Zraniteľnosť v slovenských a českých kartách Mifare
Po získaní kľúčov možno zistiť z kariet aj osobné informácie – meno, prípadne číslo študenta pri ISIC a univerzitných kartách. Tento útok je so správnou anténou možný aj bezkontaktne, so štandardnou anténou na vzdialenosť 5 cm, existuje však riešenie so silnou anténou, kde sa hackerom podarilo načítať túto kartu až zo vzdialenosti desiatich metrov. Môžete sa tak napríklad prejsť po autobuse a zistiť zoznam ľudí, ktorí v ňom majú predplatné mesačné lístky.
Viac informácií vrátane technickej prezentácie a nástrojov na praktickú realizáciu útoku nájdete na adrese https://www.nethemba.com/research#zranitelnosti_v_mifare_kartach.
O tomto útoku sme sa porozprávali s jeho spoluautorom Pavlom Luptákom.
Rozhovor s Pavlom Luptákom o bezpečnosti slovenských kariet Mifare
ITN: Môžete nám opísať útok podrobnejšie? Ako sú karty Mifare Classic chránené a v čom spočíva ich zraniteľnosť?
PL: Bezpečnosť kariet Mifare Classic je postavená primárne na:
-unikátnom identifikátore (UID), ktorý je uložený na nultom bloku v nultom sektore a ako jediný sa nedá na karte modifikovať (možno ho však pomocou špeciálneho emulátora ako Proxmark 3 odemulovať)
-challenge response obojstrannej autentifikácie medzi čítačkou RFID a kartou a kompletne šifrovanou komunikáciou (pomocou proprietárnej šifry CRYPTO1)
Karty Mifare obsahujú množstvo implementačných zraniteľností, ktoré sa dajú zneužiť na rôzne druhy útoku (spomeniem aspoň najdôležitejšie – kryptograficky slabá proprietárna šifra CRYPTO1, slabý generátor náhodných čísel, ktorý umožňuje prelomenie challenge response autentifikácie, možnosť získať keystream pre bity parity atď.). Chýb je veľa a stále sa nejaké odhaľujú.
My sme implementovali nested offline útok, akademicky zdokumentovaný v kapitole 4.4 v dokumente http://www.cs.ru.nl/~petervr/papers/grvw_2009_pickpocket.pdf. Tento útok sme teda nevymysleli, len ho prakticky implementovali a ako prví zverejnili.
ITN: Vyzerá to tak, že si niekto zase na kolene vyvinul vlastnú šifru a myslel si, že jej utajením docieli bezpečnosť…
PL: Áno, žiaľ, je to tak. Stojí za tým spoločnosť NXP, ktorá uvedenú šifru CRYPTO1 špeciálne hardvérovo implementovala. Ak ste teda boli napríklad výrobcom čítačiek Mifare, na to, aby ste mohli šifrovať CRYPTO1, museli ste si od NXP kúpiť špeciálny čip, ktorý CRYPTO1 ovládal. Ešte donedávna neexistovala softvérová implementácia uvedenej šifry. Momentálne už existuje – z bezpečnostných dôvodov bola zverejnená kompletne anonymne – http://code.google.com/p/crapto1/.
Útok na Mifare Classic je pekná demonštrácia toho, že vymýšľať a implementovať vlastné šifry nie je dobrý nápad. Spoločnosť NXP sa z toho poučila a nové bezpečnejšie karty Mifare DESFire používajú 3DES a AES.
ITN: Bol o tejto zraniteľnosti pred zverejnením niekto informovaný?
PL: Áno. Priamo hlavný dodávateľ uvedeného riešenia, firma EMTEST, a. s., pred dvoma mesiacmi, presne 24. augusta 2009.
ITN: Existuje možnosť ochrany pred týmito útokmi?
PL: Samozrejme. Jediné skutočne bezpečné riešenie je uvedené zraniteľné karty kompletne stiahnuť a nahradiť novými bezpečnejšími (ako napr. Mifare DESFire), o ktorých zraniteľnostiach zatiaľ nič nevieme. Vzhľadom na to, že ide o veľmi nákladné riešenie (pretože okrem kompletnej výmeny kariet je potrebný nový softvér v čítačkách, prípadne staré čítačky nahradiť novými), navrhli sme dočasné bezpečnostné riešenia (zviazanie karty UID s pasažierom, overovanie platnosti karty UID, digitálne podpisovanie obsahu, decrement counter riešenie), ktoré karty chránia minimálne proti neautorizovanej modifikácii. Nechránia ich však proti získaniu kľúčov a kompletnému načítaniu obsahu – na to treba použiť bezpečnejšie karty.
