mifare-story - IME-USP
Transcrição
mifare-story - IME-USP
A História do MIFARE Classic Wellington Baltazar de Souza Instituto de Matemática e Estatı́stica Laboratório de Segurança de Dados 5 de Maio de 2011 Wellington Baltazar de Souza A História do MIFARE Classic Introdução Definições Ataques Conclusões Agenda 1 Introdução Apresentação Restrições 2 Definições RFID e Cartões Inteligentes Variantes O MIFARE Classic 3 Ataques Fraquezas e Ataques Repercussão 4 Conclusões Conclusões Referências Perguntas Wellington Baltazar de Souza A História do MIFARE Classic Introdução Definições Ataques Conclusões Apresentação Restrições O cartão MIFARE Classic Alguns Detalhes Introduzido no mercado em 1994 pela Philips (hoje NXP Semiconductors); É um dos Cartões Inteligentes sem contato mais utilizados no mundo (3,5 bilhoes produzidos, 200 milhões em uso); Utiliza RFID (Radio Frequence Identification); Em 2008 foram publicados sérios problemas de segurança; Devemos levar em conta Antes de considerar os ataques que minaram a confiança do cartão MIFARE Classic; Considerar para que ele foi projetado (cartão sem contato RFID) Wellington Baltazar de Souza A História do MIFARE Classic Introdução Definições Ataques Conclusões Apresentação Restrições Projetos de Software Boas práticas em projetos de software Levantamento de requisitos primeiro momento; Tecnologia e Implementação segundo momento. Mas também faz parte do Levantamento de Requisitos Avaliação de riscos de segurança e como influenciam Medidas de segurança dentro do sistema; Escolha de tecnologias e produtos. Wellington Baltazar de Souza A História do MIFARE Classic Introdução Definições Ataques Conclusões Apresentação Restrições Projetos de Software Mas com Cartões Inteligentes e RFID ... As funcionalidades passı́veis de implementação podem ser fortemente limitadas por recursos; Talvez exista apenas uma abordagem técnica viável do ponto de vista de negócio. Mesmo que haja mais que uma, devemos avaliar riscos e possı́veis medidas de contorno via back-office ou processos humanos. MIFARE foi Considerado Adequado Durante muitos anos, foi considerado adequado; Tinha um compromisso equilibrado entre funcionalidade, velocidade, segurança e custo. Wellington Baltazar de Souza A História do MIFARE Classic Introdução Definições Ataques Conclusões Apresentação Restrições Projetos de Software Conclusão Errônea? Publicações (de Koning Gans et al.; Nohl et al., 2008) e (Courtois, 2009; Garcia et al., 2009) expõe as vulnerabilidades de segurança; Confiança ao MIFARE Classic foi minada; É difı́cil argumentar que o sistema é tão seguro quanto os projetistas esperavam ser; Considerar que foi criado para caber em smart cards usando RFID. Wellington Baltazar de Souza A História do MIFARE Classic Introdução Definições Ataques Conclusões RFID e Cartões Inteligentes Variantes O MIFARE Classic Diferenças RFID = Cartões Inteligentes? Existe uma confusão ao definir o que é um cartão inteligente e o que é um RFID; Terminologia vem de diferentes setores da indústria que tem produtos com caracterı́sticas que se sobrepõem; RFID = alguma coisa que se comunica e se identifica por rádio-frequência; Não significa tag pequena que associamos com o nome; Não implica que é seguro. Wellington Baltazar de Souza A História do MIFARE Classic Introdução Definições Ataques Conclusões RFID e Cartões Inteligentes Variantes O MIFARE Classic RFID Exemplos de RFID Radar de Identificação Amigo ou Inimigo (primitivo); Celular pode ser considerado como um RFID de longo alcance muito sofisticado. Tipos de RFID Ativo: Possui fonte de alimentação e transmissores; Passivo: Utilizam campo eletromagnético de um leitor para alimentação em uma certa distancia. Wellington Baltazar de Souza A História do MIFARE Classic Introdução Definições Ataques Conclusões RFID e Cartões Inteligentes Variantes O MIFARE Classic Cartões Inteligentes Cartões Chipados Os cartões inteligentes como o nome sugere são cartões que podem ser usados de ”forma inteligente”. Cartão de Contato: o cartão será inserido em um leitor que faz o