mifare-story - IME-USP

Сomentários

Transcrição

mifare-story - IME-USP
A História do MIFARE Classic
Wellington Baltazar de Souza
Instituto de Matemática e Estatı́stica
Laboratório de Segurança de Dados
5 de Maio de 2011
Wellington Baltazar de Souza
A História do MIFARE Classic
Introdução Definições Ataques Conclusões
Agenda
1
Introdução
Apresentação
Restrições
2
Definições
RFID e Cartões Inteligentes
Variantes
O MIFARE Classic
3
Ataques
Fraquezas e Ataques
Repercussão
4
Conclusões
Conclusões
Referências
Perguntas
Wellington Baltazar de Souza
A História do MIFARE Classic
Introdução Definições Ataques Conclusões
Apresentação Restrições
O cartão MIFARE Classic
Alguns Detalhes
Introduzido no mercado em 1994 pela Philips (hoje NXP
Semiconductors);
É um dos Cartões Inteligentes sem contato mais utilizados no
mundo (3,5 bilhoes produzidos, 200 milhões em uso);
Utiliza RFID (Radio Frequence Identification);
Em 2008 foram publicados sérios problemas de segurança;
Devemos levar em conta
Antes de considerar os ataques que minaram a confiança do
cartão MIFARE Classic;
Considerar para que ele foi projetado (cartão sem contato
RFID)
Wellington Baltazar de Souza
A História do MIFARE Classic
Introdução Definições Ataques Conclusões
Apresentação Restrições
Projetos de Software
Boas práticas em projetos de software
Levantamento de requisitos primeiro momento;
Tecnologia e Implementação segundo momento.
Mas também faz parte do Levantamento de Requisitos
Avaliação de riscos de segurança e como influenciam
Medidas de segurança dentro do sistema;
Escolha de tecnologias e produtos.
Wellington Baltazar de Souza
A História do MIFARE Classic
Introdução Definições Ataques Conclusões
Apresentação Restrições
Projetos de Software
Mas com Cartões Inteligentes e RFID ...
As funcionalidades passı́veis de implementação podem ser
fortemente limitadas por recursos;
Talvez exista apenas uma abordagem técnica viável do ponto
de vista de negócio.
Mesmo que haja mais que uma, devemos avaliar riscos e
possı́veis medidas de contorno via back-office ou processos
humanos.
MIFARE foi Considerado Adequado
Durante muitos anos, foi considerado adequado;
Tinha um compromisso equilibrado entre funcionalidade,
velocidade, segurança e custo.
Wellington Baltazar de Souza
A História do MIFARE Classic
Introdução Definições Ataques Conclusões
Apresentação Restrições
Projetos de Software
Conclusão Errônea?
Publicações (de Koning Gans et al.; Nohl et al., 2008) e
(Courtois, 2009; Garcia et al., 2009) expõe as vulnerabilidades
de segurança;
Confiança ao MIFARE Classic foi minada;
É difı́cil argumentar que o sistema é tão seguro quanto os
projetistas esperavam ser;
Considerar que foi criado para caber em smart cards usando
RFID.
Wellington Baltazar de Souza
A História do MIFARE Classic
Introdução Definições Ataques Conclusões
RFID e Cartões Inteligentes Variantes O MIFARE Classic
Diferenças
RFID = Cartões Inteligentes?
Existe uma confusão ao definir o que é um cartão inteligente e
o que é um RFID;
Terminologia vem de diferentes setores da indústria que tem
produtos com caracterı́sticas que se sobrepõem;
RFID = alguma coisa que se comunica e se identifica por
rádio-frequência;
Não significa tag pequena que associamos com o nome;
Não implica que é seguro.
Wellington Baltazar de Souza
A História do MIFARE Classic
Introdução Definições Ataques Conclusões
RFID e Cartões Inteligentes Variantes O MIFARE Classic
RFID
Exemplos de RFID
Radar de Identificação Amigo ou Inimigo (primitivo);
Celular pode ser considerado como um RFID de longo alcance
muito sofisticado.
Tipos de RFID
Ativo: Possui fonte de alimentação e transmissores;
Passivo: Utilizam campo eletromagnético de um leitor para
alimentação em uma certa distancia.
Wellington Baltazar de Souza
A História do MIFARE Classic
Introdução Definições Ataques Conclusões
RFID e Cartões Inteligentes Variantes O MIFARE Classic
Cartões Inteligentes
Cartões Chipados
Os cartões inteligentes como o nome sugere são cartões que
podem ser usados de ”forma inteligente”.
