mifare Classic es la tarjeta inteligente sin
contacto más vendida del mundo (desde su
origen en 1995): casi 1000 millones de tarjetas.
Producto de NXP, anteriormente Philips.
- Gracias a la comunicación por RF se realizan
transacciones rápidas y sin desgaste mecánico.
- Gracias a tener seguridad criptográfica,
permite que las transacciones se realicen
directamente en la tarjeta.
Ello la volvió la tarjeta ideal para sistemas de
ticketing de transporte público: permite
transacciones off line seguras en 100ms.
Jorge.kamlofsky@uai.edu.ar
CIBSI – 2013
4
Ataques Selectivos a Mifare Classic
Resumen | Introducción | Ataques a Mifare Classic | Implementacion | Conclusiones | Trabajos Futuros
Introducción: Acerca de Mifare Classic
Seguridad Criptográfica:
- Mifare Classic posee una memoria de 1KB
dividida en 16 sectores. Cada sector está
protegido por dos claves (A y B) de 48 bits
cada una.
- La memoria está protegida por un cifrador
simétrico llamado Crypto-1, el cual (aún hoy)
se mantiene en secreto, contraponiendose al
principio de Kerckhoff.
Jorge.kamlofsky@uai.edu.ar
CIBSI – 2013
6
Ataques Selectivos a Mifare Classic
Resumen | Introducción | Ataques a Mifare Classic | Implementacion | Conclusiones | Trabajos Futuros
Introducción: Acerca de Mifare Classic
Así presentado, quedan expuestas aquí dos
debilidades atractivas para el trabajo de
investigadores y criptoanalistas:
1. El tamaño de las claves de acceso a cada
sector es de 48 bits: hoy es perfectamente
posible diseñar un ataque por fuerza bruta
contra ese espacio de claves.
2. La violación del principio de Kerckhoff
alienta a la búsqueda de debilidades en el
algoritmo: Por algo es secreto.
Jorge.kamlofsky@uai.edu.ar
CIBSI – 2013
7
Ataques Selectivos a Mifare Classic
Resumen | Introducción | Ataques a Mifare Classic | Implementacion | Conclusiones | Trabajos Futuros
Objetivo y relevancia del tema
Objetivo del trabajo:
- Describir brevemente los ataques que lograron el quiebre de la tecnología Mifare
(chip NXP MF1ICS50).
- Presentar la conveniencia en el armado del ataque a un sistema específico
mediante la utilización selectiva de las herramientas de software disponibles.
Relevancia del tema:
El quiebre de la seguridad de las tarjetas Mifare Classic pone en peligro la
recaudación de sistemas de parking, peaje y transporte masivo dispersos por todo
el mundo, así como la integridad de empresas e instalaciones gubernamentales
críticas con acceso controlado por esta tecnología.
Para la seguridad de esos sistemas, se requiere una readecuación tecnológica tan
pronto como sea posible.
Jorge.kamlofsky@uai.edu.ar
CIBSI – 2013
8
Ataques Selectivos a Mifare Classic
Resumen | Introducción | Ataques a Mifare Classic | Implementacion | Conclusiones | Trabajos Futuros
Ingeniería Inversa sobre el chip NXP MF1ICS501
La ingeniería inversa se usa para espionaje, evaluación de seguridad, descubrimiento de secretos
industriales, y demás. Es considerada una tarea altamente costosa.
Este trabajo de ingeniería
inversa no resultó ser
altamente costoso, y el
enfoque usado en este
trabajo puede aplicarse
a otros dispositivos.
