Ataques Selectivos a Mifare Classic

Ataques Selectivos a Mifare Classic

1 CIBSI – 2013 [email protected]


Jorge Kamlofsky1

1CAETI - Universidad Abierta Interamericana

Av. Montes de Oca 725 – Buenos Aires – Argentina [email protected]

1


2 CIBSI – 2013 [email protected] 2

Contenido 1. Resumen 2. Introduccion Acerca de Mifare Classic Objetivos del trabajo y relevancia del tema 3. Ataques a Mifare Classic Ingenieria inversa sobre el chip MF1ICS50 Desmantelando a Mifare Classic Un ataque práctico a Mifare Classic Robo sin cable a tarjetas Mifare Classic Ataque “Lado oscuro” 4. Implementacion de ataques Lectores NFC y librería Libnfc Ataque a Mifare con MFOC Ataque a Mifare con MFCUK Ataque combinado con MFCUK y MFOC Ataques selectivos en función de su configuración de claves 5. Conclusiones 6. Trabajos Futuros Contra la barrera del ocultamiento Contra los grandes sistemas de procesamiento en línea Contra Desfire

Resumen | Introducción | Ataques a Mifare Classic | Implementacion | Conclusiones | Trabajos Futuros



Resumen Mifare Classic es una tarjeta de proximidad, con memoria y seguridad criptográfica. A fines de 2007 se presentó el primer trabajo de ingeniería inversa sobre el chip que presentó detalles acerca del cifrador, lo cual inició una catarata de trabajos que fueron exponiendo sus secretos. En este trabajo se describen brevemente los papers más importantes. Se propone una clasificación de los sistemas que usan Mifare Classic en función de la configuración de sus claves. Con ello, se plantean ataques selectivos a los sistemas Mifare.




Introducción: Acerca de Mifare Classic Mifare Classic es la tarjeta inteligente sin contacto más vendida del mundo (desde su origen en 1995): casi 1000 millones de tarjetas. Producto de NXP, anteriormente Philips. - Gracias a la comunicación por RF se realizan transacciones rápidas y sin desgaste mecánico. - Gracias a tener seguridad criptográfica, permite que las transacciones se realicen directamente en la tarjeta. Ello la volvió la tarjeta ideal para sistemas de ticketing de transporte público: permite transacciones off line seguras en 100ms.




Introducción: Acerca de Mifare Classic Seguridad Criptográfica: - Mifare Classic posee una memoria de 1KB dividida en 16 sectores. Cada sector está protegido por dos claves (A y B) de 48 bits cada una. - La memoria está protegida por un cifrador simétrico llamado Crypto-1, el cual (aún hoy) se mantiene en secreto, contraponiendose al principio de Kerckhoff.




Introducción: Acerca de Mifare Classic Así presentado, quedan expuestas aquí dos debilidades atractivas para el trabajo de investigadores y criptoanalistas: 1. El tamaño de las claves de acceso a cada sector es de 48 bits: hoy es perfectamente posible diseñar un ataque por fuerza bruta contra ese espacio de claves. 2. La violación del principio de Kerckhoff alienta a la búsqueda de debilidades en el algoritmo: Por algo es secreto.




Objetivo y relevancia del tema Objetivo del trabajo: - Describir brevemente los ataques que lograron el quiebre de la tecnología Mifare (chip NXP MF1ICS50). - Presentar la conveniencia en el armado del ataque a un sistema específico mediante la utilización selectiva de las herramientas de software disponibles. Relevancia del tema: El quiebre de la seguridad de las tarjetas Mifare Classic pone en peligro la recaudación de sistemas de parking, peaje y transporte masivo dispersos por todo el mundo, así como la integridad de empresas e instalaciones gubernamentales críticas con acceso controlado por esta tecnología. Para la seguridad de esos sistemas, se requiere una readecuación tecnológica tan pronto como sea posible.