Cartão de Contato: o cartão será inserido em um leitor que
faz o contato fı́sico com a placa dourada do cartão;
Os cartões mais sofisticados possuem resistência à ataques,
micro-controlados, de modo geral são considerados cartões
inteligentes;
A classificação de outros cartões com chip como
”inteligente”é mais subjetiva;
Cartão sem contato: é colocado na proximidade de um leitor,
sendo alimentado e se comunica através do campo
eletromagnético;
O cartão chipado sem contato e RFID são da mesma famı́lia.
Wellington Baltazar de Souza
A História do MIFARE Classic
Introdução Definições Ataques Conclusões
RFID e Cartões Inteligentes Variantes O MIFARE Classic
Requisitos
RFID, Cartões Inteligentes
Os requisitos de segurança também variam de acordo com as
suas diferentes aplicações;
Proteção criptográfica pode nem sempre ser necessário:
RFID passivas que simplesmente transmitir seu ID;
Ex: Controle de Estoque.
Alguns casos necessitam de mecanismos de segurança mais
robustos:
Questões de privacidade;
Não repúdio;
Não permitir clonagem (unclonability).
Wellington Baltazar de Souza
A História do MIFARE Classic
Introdução Definições Ataques Conclusões
RFID e Cartões Inteligentes Variantes O MIFARE Classic
ID/Tag Simples
Caracterı́sticas
É o membro mais simples da famı́lia;
A propriedade de segurança é o ID que é somente leitura e
único em dispositivos legı́timos;
Fácil de escutar a transmissão e replicá-lo através de um
emulador ou ID/Tag que permite o controle do campo ID;
Wellington Baltazar de Souza
A História do MIFARE Classic
Introdução Definições Ataques Conclusões
RFID e Cartões Inteligentes Variantes O MIFARE Classic
ID/Tag com Memória
Caracterı́sticas
Normalmente usada em cartões que têm:
ID único (como o ID/Tag Simples);
Memória com permissão de leitura/escrita;
Não há segurança no protocolo:
É possı́vel ler o conteúdo de dados e / ou utilizar as
informações em um emulador ou clone da plataforma;
Se o emitente acrescenta proteção de integridade dos dados
(MAC), o atacante pode ser impedido de modificar dados;
Wellington Baltazar de Souza
A História do MIFARE Classic
Introdução Definições Ataques Conclusões
RFID e Cartões Inteligentes Variantes O MIFARE Classic
ID/Tag com Memória Segura
Caracterı́sticas
Usada em cartões que implementam protocolos criptográficos
para controle de acesso da memória:
Normalmente o ID/tag e leitor se autenticam mutuamente
antes de permitir o acesso à memória;
Geralmente com transferência de dados criptografados com
chaves de sessão;
Algumas dividem a memória em partições menores com
diferentes chaves permitindo o suporte a multi-aplicação, com
diferentes chaves atribuı́das a diferentes fornecedores de
aplicações;
Wellington Baltazar de Souza
A História do MIFARE Classic
Introdução Definições Ataques Conclusões
RFID e Cartões Inteligentes Variantes O MIFARE Classic
ID/Tag com Microcontrolador Segura
Caracterı́sticas
Este é o high-end do grupo;
Com um microcontrolador, você pode apenas armazenar
dados e também de carregar funcionalidades personalizadas;
Existem padrões maduros para a gestão de segurança;
Os produtos mais avançados incluem co-processadores para
criptografia simétrica e assimétrica, criptografia e verificação e
assinatura.
Wellington Baltazar de Souza
A História do MIFARE Classic
Introdução Definições Ataques Conclusões
RFID e Cartões Inteligentes Variantes O MIFARE Classic
Faixa Genérica entre Cartões Inteligentes e RFID
Wellington Baltazar de Souza
A História do MIFARE Classic
Introdução Definições Ataques Conclusões
RFID e Cartões Inteligentes Variantes O MIFARE Classic
Aplicações do MIFARE Classic
O que o promete
Utilizado em diversos sistemas do mundo real como uma
ID/Tag Memória Segura;
Afirma que possui as funcionalidades necessárias para a classe
de produto:
Rápido o suficiente para aplicações exigentes;
Custo relativamente Baixo.
O que muda?
O produto agora deve ser considerado como um cartão
simples de memória não garantida;
Isso não significa automaticamente que é inútil, mas a
aplicação que o produto diz se destinar precisa ser revisto.