Imagen2 del chip NXP MF1ICS50
1. Nohl, Karsten et al.: "Reverse-Engeneering a Cryptographic RFID Tag", Usenix Security Symposium 2008.
2. Courtois, N. “The Dark Side of Security by Obscurity and Cloning MiFare Classic Rail and Building Passes,
Anywhere, Anytime”, The 5th Workshop on RFID Security
Jorge.kamlofsky@uai.edu.ar
CIBSI – 2013
9
Ataques Selectivos a Mifare Classic
Resumen | Introducción | Ataques a Mifare Classic | Implementacion | Conclusiones | Trabajos Futuros
Ingeniería Inversa sobre el chip NXP MF1ICS50
(a) Imagen obtenida del nivel 2. (b) luego de la detección automática
Jorge.kamlofsky@uai.edu.ar
CIBSI – 2013
10
Ataques Selectivos a Mifare Classic
Resumen | Introducción | Ataques a Mifare Classic | Implementacion | Conclusiones | Trabajos Futuros
Ingeniería Inversa sobre el chip NXP MF1ICS501
Algunos resultados destacados:
- Se pudo reconstruir la totalidad del cifrador: Basado en un LFSR de 48 posiciones, un RNG,
una función filtro.
- El polinomio generador del LFSR es:
P(x) = x48 + x43 + x39 + x38 + x36 + x34
+ x33 + x31 + x29 + x24 + x23 + x21 + x19
+ x13 + x9 + x7 + x6 + x5 + 1.
- Crypto-1 posee solo 400 GE. Muy poco.
Ej: AES en RFID tiene 3400 GE.
Debilidades:
- El RNG es de 16 bits
- Cuando se inicia el cifrador siempre inicia en el mismo estado.
Notas:
-No se publicaron tantos detalles técnicos como se esperaba.
-Sin embargo fue un trabajo muy inspirador para otros investigadores.
Jorge.kamlofsky@uai.edu.ar
CIBSI – 2013
11
Ataques Selectivos a Mifare Classic
Resumen | Introducción | Ataques a Mifare Classic | Implementacion | Conclusiones | Trabajos Futuros
Un ataque práctico a Mifare Classic2
Se estudio la arquitectura de la tarjeta
y el protocolo de comunicaciones entre
tarjetas y Lectores.
A partir de acceder a una tarjeta y un
lector legítimos, mediante un dispositivo
Sniffer Proxmark III:
Pudo accederse a información de la
tarjeta sin tener la clave.
Sniffer Proxmark III
Pudo averiguarse detalles técnicos acerca del protocolo de comunicaciones y de los comandos.
Uso de tarjetas en modo Transporte.
2. de Koning Gans, G. Hoepman, J. y Garcia, F.: "A practical attack on the Mifare Classic" Cardis 08, Springer, 2008.
Jorge.kamlofsky@uai.edu.ar
CIBSI – 2013
12
Ataques Selectivos a Mifare Classic
Resumen | Introducción | Ataques a Mifare Classic | Implementacion | Conclusiones | Trabajos Futuros
Un ataque práctico a Mifare Classic
Importancia de este trabajo
- Se logró acceder a información del sector 0 sin tener la clave.
- Pudo obtenerse el flujo de clave generado por el cifrador de la tarjeta sin conocer su clave, a
partir de texto plano conocido.
- Se presentaron ejemplos detallados del protocolo de comunicaciones.
- Se presentó el set de comandos entre tarjetas y lectores: Select, autentication, increment,
decrement, read, write, restore, transfer, halt.
Jorge.kamlofsky@uai.edu.ar
CIBSI – 2013
13
Ataques Selectivos a Mifare Classic
Resumen | Introducción | Ataques a Mifare Classic | Implementacion | Conclusiones | Trabajos Futuros
Un ataque práctico a Mifare Classic
Ejemplo de seguimiento de proceso de autenticación:
Jorge.kamlofsky@uai.edu.ar
CIBSI – 2013
14
Ataques Selectivos a Mifare Classic
Resumen | Introducción | Ataques a Mifare Classic | Implementacion | Conclusiones | Trabajos Futuros
Un ataque práctico a Mifare Classic
El set de
comandos:
Jorge.kamlofsky@uai.edu.ar
CIBSI – 2013
15
Ataques Selectivos a Mifare Classic
Resumen | Introducción | Ataques a Mifare Classic | Implementacion | Conclusiones | Trabajos Futuros
Desmantelando Mifare Classic3
En Marzo de 2008 Flavio García et al recuperaron
detalles precisos acerca de Crypto-1 y prepararon
dos ataques. Lo notificaron al fabricante (NXP)
y a sus accionistas.