Ingeniería Inversa sobre el chip NXP MF1ICS501

La ingeniería inversa se usa para espionaje, evaluación de seguridad, descubrimiento de secretos industriales, y demás. Es considerada una tarea altamente costosa. Este trabajo de ingeniería inversa no resultó ser altamente costoso, y el enfoque usado en este trabajo puede aplicarse a otros dispositivos.

Imagen2 del chip NXP MF1ICS50

1. Nohl, Karsten et al.: "Reverse-Engeneering a Cryptographic RFID Tag", Usenix Security Symposium 2008. 2. Courtois, N. “The Dark Side of Security by Obscurity and Cloning MiFare Classic Rail and Building Passes, Anywhere, Anytime”, The 5th Workshop on RFID Security




Ingeniería Inversa sobre el chip NXP MF1ICS50 (a) Imagen obtenida del nivel 2. (b) luego de la detección automática




Ingeniería Inversa sobre el chip NXP MF1ICS501

Algunos resultados destacados: - Se pudo reconstruir la totalidad del cifrador: Basado en un LFSR de 48 posiciones, un RNG, una función filtro. - El polinomio generador del LFSR es: P(x) = x48 + x43 + x39 + x38 + x36 + x34 + x33 + x31 + x29 + x24 + x23 + x21 + x19 + x13 + x9 + x7 + x6 + x5 + 1. - Crypto-1 posee solo 400 GE. Muy poco. Ej: AES en RFID tiene 3400 GE.

Debilidades: - El RNG es de 16 bits - Cuando se inicia el cifrador siempre inicia en el mismo estado. Notas: -No se publicaron tantos detalles técnicos como se esperaba. -Sin embargo fue un trabajo muy inspirador para otros investigadores.




Un ataque práctico a Mifare Classic2

Se estudio la arquitectura de la tarjeta y el protocolo de comunicaciones entre tarjetas y Lectores. A partir de acceder a una tarjeta y un lector legítimos, mediante un dispositivo Sniffer Proxmark III: Pudo accederse a información de la tarjeta sin tener la clave. Pudo averiguarse detalles técnicos acerca del protocolo de comunicaciones y de los comandos. Uso de tarjetas en modo Transporte.

2. de Koning Gans, G. Hoepman, J. y Garcia, F.: "A practical attack on the Mifare Classic" Cardis 08, Springer, 2008.

Sniffer Proxmark III




Un ataque práctico a Mifare Classic Importancia de este trabajo - Se logró acceder a información del sector 0 sin tener la clave. - Pudo obtenerse el flujo de clave generado por el cifrador de la tarjeta sin conocer su clave, a partir de texto plano conocido. - Se presentaron ejemplos detallados del protocolo de comunicaciones. - Se presentó el set de comandos entre tarjetas y lectores: Select, autentication, increment, decrement, read, write, restore, transfer, halt.




Un ataque práctico a Mifare Classic Ejemplo de seguimiento de proceso de autenticación:




Un ataque práctico a Mifare Classic El set de comandos:




Desmantelando Mifare Classic3

En Marzo de 2008 Flavio García et al recuperaron detalles precisos acerca de Crypto-1 y prepararon dos ataques. Lo notificaron al fabricante (NXP) y a sus accionistas. En Junio de 2008 NXP intentó detener la publicación por "irresponsable" vía una orden de la corte. Dicen que la publicación puede alertar a delincuentes. En Julio de 2008 la justicia rechazó el recurso (de evitar la publicación) basado principalmente en el derecho a la libre expresión. El fallo menciona también que: “La universidad actuó con cuidado, advirtiendo a los accionistas tempranamente”. Y agrega que “El daño no es resultado de la publicación, sino por las deficiencias en las tarjetas”. Finalmente, NXP no apeló.

3. Garcia, F. de Koning Gans, G. Muijrers, R. Van Rossum, P. Verdult, R. Wichers, R. Schreur, Jacobs, Dismantling Mifare Classic, ESORICS 2008




Algunas debilidades encontradas: - RNG solo de 16 bits, desafios de 32 bits - Los lectores dan la misma secuencia de desafíos luego del encendido. - El RNG repite desafíos en poco tiempo. - Los desafios generados son dependientes del tiempo. Se usó un sniffer Proxmark III para grabar transacciones entre lectores y tarjetas auténticas. Ataques: 1.- Luego de obtener un desafío, mediante Rollback se puede obtener la clave. 2.- Se basa en la debilidad de la ubicación impar de las entradas a la funcion Filtro permite elaborar dos tablas de claves posibles de 219.