Wellington Baltazar de Souza
A História do MIFARE Classic
Introdução Definições Ataques Conclusões
RFID e Cartões Inteligentes Variantes O MIFARE Classic
Caracterı́sticas do MIFARE Classic
Caracterı́sticas
Comunicação baseada no padrão ISO 14443 (ISO/IEC 14443
2008);
Algumas partes do protocolo de comunicação implementados
fora do padrão pela NXP;
A memória é dividida em blocos de dados e agrupados em
setores;
Cada setor contém duas chaves secretas de 48 bits
compartilhadas com o leitor;
Wellington Baltazar de Souza
A História do MIFARE Classic
Introdução Definições Ataques Conclusões
RFID e Cartões Inteligentes Variantes O MIFARE Classic
Layout de um cartão MIFARE 4K
Wellington Baltazar de Souza
A História do MIFARE Classic
Introdução Definições Ataques Conclusões
RFID e Cartões Inteligentes Variantes O MIFARE Classic
Caracterı́sticas do MIFARE Classic
Caracterı́sticas
Autenticação mútua de 3 passos com base no protocolo ISO
9798-2 (ISO/IEC 9798-2, 1999), com alguns componentes
proprietários;
Após a identificação do UID, o cartão e o leitor se autenticam
entre si, usando nonces de 32 bits gerados por um PRNG;
Após a autenticação a comunicação entre o leitor e o cartão é
cifrada;
Na autenticação e cifragem usa o algoritmo CRYPTO1, uma
cifra proprietária da NXP que se baseia em um LFSR (Linear
Feedback Shift Register)
Wellington Baltazar de Souza
A História do MIFARE Classic
Introdução Definições Ataques Conclusões
RFID e Cartões Inteligentes Variantes O MIFARE Classic
GSM e MIFARE Classic
Problema
É um projeto bastante antigo, de 1994, que logo se tornou um
produto de sucesso;
Outro cartão de sucesso parecido foi o SIM usado no GSM,
mais ou menos da mesma época.
Wellington Baltazar de Souza
A História do MIFARE Classic
Introdução Definições Ataques Conclusões
RFID e Cartões Inteligentes Variantes O MIFARE Classic
Pontos de fraqueza no MIFARE Classic
Caracterı́sticas
O tamanho da chave do MIFARE é bem menor que o GSM;
Telefonia celular na época era muito sem muita preocupação
com privacidade;
A indústria ainda sofria ataques no sistema analógico,
roubando o destaque;
Ainda sim, tentaram um design robusto resistente a ataque,
cerca de 280x mais resistente que o MIFARE Classic;
A cifra de bloco DES, na época com 18 anos de idade e
chaves com 56 bits precisava 28x > MIFARE Classic;
Pode não ser tão simples concluir que o tamanho da chave do
MIFARE Classic teve uma escolha de design ruim;
É certo que o produto nunca teve intenção de alta segurança
e/ou sistemas de proteção de valor elevado.
Wellington Baltazar de Souza
A História do MIFARE Classic
Introdução Definições Ataques Conclusões
RFID e Cartões Inteligentes Variantes O MIFARE Classic
Pontos de fraqueza no MIFARE Classic
Caracterı́sticas
Quebra do DES em pouco mais de 22h no final da década de
90 em um esforço patrocinado pela Electronic Frontier
Foundation;
Se em 2000 houvesse uma revisão no MIFARE Classic
provavelmente diria que o produto era vulnerável a ataques de
força bruta, se ele tornasse público e um cracker dedicado
fosse implementado;
Princı́pio de Kerckhoffs, um criptosistema não deve confiar no
sigilo do algoritmo para a sua segurança;
Segurança por obscuridade é amplamente considerada um
princı́pio falho para sistemas de segurança.
Wellington Baltazar de Souza
A História do MIFARE Classic
Introdução Definições Ataques Conclusões
RFID e Cartões Inteligentes Variantes O MIFARE Classic
Pontos de fraqueza no MIFARE Classic
Caracterı́sticas
É amplamente aceito que um algoritmo fechado um dia
poderá vazar pelos colaboradores ou será recuperado por
engenharia reversa;
Por volta de 2004 houve rumores de vazamento de
informações confidenciais ou engenharia reversa para
fabricantes asiáticos não autorizados;
Existia uma forte suspeita que o produto fora recuperado por
engenharia reversa para fins comerciais, mas esta informação
não veio a público.