En Junio de 2008 NXP intentó detener la publicación
por "irresponsable" vía una orden de la corte. Dicen
que la publicación puede alertar a delincuentes.
En Julio de 2008 la justicia rechazó el recurso
(de evitar la publicación) basado principalmente en
el derecho a la libre expresión.
El fallo menciona también que: “La universidad actuó con cuidado, advirtiendo a los accionistas
tempranamente”.
Y agrega que “El daño no es resultado de la publicación, sino por las deficiencias en las tarjetas”.
Finalmente, NXP no apeló.
3. Garcia, F. de Koning Gans, G. Muijrers, R. Van Rossum, P. Verdult, R. Wichers, R. Schreur, Jacobs, Dismantling Mifare Classic, ESORICS 2008
Jorge.kamlofsky@uai.edu.ar
CIBSI – 2013
16
Ataques Selectivos a Mifare Classic
Resumen | Introducción | Ataques a Mifare Classic | Implementacion | Conclusiones | Trabajos Futuros
Desmantelando Mifare Classic
Algunas debilidades encontradas:
- RNG solo de 16 bits, desafios de 32 bits
- Los lectores dan la misma secuencia de desafíos luego del encendido.
- El RNG repite desafíos en poco tiempo.
- Los desafios generados son dependientes del tiempo.
Se usó un sniffer Proxmark III para grabar transacciones entre lectores y tarjetas auténticas.
Ataques:
1.- Luego de obtener un desafío, mediante Rollback se puede obtener la clave.
2.- Se basa en la debilidad de la ubicación impar de las entradas a la funcion
Filtro permite elaborar dos tablas de claves posibles de 219.
Jorge.kamlofsky@uai.edu.ar
CIBSI – 2013
21
Ataques Selectivos a Mifare Classic
Resumen | Introducción | Ataques a Mifare Classic | Implementacion | Conclusiones | Trabajos Futuros
Hurto sin cables a Mifare Classic4
Los ataques previos (realizados sobre lectores), si bien fueron de gran trascendencia desde el punto
de vista de sus descubrimientos, los mismos fueron desestimados por entes estatales, operadores e
integradores aduciendo que realizarlos implica un gran despliegue de tecnología en las
instalaciones del operador, lo cual es muy fácil de detectar.
Este ataque se realiza íntegramente sobre las tarjetas. De este modo, el atacante, en la comodidad
de su laboratorio, sin apuro ni vigilancia, puede acceder a cualquier sector de la tarjeta y modificar
su contenido sin ser detectado.
Es posible:
- Robar el saldo de una tarjeta (por clonación).
- Modificar el saldo de la tarjeta propia.
4. Garcia, F.; et al.: "Wirelessly Pickpocketing a Mifare Classic card" IEEE Symposium on Security and Privacy, 2009.
Jorge.kamlofsky@uai.edu.ar
CIBSI – 2013
22
Ataques Selectivos a Mifare Classic
Resumen | Introducción | Ataques a Mifare Classic | Implementacion | Conclusiones | Trabajos Futuros
Hurto sin cables a Mifare Classic
Las principales vulnerabilidades encontradas:
1. Acerca de los bits de paridad:
- Durante el protocolo de autenticación:
- Si el lector envía paridad incorrecta, la tarjeta detiene la comunicación.
- Si el lector envía bits de paridad correctos pero datos de autenticación
incorrectos, la tarjeta responderá con un código de error, permitiendo que se
establezca un canal paralelo.