Desmantelando Mifare Classic




Hurto sin cables a Mifare Classic4

Los ataques previos (realizados sobre lectores), si bien fueron de gran trascendencia desde el punto de vista de sus descubrimientos, los mismos fueron desestimados por entes estatales, operadores e integradores aduciendo que realizarlos implica un gran despliegue de tecnología en las instalaciones del operador, lo cual es muy fácil de detectar. Este ataque se realiza íntegramente sobre las tarjetas. De este modo, el atacante, en la comodidad de su laboratorio, sin apuro ni vigilancia, puede acceder a cualquier sector de la tarjeta y modificar su contenido sin ser detectado. Es posible: - Robar el saldo de una tarjeta (por clonación). - Modificar el saldo de la tarjeta propia.

4. Garcia, F.; et al.: "Wirelessly Pickpocketing a Mifare Classic card" IEEE Symposium on Security and Privacy, 2009.




Hurto sin cables a Mifare Classic Las principales vulnerabilidades encontradas: 1. Acerca de los bits de paridad: - Durante el protocolo de autenticación: - Si el lector envía paridad incorrecta, la tarjeta detiene la comunicación. - Si el lector envía bits de paridad correctos pero datos de autenticación incorrectos, la tarjeta responderá con un código de error, permitiendo que se establezca un canal paralelo.




Hurto sin cables a Mifare Classic Las principales vulnerabilidades encontradas: 2. Acerca de la autenticación en varios sectores: Luego de autenticarse sobre un sector, si se requiere operar sobre otro sector, se requiere conocer la 2da clave. Cuando un atacante se autenticó a algún sector (habiendo averiguado la clave de ese sector), subsecuentes intentos de autenticarse a otros sectores (sin conocer las claves sobre esos sectores), filtran 32 bits de información sobre la clave secreta de ese sector: se estima la distancia entre los desafios n0T y n1T y se calculan los suci(nT) con “i”próximo a “d”.




Hurto sin cables a Mifare Classic Ataques a Tarjetas Mifare Classic: 1. Ataque por fuerza bruta: Se usa la vulnerabilidad del bit de paridad para abrir un canal paralelo. Luego se puede perpetrar un ataque por fuerza bruta en el envio de {nR}+{aR}. 2. Variando el desafío del lector: Controlando el tiempo, el atacante puede lograr recibir los mismos desafíos del tag. Establecido el canal paralelo, el atacante varía las encripciones de los desafíos nR: {nR}. Logrará acertar con aprox. 28500 nR. Luego, con 2,1.1010 claves candidatas puede verificarse desencriptar los mensajes de error.




Hurto sin cables a Mifare Classic Ataques a Tarjetas Mifare Classic: 3. Variando el desafío del tag: En el paso 9 del protocolo se mantiene constante {nR}+{aR} y se hace que el tag cambie nT esperando que responda con un {halt}. 4. Autenticaciones anidadas: Usando la vulnerabilidad del posicionamiento impar en las entradas al LFSR y la de la autenticación en varios sectores, puede elaborarse dos tablas de flujos de claves candidatas 216 (respecto de nT).




El lado oscuro de la seguridad por ocultamiento...5

Los ataques presentados en el trabajo anterior, requieren de la construcción de tablas pre-calculadas (2 y 3) o bien contar con una de las claves para montar un ataque por “autenticaciones anidadas”. Este ataque permite calcular rápidamente una de las claves A o B de cualquier sector para que pueda usarse combinadamente con “autenticaciones anidadas”.

5. Courtois, N.: "The dark side of security by obscurity, and Cloning Mifare Classic Rail and Building Passes, Anywhere, Anytime”. IACR Cryptology ePrint. Archivo 2009: 137, 2009.