contato fı́sico com a placa dourada do cartão; Os cartões mais sofisticados possuem resistência à ataques, micro-controlados, de modo geral são considerados cartões inteligentes; A classificação de outros cartões com chip como ”inteligente”é mais subjetiva; Cartão sem contato: é colocado na proximidade de um leitor, sendo alimentado e se comunica através do campo eletromagnético; O cartão chipado sem contato e RFID são da mesma famı́lia. Wellington Baltazar de Souza A História do MIFARE Classic Introdução Definições Ataques Conclusões RFID e Cartões Inteligentes Variantes O MIFARE Classic Requisitos RFID, Cartões Inteligentes Os requisitos de segurança também variam de acordo com as suas diferentes aplicações; Proteção criptográfica pode nem sempre ser necessário: RFID passivas que simplesmente transmitir seu ID; Ex: Controle de Estoque. Alguns casos necessitam de mecanismos de segurança mais robustos: Questões de privacidade; Não repúdio; Não permitir clonagem (unclonability). Wellington Baltazar de Souza A História do MIFARE Classic Introdução Definições Ataques Conclusões RFID e Cartões Inteligentes Variantes O MIFARE Classic ID/Tag Simples Caracterı́sticas É o membro mais simples da famı́lia; A propriedade de segurança é o ID que é somente leitura e único em dispositivos legı́timos; Fácil de escutar a transmissão e replicá-lo através de um emulador ou ID/Tag que permite o controle do campo ID; Wellington Baltazar de Souza A História do MIFARE Classic Introdução Definições Ataques Conclusões RFID e Cartões Inteligentes Variantes O MIFARE Classic ID/Tag com Memória Caracterı́sticas Normalmente usada em cartões que têm: ID único (como o ID/Tag Simples); Memória com permissão de leitura/escrita; Não há segurança no protocolo: É possı́vel ler o conteúdo de dados e / ou utilizar as informações em um emulador ou clone da plataforma; Se o emitente acrescenta proteção de integridade dos dados (MAC), o atacante pode ser impedido de modificar dados; Wellington Baltazar de Souza A História do MIFARE Classic Introdução Definições Ataques Conclusões RFID e Cartões Inteligentes Variantes O MIFARE Classic ID/Tag com Memória Segura Caracterı́sticas Usada em cartões que implementam protocolos criptográficos para controle de acesso da memória: Normalmente o ID/tag e leitor se autenticam mutuamente antes de permitir o acesso à memória; Geralmente com transferência de dados criptografados com chaves de sessão; Algumas dividem a memória em partições menores com diferentes chaves permitindo o suporte a multi-aplicação, com diferentes chaves atribuı́das a diferentes fornecedores de aplicações; Wellington Baltazar de Souza A História do MIFARE Classic Introdução Definições Ataques Conclusões RFID e Cartões Inteligentes Variantes O MIFARE Classic ID/Tag com Microcontrolador Segura Caracterı́sticas Este é o high-end do grupo; Com um microcontrolador, você pode apenas armazenar dados e também de carregar funcionalidades personalizadas; Existem padrões maduros para a gestão de segurança; Os produtos mais avançados incluem co-processadores para criptografia simétrica e assimétrica, criptografia e verificação e assinatura. Wellington Baltazar de Souza A História do MIFARE Classic Introdução Definições Ataques Conclusões RFID e Cartões Inteligentes Variantes O MIFARE Classic Faixa Genérica entre Cartões Inteligentes e RFID Wellington Baltazar de Souza A História do MIFARE Classic Introdução Definições Ataques Conclusões RFID e Cartões Inteligentes Variantes O MIFARE Classic Aplicações do MIFARE Classic O que o promete Utilizado em diversos sistemas do mundo real como uma ID/Tag Memória Segura; Afirma que possui as funcionalidades necessárias para a classe de produto: Rápido o suficiente para aplicações exigentes; Custo relativamente Baixo. O que muda? O produto agora deve ser considerado como um cartão simples de memória não garantida; Isso não significa automaticamente que é inútil, mas a aplicação que o produto diz se destinar precisa ser revisto. Wellington Baltazar de Souza A História do MIFARE Classic Introdução