Jorge.kamlofsky@uai.edu.ar
CIBSI – 2013
24
Ataques Selectivos a Mifare Classic
Resumen | Introducción | Ataques a Mifare Classic | Implementacion | Conclusiones | Trabajos Futuros
Hurto sin cables a Mifare Classic
Las principales vulnerabilidades encontradas:
2. Acerca de la autenticación en varios sectores:
Luego de autenticarse sobre un sector, si se requiere operar sobre otro sector, se requiere conocer
la 2da clave.
Cuando un atacante se autenticó a algún sector (habiendo averiguado la clave de ese sector),
subsecuentes intentos de autenticarse a otros sectores (sin conocer las claves sobre esos sectores),
filtran 32 bits de información sobre la clave secreta de ese sector: se estima la distancia entre los
desafios n0T y n1T y se calculan los suci(nT) con “i”próximo a “d”.
Jorge.kamlofsky@uai.edu.ar
CIBSI – 2013
25
Ataques Selectivos a Mifare Classic
Resumen | Introducción | Ataques a Mifare Classic | Implementacion | Conclusiones | Trabajos Futuros
Hurto sin cables a Mifare Classic
Ataques a Tarjetas Mifare Classic:
1. Ataque por fuerza bruta:
Se usa la vulnerabilidad del bit de paridad para abrir un canal paralelo. Luego se puede perpetrar
un ataque por fuerza bruta en el envio de {nR}+{aR}.
2. Variando el desafío del lector:
Controlando el tiempo, el atacante puede lograr recibir los mismos desafíos del tag. Establecido el
canal paralelo, el atacante varía las encripciones de los desafíos nR: {nR}. Logrará acertar con aprox.
28500 nR. Luego, con 2,1.1010 claves candidatas puede verificarse desencriptar los mensajes de
error.
Jorge.kamlofsky@uai.edu.ar
CIBSI – 2013
26
Ataques Selectivos a Mifare Classic
Resumen | Introducción | Ataques a Mifare Classic | Implementacion | Conclusiones | Trabajos Futuros
Hurto sin cables a Mifare Classic
Ataques a Tarjetas Mifare Classic:
3. Variando el desafío del tag:
En el paso 9 del protocolo se mantiene constante {nR}+{aR} y se hace que el tag cambie nT
esperando que responda con un {halt}.
4. Autenticaciones anidadas:
Usando la vulnerabilidad del posicionamiento impar en las entradas al LFSR y
la de la autenticación en varios sectores, puede elaborarse dos tablas de
flujos de claves candidatas 216 (respecto de nT).
Jorge.kamlofsky@uai.edu.ar
CIBSI – 2013
27
Ataques Selectivos a Mifare Classic
Resumen | Introducción | Ataques a Mifare Classic | Implementacion | Conclusiones | Trabajos Futuros
El lado oscuro de la seguridad por ocultamiento...5
Los ataques presentados en el trabajo anterior, requieren de la construcción de tablas precalculadas (2 y 3) o bien contar con una de las claves para montar un ataque por “autenticaciones
anidadas”.
Este ataque permite calcular rápidamente una de las claves A o B de cualquier sector para que
pueda usarse combinadamente con “autenticaciones anidadas”.
5. Courtois, N.: "The dark side of security by obscurity, and Cloning Mifare Classic Rail and Building Passes, Anywhere, Anytime”.
IACR Cryptology ePrint. Archivo 2009: 137, 2009.
Jorge.kamlofsky@uai.edu.ar
CIBSI – 2013
28
Ataques Selectivos a Mifare Classic
Resumen | Introducción | Ataques a Mifare Classic | Implementacion | Conclusiones | Trabajos Futuros
El lado oscuro de la seguridad por ocultamiento...
Debilidades encontradas:
- Canal abierto: Courtois también encontró la debilidad mencionada en el trabajo anterior (si la
paridad es correcta pero no así el {nR}, se responde con {halt}={5})
- Baja variabilidad del flujo de claves: Esto es debido a las malas propiedades de las funciones
booleanas presentes en el cifrador.