El lado oscuro de la seguridad por ocultamiento... Debilidades encontradas: - Canal abierto: Courtois también encontró la debilidad mencionada en el trabajo anterior (si la paridad es correcta pero no así el {nR}, se responde con {halt}={5}) - Baja variabilidad del flujo de claves: Esto es debido a las malas propiedades de las funciones booleanas presentes en el cifrador. Hecho: los 9 bits de KS1 que desencriptan el 4°byte de {nR} = cte con 0,75 de probabilidad. - Propiedad Diferencial Múltiple: Usando la baja variabilidad de KS1 y sabiendo que nR ⊕ {nR } = ks1 con {nR} sabido. Entonces, cambios que se reflejen en KS2 y KS3 dependen de cambios en el 4° byte de {nR}.




El lado oscuro de la seguridad por ocultamiento... Ataque a Tarjetas Mifare: - Establece canal paralelo: acierto de bits de paridad (128 intentos promedio). - Se realizan modificaciones en los últimos 3 bits del 4°byte de {nR}: 8 casos. - En 128 consultas, se tienen 8 posibles valores de {nR}. - Cada uno de ellos nos dan 4 bits de la clave. - Luego: 4 bits * 8 valores = 32 bits de clave.




Implementacion de los ataques Hardware usado: - Netbook Acer AspireOne: procesador Intel Atom CPU Z520 a 1,33GHz con 2Gb de memoria RAM. - Lector NFC ACR122 Touchtag - Tarjetas Mifare varias Software instalado: - Sistema Operativo: Distribución Linux Back Track 5 R3 basado en Ubuntu 10.04LTS. - Librería de lector: libNFC (open source). - MFOC7: Herramienta que implementa el ataque “autenticaciones anidadas”. - MFCUK8: Herramienta que implementa el ataque “lado oscuro”.

7. MFOC: Desarrollado por la empresa Nethemba. 8. MFCUK: Código creado Andrei Costin




Implementacion de los ataques: HW




Implementacion de los ataques: SW - Libnfc




Implementacion de los ataques: SW - MFCUK




Implementacion de los ataques: SW - MFOC




Los ataques: MFCUK

MFCUK: - Implementa ataque “Lado oscuro” de Nicolas Courtois - Desarrollado por Andrei Costin - Permite obtener una clave de un sector a elección. - Promete resultado en menos de 5 minutos.




Los ataques: MFCUK




Los ataques: Todas las claves con MFCUK




Los ataques: MFOC

MFOC: - Implementa ataque “Autenticaciones anidadas” de Flavio Garcia et al. - Desarrollado por Nethemba. - Permite obtener todas las claves a partir de una clave. - Promete resultado en segundos.




Los ataques: MFOC




Configuración de las claves Mifare

La complejidad en la asignación de claves a cada sector forma parte de la política de seguridad del sistema. - Cada tarjeta tiene 32 claves que deben manejarse con seguridad. - Muchos sistemas poseen millones de tarjetas. - La administración eficiente de las claves es una necesidad. - Se suele economizar en las siguientes formas: - No cambian ninguna clave (Transporte). - Solo se cambian las claves de los sectores que se usan (mixtas). - Se asigna una clave para todos las claves A (Idem B): Oyster. - Existe otra forma: Asignar más de una clave A (idem B). Sin embargo, ese formato no se encontró en campo




Configuración de las claves Mifare: Clasificación propuesta

Propuesta de Clasificación de sistemas Mifare según la Configuración de sus claves: Clase A: Tarjeta en modo transporte: Claves A y B por default (de fábrica). Clase B: Tarjetas Mixtas: Al menos una clave A o B por default. Clase C: Tarjetas tipo Oyster: Sin claves por default




Configuración de las claves Mifare

Ejemplo de Clasificación de tarjetas según Configuraciones de claves:




Ataques selectivos a Mifare

Atacando tarjetas con MFCUK: El ataque es indistinto si el sector posee o no claves por default (de fábrica). Es decir, tiene la misma duración: Enconces, puede estimarse en 50 horas el tiempo para la obtención de las 32 claves de la tarjeta.