Definições Ataques Conclusões RFID e Cartões Inteligentes Variantes O MIFARE Classic Caracterı́sticas do MIFARE Classic Caracterı́sticas Comunicação baseada no padrão ISO 14443 (ISO/IEC 14443 2008); Algumas partes do protocolo de comunicação implementados fora do padrão pela NXP; A memória é dividida em blocos de dados e agrupados em setores; Cada setor contém duas chaves secretas de 48 bits compartilhadas com o leitor; Wellington Baltazar de Souza A História do MIFARE Classic Introdução Definições Ataques Conclusões RFID e Cartões Inteligentes Variantes O MIFARE Classic Layout de um cartão MIFARE 4K Wellington Baltazar de Souza A História do MIFARE Classic Introdução Definições Ataques Conclusões RFID e Cartões Inteligentes Variantes O MIFARE Classic Caracterı́sticas do MIFARE Classic Caracterı́sticas Autenticação mútua de 3 passos com base no protocolo ISO 9798-2 (ISO/IEC 9798-2, 1999), com alguns componentes proprietários; Após a identificação do UID, o cartão e o leitor se autenticam entre si, usando nonces de 32 bits gerados por um PRNG; Após a autenticação a comunicação entre o leitor e o cartão é cifrada; Na autenticação e cifragem usa o algoritmo CRYPTO1, uma cifra proprietária da NXP que se baseia em um LFSR (Linear Feedback Shift Register) Wellington Baltazar de Souza A História do MIFARE Classic Introdução Definições Ataques Conclusões RFID e Cartões Inteligentes Variantes O MIFARE Classic GSM e MIFARE Classic Problema É um projeto bastante antigo, de 1994, que logo se tornou um produto de sucesso; Outro cartão de sucesso parecido foi o SIM usado no GSM, mais ou menos da mesma época. Wellington Baltazar de Souza A História do MIFARE Classic Introdução Definições Ataques Conclusões RFID e Cartões Inteligentes Variantes O MIFARE Classic Pontos de fraqueza no MIFARE Classic Caracterı́sticas O tamanho da chave do MIFARE é bem menor que o GSM; Telefonia celular na época era muito sem muita preocupação com privacidade; A indústria ainda sofria ataques no sistema analógico, roubando o destaque; Ainda sim, tentaram um design robusto resistente a ataque, cerca de 280x mais resistente que o MIFARE Classic; A cifra de bloco DES, na época com 18 anos de idade e chaves com 56 bits precisava 28x > MIFARE Classic; Pode não ser tão simples concluir que o tamanho da chave do MIFARE Classic teve uma escolha de design ruim; É certo que o produto nunca teve intenção de alta segurança e/ou sistemas de proteção de valor elevado. Wellington Baltazar de Souza A História do MIFARE Classic Introdução Definições Ataques Conclusões RFID e Cartões Inteligentes Variantes O MIFARE Classic Pontos de fraqueza no MIFARE Classic Caracterı́sticas Quebra do DES em pouco mais de 22h no final da década de 90 em um esforço patrocinado pela Electronic Frontier Foundation; Se em 2000 houvesse uma revisão no MIFARE Classic provavelmente diria que o produto era vulnerável a ataques de força bruta, se ele tornasse público e um cracker dedicado fosse implementado; Princı́pio de Kerckhoffs, um criptosistema não deve confiar no sigilo do algoritmo para a sua segurança; Segurança por obscuridade é amplamente considerada um princı́pio falho para sistemas de segurança. Wellington Baltazar de Souza A História do MIFARE Classic Introdução Definições Ataques Conclusões RFID e Cartões Inteligentes Variantes O MIFARE Classic Pontos de fraqueza no MIFARE Classic Caracterı́sticas É amplamente aceito que um algoritmo fechado um dia poderá vazar pelos colaboradores ou será recuperado por engenharia reversa; Por volta de 2004 houve rumores de vazamento de informações confidenciais ou engenharia reversa para fabricantes asiáticos não autorizados; Existia uma forte suspeita que o produto fora recuperado por engenharia reversa para fins comerciais, mas esta informação não veio a público. Wellington Baltazar de Souza A História do MIFARE Classic Introdução Definições Ataques Conclusões Fraquezas e Ataques Repercussão Fraquezas do MIFARE Classic Pontos Fracos É amplamente aceito que um algoritmo fechado um dia poderá vazar pelos colaboradores ou