Wellington Baltazar de Souza
A História do MIFARE Classic
Introdução Definições Ataques Conclusões
Fraquezas e Ataques Repercussão
Fraquezas do MIFARE Classic
Pontos Fracos
É amplamente aceito que um algoritmo fechado um dia
poderá vazar pelos colaboradores ou será recuperado por
engenharia reversa;
Por volta de 2004 houve rumores de vazamento de
informações confidenciais ou engenharia reversa para
fabricantes asiáticos não autorizados;
Existia uma forte suspeita que o produto fora recuperado por
engenharia reversa para fins comerciais, mas esta informação
não veio a público.
Wellington Baltazar de Souza
A História do MIFARE Classic
Introdução Definições Ataques Conclusões
Fraquezas e Ataques Repercussão
Fraquezas do MIFARE Classic
Pontos Fracos
Apesar de ser mantido em segredo pela NXP, o MIFARE
Classic foi aberto publicamente após o trabalho de dois
grupos de pesquisadores, de forma independente, (Nohl et al.,
2007) e (de Koning Gans et al., 2008);
Nohl et al.(2007) fez engenharia reversa reconstruindo o CI
com ajuda de um Microscópio;
de Koning Gans et al.(2008) fez engenharia reversa
espionando a comunicação entre o cartão e o leitor;
Wellington Baltazar de Souza
A História do MIFARE Classic
Introdução Definições Ataques Conclusões
Fraquezas e Ataques Repercussão
Fraquezas do MIFARE Classic
Pontos Fracos
Apesar dos nonces serem de 32 bits, o PRNG foi concebido
para usar LFSR com estado de 16 bits;
A geração é redefinida para um estado conhecido do LFSR,
sendo fácil prever e controlar valores ”aleatórios”;
Como era público que a cifra CRYPTO1 usava chaves de 48
bits, foi possı́vel fazer um projeto de hardware dedicado para
recuperar a chave por força bruta;
Além disso, a CRYPTO1 apresentou falhas estruturais que
levaram a otimizações no ataque exaustivo de forma bastante
eficiente para encontrar as chaves (Courtois et al., 2008;
Garcia et al., 2008).
Wellington Baltazar de Souza
A História do MIFARE Classic
Introdução Definições Ataques Conclusões
Fraquezas e Ataques Repercussão
Fraquezas do MIFARE Classic
Pontos Fracos
Apesar dos nonces serem de 32 bits, o PRNG foi concebido
para usar LFSR com estado de 16 bits;
A geração é redefinida para um estado conhecido do LFSR,
sendo fácil prever e controlar valores ”aleatórios”;
Como era público que a cifra CRYPTO1 usava chaves de 48
bits, foi possı́vel fazer um projeto de hardware dedicado para
recuperar a chave por força bruta;
Além disso, a CRYPTO1 apresentou falhas estruturais que
levaram a otimizações no ataque exaustivo de forma bastante
eficiente para encontrar as chaves (Courtois et al., 2008;
Garcia et al., 2008).
Wellington Baltazar de Souza
A História do MIFARE Classic
Introdução Definições Ataques Conclusões
Fraquezas e Ataques Repercussão
Repercussão
Repercussão
Os cartões inteligentes, etiquetas RFID e segurança tornou-se
notı́cia de primeira página;
O esforço de engenharia reversa pelas duas equipes fizeram
acender debates éticos;
Um dos argumentos era que foi equivalente invadir e roubar
documentos confidenciais da NXP;
Se a investigação tem objetivo de descobrir coisas novas,
então o máximo que a poderiam fazer era descobrir o que era
conhecido para os designers da NXP em 1994;
Com conhecimento adquirido a indústria poderia projetar
dispositivos mais resistentes;
No entanto, o ponto de vista preferido é que é muito difı́cil
manter um segredo do projeto.
Wellington Baltazar de Souza
A História do MIFARE Classic
Introdução Definições Ataques Conclusões
Fraquezas e Ataques Repercussão
Repercussão
Por que chamou a atenção
Na época ocorria a implantação de um novo sistema de
transporte na Holanda (OV-Chipkaart);
Virou problema polı́tico Top Nacional;
Os investigadores também postaram vı́deo explorando as
vulnerabilidades na internet, despertando ainda mais o
interesse público.
Wellington Baltazar de Souza
A História do MIFARE Classic
Introdução Definições Ataques Conclusões
Fraquezas e Ataques Repercussão
Repercussão
Resultados
O Ministério Holandês de Transportes solicitou uma avaliação
técnica de segurança para TLS (Trans Link Systems);
Por sua vez, o TLS encomendou ao TNO, um centro de
pesquisa holandês independente amplamente respeitado para
realizar este trabalho e produzir um relatório (TNO, 2008),
que de acordo com os crı́ticos minimizou a gravidade e
urgência da situação.