Atacando una tarjeta Clase A (modo Transporte) con MFOC: El ataque dura aproximadamente 14 segundos. Puede presentarse en pantalla O en un archivo de texto.





Atacando una tarjeta Clase B (mixta) solo con MFOC: El ataque dura aproximadamente 25 minutos. Puede presentarse en pantalla O en un archivo de texto. Presenta Claves A y B por separado.





Atacando una tarjeta Clase C (tipo Oyster) solo con MFOC: Ataque Fallido!





Atacando una tarjeta Clase C (tipo Oyster) con MFCUK y MFOC: - Con MFCUK se obtiene una clave. - La clave obtenida se la ingresa Como parámetro a MFOC. Duración del ataque: - MFCUK: 27 minutos. - MFOC: 7,5 minutos.




Conclusiones Respecto del criptoanálisis a Mifare Classic: Realizar ingeniería inversa sobre implementaciones de cifradores por HW puede ser económico y posible, con los medios disponibles en un laboratorio estándar (Nohl, Evans, Plotz, Starbug). Es buena idea atacar a los criptosistemas que mantienen sus algoritmos ocultos: Por algo será que no los ponen a prueba. Es buena idea verificar que los dispositivos a criptoanalizar cumplen los estándares y recomendaciones: Donde no se cumplan, buscar allí vulnerabilidades. .




Conclusiones Respecto de la implementación de los ataques a Mifare Classic: Puede destacarse la conveniencia de realizar tres combinaciones de ataques, con las dos herramientas utilizadas (MFCUK y MFOC), según las características de las configuraciones de claves: 1. En caso de tratarse de tarjetas en modo transporte (clase A), sólo con MFOC pueden obtenerse las claves en 14 segundos. 2. Si se estuviese en presencia de un sistema con tarjetas con al menos una clave por default (clase B), con MFOC pueden obtenerse la totalidad de las claves en 25 minutos. 3. En caso de tratarse de tarjetas que no presenten ninguna de sus claves por default (clase C), es recomendable realizar un ataque mixto entre MFCUK para obtener primero una clave y luego con ella realizar un ataque usando MFOC y la opción -k e ingresando la clave obtenida como parámetro. Puede obtenerse la totalidad de las claves en 35 minutos.




Conclusiones Respecto de la implementación de los ataques a Mifare Classic: Sugerencias para atacar a cualquier sistema Mifare Classic: Dado que la configuración de claves se mantiene constante dentro del sistema, para atacar a cualquier tarjeta del sistema, conviene primero analizar una tarjeta del sistema: - Con Libnfc: verificar que se trate de tarjetas Mifare. - Correr MFOC y esperar respuesta. - Si responde inmediatamente con la totalidad de las claves: Clase A - Si responde luego de unos minutos con la totalidad de las claves: Clase B. - Si responde con error: clase C Luego de clasificadas las tarjetas según su configuración de clave, perpetrar el ataque a cualquier tarjeta del sistema, según lo presentado.




Trabajos Futuros Realizar un trabajo en distintos niveles acerca de las contramedidas disponibles: 1. Medida: Ocultamiento. Contramedida: Relevar los sistemas que poseen esta tecnología y publicarlo. 2. Grandes sistemas centralizados. Algunos operadores eligen esto como alternativa para controlar el estado de las tarjetas. Si una de ellas tiene saldo distinto al debido, pasarla a lista negra. Contramedida: Uso de tarjetas Pirata – Clonación. 3. Cambio de las tarjetas Mifare Classic por Desfire (Mifare DES). Contramedida: Se habla en los foros acerca del inminente quiebre de estas tarjetas.




Fin...

¿Dudas?

¿Consutas?

¡Muchas gracias por su atención!

Pueden mandar mail con su consulta a: [email protected]

mailto:[email protected]

Ataques Selectivos a Mifare Classic

Documents

Transcript of Ataques Selectivos a Mifare Classic