Rozhovor: Publikované vážne zraniteľnosti v slovenských a českých kartách Mifare

Po­mo­cou tých­to úto­kov sa da­jú po zis­te­ní kľú­čov (kto­ré sú pre všet­ky kar­ty da­nej spo­loč­nos­ti, napr. DPB ale­bo SAD, rov­na­ké) klo­no­vať kar­ty. S klo­nom kar­ty mož­no mať nap­rík­lad dve plat­né elek­tri­čen­ky na­mies­to jed­nej – ak sa prí­pad­né­mu útoč­ní­ko­vi po­da­rí do­cie­liť, aby kar­ta aj vy­ze­ra­la ako ofi­ciál­na kar­ta dop­rav­né­ho pod­ni­ku, čo nie je až ta­ký prob­lém, veď kar­ta neob­sa­hu­je tak­mer žiad­ne pr­vky fy­zic­kej bez­peč­nos­ti. Ta­kis­to si mož­no ulo­žiť ob­sah kar­ty a nes­kôr ho tam nah­rať zno­va (čo sa dá zneu­žiť nap­rík­lad tak, že si útoč­ník ulo­ží ob­sah kar­ty, keď mal vy­šší kre­dit, a nes­kôr, keď ho mi­nie, si ho nah­rá nas­päť).
Po zís­ka­ní kľú­čov mož­no zis­tiť z ka­riet aj osob­né in­for­má­cie – me­no, prí­pad­ne čís­lo štu­den­ta pri ISIC a uni­ver­zit­ných kar­tách. Ten­to útok je so správ­nou an­té­nou mož­ný aj bez­kon­tak­tne, so štan­dar­dnou an­té­nou na vzdia­le­nosť 5 cm, exis­tu­je však rie­še­nie so sil­nou an­té­nou, kde sa hac­ke­rom po­da­ri­lo na­čí­tať tú­to kar­tu až zo vzdia­le­nos­ti de­sia­tich met­rov. Mô­že­te sa tak nap­rík­lad prejsť po auto­bu­se a zis­tiť zoz­nam ľu­dí, kto­rí v ňom ma­jú pred­plat­né me­sač­né lís­tky.

Viac in­for­má­cií vrá­ta­ne tech­nic­kej pre­zen­tá­cie a nás­tro­jov na prak­tic­kú reali­zá­ciu úto­ku náj­de­te na ad­re­se https://www.net­hem­ba.com/re­search#zra­ni­tel­nos­ti_v_mi­fa­re_kar­tach.

O tom­to úto­ku sme sa po­roz­prá­va­li s je­ho spo­luauto­rom Pav­lom Lup­tá­kom.