Além disso o Ministério dos Transportes decidiu usar um
perito independente para realizar a revisão do estudo realizado
pelo TNO.
Wellington Baltazar de Souza
A História do MIFARE Classic
Introdução Definições Ataques Conclusões
Fraquezas e Ataques Repercussão
Repercussão
Resultados
A grande gama de ataques (a maioria deles foram
demonstrados na prática) foi possı́vel após a liberação do
relatório do TNO.
Interagir com um leitor e um catão, espionando a
comunicação;
Integarir com um único cartão para realizar diversos tipos de
ataque:
Reproduzir/transmitir informações;
Modificar dados cifrados;
Recuperar Informações das chaves;
Clonar o cartão.
Wellington Baltazar de Souza
A História do MIFARE Classic
Introdução Definições Ataques Conclusões
Fraquezas e Ataques Repercussão
Repercussão
Resultados
Quanto ao segundo ponto é importante salientar que o
sistema está em um estado frágil;
Enquanto isso pode existir indefinidamente sem adversos, mas
há um risco de um evento que poderia prejudicar
drasticamente as medidas de segurança do sistema;
Por exemplo, uma contra-medida da segurança residual do
MIFARE é que o UID é imutável que impedir a clonagem de
um cartão legı́timo.
No entanto, emuladores podem emular o UID e entusiastas
podem andar com estes equipamentos, mas em pequeno
número;
Wellington Baltazar de Souza
A História do MIFARE Classic
Introdução Definições Ataques Conclusões
Fraquezas e Ataques Repercussão
Repercussão
Resultados
Parece que o propósito de um NFC phone relay não está
muito longe que ser uma ameaça a qualquer sistema de
contato, e não apenas MIFARE Classic;
Além disso, se algoritmos de cifra de fluxo são implantados
usando mecanismos de integridade de dados não
criptográficos (como CRCs ao invés de MACs), assim ataques
ativos parecem ser possı́veis, onde os dados do cartão podem
ser modificados usando um phone relay e algum tipo de
software bit-flipping relay.
Wellington Baltazar de Souza
A História do MIFARE Classic
Introdução Definições Ataques Conclusões
Conclusões Referências Perguntas
Conclusões
O cartão MIFARE Classic e sua segurança tem recebido muita
atenção recentemente;
Este artigo pode ser visto talvez como a previsão do fim do
MIFARE Classic;
O projeto do cartão é bastante antigo, de 1994. Logo se
tornou um procuto de sucesso, embora podemos concluir que
os recuros de segurança do MIFARE Classic foram resultados
de um projeto de ”más escolhas”;
Pode-se argumentar, que o produto nunca teve a intenção de
alta segurança ou proteção de alto valor;
Wellington Baltazar de Souza
A História do MIFARE Classic
Introdução Definições Ataques Conclusões
Conclusões Referências Perguntas
Conclusões
Isto demonstra a necessidade de uma profunda análise de risco
de qualquer sistema que faz uso de cartões inteligentes e
etiquetas RFID, para garantir que é suficiente para o uso
pretendido;
Se existem outras deficiências no sistema, independentemente
da tecnologia e algoritmos.
Wellington Baltazar de Souza
A História do MIFARE Classic
Introdução Definições Ataques Conclusões
Conclusões Referências Perguntas
Referências
[Mayes, Keith E Cid, Carlos, 2010]
The MIFARE Classic story
Information Security Group, Smart Card Centre, Royal Halloway,
University of London.
[de Koning Gans, Gerhard E Hoepman, Jaap-Henk E Garcia,
Flavio, 2008]
A Practical Attack on the MIFARE Classic.
Springer Berlin Heidelberg.
[Nohl, Karsten E Evans, David E Starbug, S E Plotz, Henryk,
2008]
Reverse-Engineering a Cryptographic RFID Tag.
USENIX Association.
Wellington Baltazar de Souza
A História do MIFARE Classic
Introdução Definições Ataques Conclusões
Conclusões Referências Perguntas
Referências
[Garcia, Flavio E de Koning Gans, Gerhard E Muijrers, Ruben E
van Rossum, Peter E Verdult, Roel E Schreur, Ronny E Jacobs,
Bart, 2008]
Dismantling MIFARE Classic.
ESORICS 2008.
[Kerckhoffs, Auguste, 1883]
La cryptographie militaire.
Wellington Baltazar de Souza
A História do MIFARE Classic
Introdução Definições Ataques Conclusões
Conclusões Referências Perguntas
Perguntas?
Wellington Baltazar de Souza
A História do MIFARE Classic

Documentos relacionados