ITN: Čo môže na Slovensku a v Čechách prípadný útočník docieliť zneužitím týchto útokov?
PL: Môže danú kartu kompletne načítať (v prípade fyzickej blízkosti cestujúcich vo verejných dopravných prostriedkov možno získať kompletnú kópiu čipovej karty ľubovoľného cestujúceho, to znamená všetky informácie o ňom, uložené na karte vrátane krstného mena, priezviska, študentského čísla a pod.).
Môže modifikovať ľubovoľný sektor na karte (okrem nultého read-only sektora), a teda upraviť prípadný kredit na karte, meno vlastníka alebo iné citlivé informácie. Môže vytvoriť 99,6-percentný klon karty (okrem nultého bloku v nultom sektore). Môže vytvoriť stopercentný klon karty (vrátane nultého bloku v nultom sektore) kompletnou emuláciou všetkých sektorov pomocou zariadenia Proxmark III.
ITN: Zaoberáte sa aj bezpečnosťou slovenských biometrických pasov. V akom stave je tento projekt. Máme sa začať báť? 🙂
PL: Momentálne hľadáme oficiálnu čítačku RFID slovenských biometrických pasov, aby sme overili, ako detailne overuje bezpečnosť biometrických pasov a či možno toto overovanie nejakým spôsobom obísť.
Slovenské biometrické pasy patria medzi tie bezpečnejšie – používajú Active Authentication, takže niektoré informácie, ako napríklad odtlačok prsta, sa jednoducho nedajú prečítať a je potrebný kľúč, ktorý vlastní len ich vydavateľ. Teoreticky možno tento kľúč získať útokom cez bočné kanály. Podobne sa dá vytvoriť nedokonalý klon pasu, ktorý tieto informácie nebude mať zahrnuté – otázne je, ako sa k nemu postavia oficiálne čítačky.
V každom prípade všetky iné osobné informácie, ktoré sú na pase aj vytlačené, možno zo zatvoreného pasu kompletne prečítať (napríklad JPEG s fotografiou, dátum vydania a pod.) – stačí na to lacná čítačka RFID ISO14443A za 30 EUR a znalosť kódu MRZ, ktorý je buď fyzicky vytlačený na predposlednej strane pasu, alebo sa dá pri znalosti čísla pasu, dátumu narodenia držiteľa pasu a dátumu exspirácie pasu vypočítať.
ITN: Živíte sa penetračnými testami. Aký je podľa vás stav bezpečnosti na Slovensku?
PL: Ako vidíte, zlý. Pre bežné slovenské spoločnosti je bezpečnosť obyčajne až druhoradá. Preventívna bezpečnosť veľmi nefunguje – väčšina spoločností bezpečnosť začína riešiť až po úniku a zneužití informácií, alebo ak sa ich to priamo dotkne. To sa týka aj čipových kariet Mifare Classic. Zraniteľnosti týchto kariet sú známe už viac ako dva roky, napriek tomu to nikto na Slovensku (a ani vo svete) nerieši. Presne tento typ karty bol kompromitovaný pred vyše rokom v Londýne (dopravné karty Oyster). Napriek tomu nikto na Slovensku sa z toho nepoučil a rovnaké zraniteľné karty ako v Londýne sa naďalej používajú. Z tohto dôvodu si myslím, že treba zverejňovať praktické proof-of-concept implementácie uvedených útokov. Veľakrát totiž predstavujú jediný silný impulz, ako nahradiť zraniteľnú technológiu bezpečnejšou.
27.10.2009 / Za ITNEWS.SK sa rozprával: J.Bednar
Technická prezentácia Mifare Classic zraniteľností (v angličtine)
A video demonstration of an attack on an access control system (our own, in fact!)
Klon karty vyjde na pár eur
BRATISLAVA. Na prelomenie bezpečnosti čipových kariet stačí odborníkovi zariadenie za pár eur. Chyba otvára cestu k údajom tisícov ľudí a umožňuje podvodníkom cestovať zadarmo.
Na vyklonovanie alebo zmenu čipovej karty stačí čítačka takýchto kariet – je legálna, dá sa kúpiť v internetových obchodoch už za tridsať eur. Softvér na prelomenie kľúčov chrániacich kartu sprístupnil P. Lupták – stiahnuť sa dá zadarmo.
S pomocou týchto kľúčov potom možno na rovnakej čítačke vyrábať kópie karty alebo údaje na karte zmeniť