Roz­ho­vor s Pav­lom Lup­tá­kom o bez­peč­nos­ti slo­ven­ských ka­riet Mi­fa­re

ITN: Mô­že­te nám opí­sať útok pod­rob­nej­šie? Ako sú kar­ty Mi­fa­re Clas­sic chrá­ne­né a v čom spo­čí­va ich zra­ni­teľ­nosť?
PL: Bez­peč­nosť ka­riet Mi­fa­re Clas­sic je pos­ta­ve­ná pri­már­ne na:
-uni­kát­nom iden­ti­fi­ká­to­re (UID), kto­rý je ulo­že­ný na nul­tom blo­ku v nul­tom sek­to­re a ako je­di­ný sa ne­dá na kar­te mo­di­fi­ko­vať (mož­no ho však po­mo­cou špe­ciál­ne­ho emu­lá­to­ra ako Proxmark 3 od­emu­lo­vať)
-challen­ge res­pon­se obojstran­nej auten­ti­fi­ká­cie me­dzi čí­tač­kou RFID a kar­tou a kom­plet­ne šif­ro­va­nou ko­mu­ni­ká­ciou (po­mo­cou pro­prie­tár­nej šif­ry CRYP­TO1)
Kar­ty Mi­fa­re ob­sa­hu­jú množ­stvo im­ple­men­tač­ných zra­ni­teľ­nos­tí, kto­ré sa da­jú zneu­žiť na rôz­ne dru­hy úto­ku (spo­me­niem as­poň naj­dô­le­ži­tej­šie - kryp­tog­ra­fic­ky sla­bá pro­prie­tár­na šif­ra CRYP­TO1, sla­bý ge­ne­rá­tor ná­hod­ných čí­sel, kto­rý umož­ňu­je pre­lo­me­nie challen­ge res­pon­se auten­ti­fi­ká­cie, mož­nosť zís­kať keys­tream pre bi­ty pa­ri­ty atď.). Chýb je ve­ľa a stá­le sa ne­ja­ké od­ha­ľu­jú.
My sme im­ple­men­to­va­li nes­ted of­fli­ne útok, aka­de­mic­ky zdo­ku­men­to­va­ný v ka­pi­to­le 4.4 v do­ku­men­te http://www.cs.ru.nl/~pe­tervr/pa­pers/grvw_2009_pic­kpoc­ket.pdf. Ten­to útok sme te­da ne­vy­mys­le­li, len ho prak­tic­ky im­ple­men­to­va­li a ako pr­ví zve­rej­ni­li.

ITN: Vy­ze­rá to tak, že si niek­to za­se na ko­le­ne vy­vi­nul vlas­tnú šif­ru a mys­lel si, že jej uta­je­ním do­cie­li bez­peč­nosť...
PL: Áno, žiaľ, je to tak. Sto­jí za tým spo­loč­nosť NXP, kto­rá uve­de­nú šif­ru CRYP­TO1 špe­ciál­ne har­dvé­ro­vo im­ple­men­to­va­la. Ak ste te­da bo­li nap­rík­lad vý­rob­com čí­ta­čiek Mi­fa­re, na to, aby ste moh­li šif­ro­vať CRYP­TO1, mu­se­li ste si od NXP kú­piť špe­ciál­ny čip, kto­rý CRYP­TO1 ov­lá­dal. Eš­te do­ne­dáv­na neexis­to­va­la sof­tvé­ro­vá im­ple­men­tá­cia uve­de­nej šif­ry. Mo­men­tál­ne už exis­tu­je – z bez­peč­nos­tných dô­vo­dov bo­la zve­rej­ne­ná kom­plet­ne ano­nym­ne - http://co­de.goog­le.com/p/crap­to1/.
Útok na Mi­fa­re Clas­sic je pek­ná de­monštrá­cia to­ho, že vy­mýš­ľať a im­ple­men­to­vať vlas­tné šif­ry nie je dob­rý ná­pad. Spo­loč­nosť NXP sa z to­ho pou­či­la a no­vé bez­peč­nej­šie kar­ty Mi­fa­re DES­Fi­re pou­ží­va­jú 3DES a AES.

ITN: Bol o tej­to zra­ni­teľ­nos­ti pred zve­rej­ne­ním niek­to in­for­mo­va­ný?
PL: Áno. Pria­mo hlav­ný do­dá­va­teľ uve­de­né­ho rie­še­nia, fir­ma EM­TEST, a. s., pred dvo­ma me­siac­mi, pres­ne 24. augus­ta 2009.