Hecho: los 9 bits de KS1 que desencriptan el 4°byte de {nR} = cte con 0,75 de probabilidad.
- Propiedad Diferencial Múltiple: Usando la baja variabilidad de KS1 y sabiendo que nR ⊕ {nR } =
ks1 con {nR} sabido.
Entonces, cambios que se reflejen en KS2 y KS3 dependen de cambios en el 4° byte de {nR}.
Jorge.kamlofsky@uai.edu.ar
CIBSI – 2013
31
Ataques Selectivos a Mifare Classic
Resumen | Introducción | Ataques a Mifare Classic | Implementacion | Conclusiones | Trabajos Futuros
El lado oscuro de la seguridad por ocultamiento...
Ataque a Tarjetas Mifare:
- Establece canal paralelo: acierto de bits de paridad (128 intentos promedio).
- Se realizan modificaciones en los últimos 3 bits del 4°byte de {nR}: 8 casos.
- En 128 consultas, se tienen 8 posibles valores de {nR}.
- Cada uno de ellos nos dan 4 bits de la clave.
- Luego: 4 bits * 8 valores = 32 bits de clave.
Jorge.kamlofsky@uai.edu.ar
CIBSI – 2013
32
Ataques Selectivos a Mifare Classic
Resumen | Introducción | Ataques a Mifare Classic | Implementacion | Conclusiones | Trabajos Futuros
Implementacion de los ataques
Hardware usado:
- Netbook Acer AspireOne: procesador Intel Atom CPU Z520 a 1,33GHz con 2Gb de memoria RAM.
- Lector NFC ACR122 Touchtag
- Tarjetas Mifare varias
Software instalado:
- Sistema Operativo: Distribución Linux Back Track 5 R3 basado en Ubuntu 10.04LTS.
- Librería de lector: libNFC (open source).
- MFOC7: Herramienta que implementa el ataque “autenticaciones anidadas”.
- MFCUK8: Herramienta que implementa el ataque “lado oscuro”.
7. MFOC: Desarrollado por la empresa Nethemba.
8. MFCUK: Código creado Andrei Costin
Jorge.kamlofsky@uai.edu.ar
CIBSI – 2013
34
Ataques Selectivos a Mifare Classic
Resumen | Introducción | Ataques a Mifare Classic | Implementacion | Conclusiones | Trabajos Futuros
Implementacion de los ataques: HW
Jorge.kamlofsky@uai.edu.ar
CIBSI – 2013
35
Ataques Selectivos a Mifare Classic
Resumen | Introducción | Ataques a Mifare Classic | Implementacion | Conclusiones | Trabajos Futuros
Implementacion de los ataques: SW - Libnfc
Jorge.kamlofsky@uai.edu.ar
CIBSI – 2013
36
Ataques Selectivos a Mifare Classic
Resumen | Introducción | Ataques a Mifare Classic | Implementacion | Conclusiones | Trabajos Futuros
Implementacion de los ataques: SW - MFCUK
Jorge.kamlofsky@uai.edu.ar
CIBSI – 2013
37
Ataques Selectivos a Mifare Classic
Resumen | Introducción | Ataques a Mifare Classic | Implementacion | Conclusiones | Trabajos Futuros
Implementacion de los ataques: SW - MFOC
Jorge.kamlofsky@uai.edu.ar
CIBSI – 2013
38
Ataques Selectivos a Mifare Classic
Resumen | Introducción | Ataques a Mifare Classic | Implementacion | Conclusiones | Trabajos Futuros
Los ataques: MFCUK
MFCUK:
- Implementa ataque “Lado oscuro” de Nicolas Courtois
- Desarrollado por Andrei Costin
- Permite obtener una clave de un sector a elección.
- Promete resultado en menos de 5 minutos.