será recuperado por engenharia reversa; Por volta de 2004 houve rumores de vazamento de informações confidenciais ou engenharia reversa para fabricantes asiáticos não autorizados; Existia uma forte suspeita que o produto fora recuperado por engenharia reversa para fins comerciais, mas esta informação não veio a público. Wellington Baltazar de Souza A História do MIFARE Classic Introdução Definições Ataques Conclusões Fraquezas e Ataques Repercussão Fraquezas do MIFARE Classic Pontos Fracos Apesar de ser mantido em segredo pela NXP, o MIFARE Classic foi aberto publicamente após o trabalho de dois grupos de pesquisadores, de forma independente, (Nohl et al., 2007) e (de Koning Gans et al., 2008); Nohl et al.(2007) fez engenharia reversa reconstruindo o CI com ajuda de um Microscópio; de Koning Gans et al.(2008) fez engenharia reversa espionando a comunicação entre o cartão e o leitor; Wellington Baltazar de Souza A História do MIFARE Classic Introdução Definições Ataques Conclusões Fraquezas e Ataques Repercussão Fraquezas do MIFARE Classic Pontos Fracos Apesar dos nonces serem de 32 bits, o PRNG foi concebido para usar LFSR com estado de 16 bits; A geração é redefinida para um estado conhecido do LFSR, sendo fácil prever e controlar valores ”aleatórios”; Como era público que a cifra CRYPTO1 usava chaves de 48 bits, foi possı́vel fazer um projeto de hardware dedicado para recuperar a chave por força bruta; Além disso, a CRYPTO1 apresentou falhas estruturais que levaram a otimizações no ataque exaustivo de forma bastante eficiente para encontrar as chaves (Courtois et al., 2008; Garcia et al., 2008). Wellington Baltazar de Souza A História do MIFARE Classic Introdução Definições Ataques Conclusões Fraquezas e Ataques Repercussão Fraquezas do MIFARE Classic Pontos Fracos Apesar dos nonces serem de 32 bits, o PRNG foi concebido para usar LFSR com estado de 16 bits; A geração é redefinida para um estado conhecido do LFSR, sendo fácil prever e controlar valores ”aleatórios”; Como era público que a cifra CRYPTO1 usava chaves de 48 bits, foi possı́vel fazer um projeto de hardware dedicado para recuperar a chave por força bruta; Além disso, a CRYPTO1 apresentou falhas estruturais que levaram a otimizações no ataque exaustivo de forma bastante eficiente para encontrar as chaves (Courtois et al., 2008; Garcia et al., 2008). Wellington Baltazar de Souza A História do MIFARE Classic Introdução Definições Ataques Conclusões Fraquezas e Ataques Repercussão Repercussão Repercussão Os cartões inteligentes, etiquetas RFID e segurança tornou-se notı́cia de primeira página; O esforço de engenharia reversa pelas duas equipes fizeram acender debates éticos; Um dos argumentos era que foi equivalente invadir e roubar documentos confidenciais da NXP; Se a investigação tem objetivo de descobrir coisas novas, então o máximo que a poderiam fazer era descobrir o que era conhecido para os designers da NXP em 1994; Com conhecimento adquirido a indústria poderia projetar dispositivos mais resistentes; No entanto, o ponto de vista preferido é que é muito difı́cil manter um segredo do projeto. Wellington Baltazar de Souza A História do MIFARE Classic Introdução Definições Ataques Conclusões Fraquezas e Ataques Repercussão Repercussão Por que chamou a atenção Na época ocorria a implantação de um novo sistema de transporte na Holanda (OV-Chipkaart); Virou problema polı́tico Top Nacional; Os investigadores também postaram vı́deo explorando as vulnerabilidades na internet, despertando ainda mais o interesse público. Wellington Baltazar de Souza A História do MIFARE Classic Introdução Definições Ataques Conclusões Fraquezas e Ataques Repercussão Repercussão Resultados O Ministério Holandês de Transportes solicitou uma avaliação técnica de segurança para TLS (Trans Link Systems); Por sua vez, o TLS encomendou ao TNO, um centro de pesquisa holandês independente amplamente respeitado para realizar este trabalho e produzir um relatório (TNO, 2008), que de acordo com os crı́ticos minimizou a gravidade e urgência da situação. Além disso