Jorge.kamlofsky@uai.edu.ar
CIBSI – 2013
39
Ataques Selectivos a Mifare Classic
Resumen | Introducción | Ataques a Mifare Classic | Implementacion | Conclusiones | Trabajos Futuros
Los ataques: MFCUK
Jorge.kamlofsky@uai.edu.ar
CIBSI – 2013
40
Ataques Selectivos a Mifare Classic
Resumen | Introducción | Ataques a Mifare Classic | Implementacion | Conclusiones | Trabajos Futuros
Los ataques: Todas las claves con MFCUK
Jorge.kamlofsky@uai.edu.ar
CIBSI – 2013
41
Ataques Selectivos a Mifare Classic
Resumen | Introducción | Ataques a Mifare Classic | Implementacion | Conclusiones | Trabajos Futuros
Los ataques: MFOC
MFOC:
- Implementa ataque “Autenticaciones anidadas” de Flavio Garcia et al.
- Desarrollado por Nethemba.
- Permite obtener todas las claves a partir de una clave.
- Promete resultado en segundos.
Jorge.kamlofsky@uai.edu.ar
CIBSI – 2013
42
Ataques Selectivos a Mifare Classic
Resumen | Introducción | Ataques a Mifare Classic | Implementacion | Conclusiones | Trabajos Futuros
Los ataques: MFOC
Jorge.kamlofsky@uai.edu.ar
CIBSI – 2013
43
Ataques Selectivos a Mifare Classic
Resumen | Introducción | Ataques a Mifare Classic | Implementacion | Conclusiones | Trabajos Futuros
Configuración de las claves Mifare
La complejidad en la asignación de claves a cada sector forma parte de la política de seguridad del
sistema.
- Cada tarjeta tiene 32 claves que deben manejarse con seguridad.
- Muchos sistemas poseen millones de tarjetas.
- La administración eficiente de las claves es una necesidad.
- Se suele economizar en las siguientes formas:
- No cambian ninguna clave (Transporte).
- Solo se cambian las claves de los sectores que se usan (mixtas).
- Se asigna una clave para todos las claves A (Idem B): Oyster.
- Existe otra forma: Asignar más de una clave A (idem B). Sin embargo, ese
encontró en campo
Jorge.kamlofsky@uai.edu.ar
CIBSI – 2013
formato no se
44
Ataques Selectivos a Mifare Classic
Resumen | Introducción | Ataques a Mifare Classic | Implementacion | Conclusiones | Trabajos Futuros
Configuración de las claves Mifare: Clasificación
propuesta
Propuesta de Clasificación de sistemas Mifare según la Configuración de sus claves:
Clase A: Tarjeta en modo transporte: Claves A y B por default (de fábrica).
Clase B: Tarjetas Mixtas: Al menos una clave A o B por default.
Clase C: Tarjetas tipo Oyster: Sin claves por default
Jorge.kamlofsky@uai.edu.ar
CIBSI – 2013
45
Ataques Selectivos a Mifare Classic
Resumen | Introducción | Ataques a Mifare Classic | Implementacion | Conclusiones | Trabajos Futuros
Configuración de las claves Mifare
Ejemplo de Clasificación de tarjetas según Configuraciones de claves:
Jorge.kamlofsky@uai.edu.ar
CIBSI – 2013
47
Ataques Selectivos a Mifare Classic
Resumen | Introducción | Ataques a Mifare Classic | Implementacion | Conclusiones | Trabajos Futuros
Ataques selectivos a Mifare
Atacando tarjetas con MFCUK:
El ataque es indistinto si el sector posee o no claves por default (de fábrica). Es decir, tiene la misma
duración:
Enconces, puede estimarse en 50 horas el tiempo para la obtención de las 32 claves de la tarjeta.
Jorge.kamlofsky@uai.edu.ar
CIBSI – 2013
48
Ataques Selectivos a Mifare Classic
Resumen | Introducción | Ataques a Mifare Classic | Implementacion | Conclusiones | Trabajos Futuros
Ataques selectivos
a Mifare
Atacando una tarjeta Clase A
(modo Transporte) con MFOC:
El ataque dura aproximadamente
14 segundos.
Puede presentarse en pantalla
O en un archivo de texto.
Jorge.kamlofsky@uai.edu.ar
CIBSI – 2013
49
Ataques Selectivos a Mifare Classic
Resumen | Introducción | Ataques a Mifare Classic | Implementacion | Conclusiones | Trabajos Futuros
Ataques selectivos
a Mifare
Atacando una tarjeta Clase B
(mixta) solo con MFOC:
El ataque dura aproximadamente
25 minutos.
Puede presentarse en pantalla
O en un archivo de texto.
Presenta Claves A y B por separado.
Jorge.kamlofsky@uai.edu.ar
CIBSI – 2013
50
Ataques Selectivos a Mifare Classic
Resumen | Introducción | Ataques a Mifare Classic | Implementacion | Conclusiones | Trabajos Futuros
Ataques selectivos a Mifare
Atacando una
tarjeta Clase C
(tipo Oyster)
solo con MFOC:
Ataque Fallido!
Jorge.kamlofsky@uai.edu.ar
CIBSI – 2013
51
Ataques Selectivos a Mifare Classic
Resumen | Introducción | Ataques a Mifare Classic | Implementacion | Conclusiones | Trabajos Futuros
Ataques selectivos
a Mifare
Atacando una tarjeta Clase C
(tipo Oyster) con MFCUK y MFOC:
- Con MFCUK se obtiene una clave.
- La clave obtenida se la ingresa
Como parámetro a MFOC.
Duración del ataque:
- MFCUK: 27 minutos.
- MFOC: 7,5 minutos.
Jorge.kamlofsky@uai.edu.ar
CIBSI – 2013
52
Ataques Selectivos a Mifare Classic
Resumen | Introducción | Ataques a Mifare Classic | Implementacion | Conclusiones | Trabajos Futuros
Conclusiones
Respecto del criptoanálisis a Mifare Classic:
Realizar ingeniería inversa sobre implementaciones de cifradores por HW puede ser económico y
posible, con los medios disponibles en un laboratorio estándar (Nohl, Evans, Plotz, Starbug).
Es buena idea atacar a los criptosistemas que mantienen sus algoritmos ocultos: Por algo será que
no los ponen a prueba.
Es buena idea verificar que los dispositivos a criptoanalizar cumplen los estándares y
recomendaciones: Donde no se cumplan, buscar allí vulnerabilidades.
.
Jorge.kamlofsky@uai.edu.ar
CIBSI – 2013
53
Ataques Selectivos a Mifare Classic
Resumen | Introducción | Ataques a Mifare Classic | Implementacion | Conclusiones | Trabajos Futuros
Conclusiones
Respecto de la implementación de los ataques a Mifare Classic:
Puede destacarse la conveniencia de realizar tres combinaciones de ataques, con las dos
herramientas utilizadas (MFCUK y MFOC), según las características de las configuraciones de claves:
1. En caso de tratarse de tarjetas en modo transporte (clase A), sólo con MFOC pueden obtenerse
las claves en 14 segundos.
2. Si se estuviese en presencia de un sistema con tarjetas con al menos una clave por default (clase
B), con MFOC pueden obtenerse la totalidad de las claves en 25 minutos.
3. En caso de tratarse de tarjetas que no presenten ninguna de sus claves por default (clase C), es
recomendable realizar un ataque mixto entre MFCUK para obtener primero una clave y luego con
ella realizar un ataque usando MFOC y
la opción -k e ingresando la clave obtenida como parámetro. Puede
obtenerse la totalidad de las claves en 35 minutos.