o Ministério dos Transportes decidiu usar um perito independente para realizar a revisão do estudo realizado pelo TNO. Wellington Baltazar de Souza A História do MIFARE Classic Introdução Definições Ataques Conclusões Fraquezas e Ataques Repercussão Repercussão Resultados A grande gama de ataques (a maioria deles foram demonstrados na prática) foi possı́vel após a liberação do relatório do TNO. Interagir com um leitor e um catão, espionando a comunicação; Integarir com um único cartão para realizar diversos tipos de ataque: Reproduzir/transmitir informações; Modificar dados cifrados; Recuperar Informações das chaves; Clonar o cartão. Wellington Baltazar de Souza A História do MIFARE Classic Introdução Definições Ataques Conclusões Fraquezas e Ataques Repercussão Repercussão Resultados Quanto ao segundo ponto é importante salientar que o sistema está em um estado frágil; Enquanto isso pode existir indefinidamente sem adversos, mas há um risco de um evento que poderia prejudicar drasticamente as medidas de segurança do sistema; Por exemplo, uma contra-medida da segurança residual do MIFARE é que o UID é imutável que impedir a clonagem de um cartão legı́timo. No entanto, emuladores podem emular o UID e entusiastas podem andar com estes equipamentos, mas em pequeno número; Wellington Baltazar de Souza A História do MIFARE Classic Introdução Definições Ataques Conclusões Fraquezas e Ataques Repercussão Repercussão Resultados Parece que o propósito de um NFC phone relay não está muito longe que ser uma ameaça a qualquer sistema de contato, e não apenas MIFARE Classic; Além disso, se algoritmos de cifra de fluxo são implantados usando mecanismos de integridade de dados não criptográficos (como CRCs ao invés de MACs), assim ataques ativos parecem ser possı́veis, onde os dados do cartão podem ser modificados usando um phone relay e algum tipo de software bit-flipping relay. Wellington Baltazar de Souza A História do MIFARE Classic Introdução Definições Ataques Conclusões Conclusões Referências Perguntas Conclusões O cartão MIFARE Classic e sua segurança tem recebido muita atenção recentemente; Este artigo pode ser visto talvez como a previsão do fim do MIFARE Classic; O projeto do cartão é bastante antigo, de 1994. Logo se tornou um procuto de sucesso, embora podemos concluir que os recuros de segurança do MIFARE Classic foram resultados de um projeto de ”más escolhas”; Pode-se argumentar, que o produto nunca teve a intenção de alta segurança ou proteção de alto valor; Wellington Baltazar de Souza A História do MIFARE Classic Introdução Definições Ataques Conclusões Conclusões Referências Perguntas Conclusões Isto demonstra a necessidade de uma profunda análise de risco de qualquer sistema que faz uso de cartões inteligentes e etiquetas RFID, para garantir que é suficiente para o uso pretendido; Se existem outras deficiências no sistema, independentemente da tecnologia e algoritmos. Wellington Baltazar de Souza A História do MIFARE Classic Introdução Definições Ataques Conclusões Conclusões Referências Perguntas Referências [Mayes, Keith E Cid, Carlos, 2010] The MIFARE Classic story Information Security Group, Smart Card Centre, Royal Halloway, University of London. [de Koning Gans, Gerhard E Hoepman, Jaap-Henk E Garcia, Flavio, 2008] A Practical Attack on the MIFARE Classic. Springer Berlin Heidelberg. [Nohl, Karsten E Evans, David E Starbug, S E Plotz, Henryk, 2008] Reverse-Engineering a Cryptographic RFID Tag. USENIX Association. Wellington Baltazar de Souza A História do MIFARE Classic Introdução Definições Ataques Conclusões Conclusões Referências Perguntas Referências [Garcia, Flavio E de Koning Gans, Gerhard E Muijrers, Ruben E van Rossum, Peter E Verdult, Roel E Schreur, Ronny E Jacobs, Bart, 2008] Dismantling MIFARE Classic. ESORICS 2008. [Kerckhoffs, Auguste, 1883] La cryptographie militaire. Wellington Baltazar de Souza A História do MIFARE Classic Introdução Definições Ataques Conclusões Conclusões Referências Perguntas Perguntas? Wellington Baltazar de Souza A História do MIFARE Classic