Jorge.kamlofsky@uai.edu.ar
CIBSI – 2013
54
Ataques Selectivos a Mifare Classic
Resumen | Introducción | Ataques a Mifare Classic | Implementacion | Conclusiones | Trabajos Futuros
Conclusiones
Respecto de la implementación de los ataques a Mifare Classic:
Sugerencias para atacar a cualquier sistema Mifare Classic:
Dado que la configuración de claves se mantiene constante dentro del sistema, para atacar a
cualquier tarjeta del sistema, conviene primero analizar una tarjeta del sistema:
- Con Libnfc: verificar que se trate de tarjetas Mifare.
- Correr MFOC y esperar respuesta.
- Si responde inmediatamente con la totalidad de las claves: Clase A
- Si responde luego de unos minutos con la totalidad de las claves: Clase B.
- Si responde con error: clase C
Luego de clasificadas las tarjetas según su configuración de clave, perpetrar el ataque a cualquier
tarjeta del sistema, según lo presentado.
Jorge.kamlofsky@uai.edu.ar
CIBSI – 2013
55
Ataques Selectivos a Mifare Classic
Resumen | Introducción | Ataques a Mifare Classic | Implementacion | Conclusiones | Trabajos Futuros
Trabajos Futuros
Realizar un trabajo en distintos niveles acerca de las contramedidas disponibles:
1. Medida: Ocultamiento.
Contramedida: Relevar los sistemas que poseen esta tecnología y publicarlo.
2. Grandes sistemas centralizados.
Algunos operadores eligen esto como alternativa para controlar el estado de las tarjetas. Si una de
ellas tiene saldo distinto al debido, pasarla a lista negra.
Contramedida: Uso de tarjetas Pirata – Clonación.
3. Cambio de las tarjetas Mifare Classic por Desfire (Mifare DES).
Contramedida: Se habla en los foros acerca del inminente quiebre de estas tarjetas.
Jorge.kamlofsky@uai.edu.ar
CIBSI – 2013
56
Ataques Selectivos a Mifare Classic
Fin...
¿Dudas?
¿Consutas?
¡Muchas gracias por su atención!
Pueden mandar mail con su consulta a:
Jorge.kamlofsky@uai.edu.ar
Jorge.kamlofsky@uai.edu.ar
CIBSI – 2013
57
Related documents
Consideraciones para el Desarrollo de Pagos Abiertos en los
Consideraciones para el Desarrollo de Pagos Abiertos en los
catálogo Enzocard
catálogo Enzocard
El estándar abierto para transporte
El estándar abierto para transporte
catálogo
catálogo
Diapositiva 1 - Observatorio TUI
Diapositiva 1 - Observatorio TUI
El sistema operativo Advantis Crypto Contactless
El sistema operativo Advantis Crypto Contactless
Libro Blanco NFC - Ministerio de Fomento
Libro Blanco NFC - Ministerio de Fomento
GESTION DE SISTEMAS DE PREPAGO EN TRANSPORTE PUBLICO
GESTION DE SISTEMAS DE PREPAGO EN TRANSPORTE PUBLICO
análisis de viabilidad para implementar la tecnología nfc aplicada a
análisis de viabilidad para implementar la tecnología nfc aplicada a
módulos de integración 2017
módulos de integración 2017
Fabricamos y comercializamos tarjetas Mifare en
Fabricamos y comercializamos tarjetas Mifare en
Curso de Formación MIFARE
Curso de Formación MIFARE
Emulaciones Mifare y Desfire de los Chips EMV
Emulaciones Mifare y Desfire de los Chips EMV
“Cifrador Caótico de Bloques Usando el Mapeo Logístico” TESIS
“Cifrador Caótico de Bloques Usando el Mapeo Logístico” TESIS
Conexiones Seguras para un Mundo Inteligente
Conexiones Seguras para un Mundo Inteligente
CPP 1108-2015 – TARJETAS INTELIGENTES SIN CONTACTO
CPP 1108-2015 – TARJETAS INTELIGENTES SIN CONTACTO