ITN: Exis­tu­je mož­nosť ochra­ny pred tý­mi­to útok­mi?
PL: Sa­moz­rej­me. Je­di­né sku­toč­ne bez­peč­né rie­še­nie je uve­de­né zra­ni­teľ­né kar­ty kom­plet­ne stiah­nuť a nah­ra­diť no­vý­mi bez­peč­nej­ší­mi (ako napr. Mi­fa­re DES­Fi­re), o kto­rých zra­ni­teľ­nos­tiach za­tiaľ nič ne­vie­me. Vzhľa­dom na to, že ide o veľ­mi nák­lad­né rie­še­nie (pre­to­že ok­rem kom­plet­nej vý­me­ny ka­riet je pot­reb­ný no­vý sof­tvér v čí­tač­kách, prí­pad­ne sta­ré čí­tač­ky nah­ra­diť no­vý­mi), navrh­li sme do­čas­né bez­peč­nos­tné rie­še­nia (zvia­za­nie kar­ty UID s pa­sa­žie­rom, ove­ro­va­nie plat­nos­ti kar­ty UID, di­gi­tál­ne pod­pi­so­va­nie ob­sa­hu, dec­re­ment coun­ter rie­še­nie), kto­ré kar­ty chrá­nia mi­ni­mál­ne pro­ti neauto­ri­zo­va­nej mo­di­fi­ká­cii. Ne­chrá­nia ich však pro­ti zís­ka­niu kľú­čov a kom­plet­né­mu na­čí­ta­niu ob­sa­hu – na to tre­ba pou­žiť bez­peč­nej­šie kar­ty.

ITN: Čo mô­že na Slo­ven­sku a v Če­chách prí­pad­ný útoč­ník do­cie­liť zneu­ži­tím tých­to úto­kov?
PL: Mô­že da­nú kar­tu kom­plet­ne na­čí­tať (v prí­pa­de fy­zic­kej blíz­kos­ti ces­tu­jú­cich vo ve­rej­ných dop­rav­ných pros­tried­kov mož­no zís­kať kom­plet­nú kó­piu či­po­vej kar­ty ľu­bo­voľ­né­ho ces­tu­jú­ce­ho, to zna­me­ná všet­ky in­for­má­cie o ňom, ulo­že­né na kar­te vrá­ta­ne krstné­ho me­na, priez­vis­ka, štu­den­tské­ho čís­la a pod.).
Mô­že mo­di­fi­ko­vať ľu­bo­voľ­ný sek­tor na kar­te (ok­rem nul­té­ho read-on­ly sek­to­ra), a te­da up­ra­viť prí­pad­ný kre­dit na kar­te, me­no vlas­tní­ka ale­bo iné cit­li­vé in­for­má­cie. Mô­že vy­tvo­riť 99,6-per­cent­ný klon kar­ty (ok­rem nul­té­ho blo­ku v nul­tom sek­to­re). Mô­že vy­tvo­riť sto­per­cent­ný klon kar­ty (vrá­ta­ne nul­té­ho blo­ku v nul­tom sek­to­re) kom­plet­nou emu­lá­ciou všet­kých sek­to­rov po­mo­cou za­ria­de­nia Proxmark III.

ITN: Za­obe­rá­te sa aj bez­peč­nos­ťou slo­ven­ských bio­met­ric­kých pa­sov. V akom sta­ve je ten­to pro­jekt. Má­me sa za­čať báť? :-)
PL: Mo­men­tál­ne hľa­dá­me ofi­ciál­nu čí­tač­ku RFID slo­ven­ských bio­met­ric­kých pa­sov, aby sme ove­ri­li, ako de­tail­ne ove­ru­je bez­peč­nosť bio­met­ric­kých pa­sov a či mož­no to­to ove­ro­va­nie ne­ja­kým spô­so­bom obísť.
Slo­ven­ské bio­met­ric­ké pa­sy pa­tria me­dzi tie bez­peč­nej­šie – pou­ží­va­jú Ac­ti­ve Aut­hen­ti­ca­tion, tak­že niek­to­ré in­for­má­cie, ako nap­rík­lad od­tla­čok prs­ta, sa jed­no­du­cho ne­da­jú pre­čí­tať a je pot­reb­ný kľúč, kto­rý vlas­tní len ich vy­da­va­teľ. Teo­re­tic­ky mož­no ten­to kľúč zís­kať úto­kom cez boč­né ka­ná­ly. Po­dob­ne sa dá vy­tvo­riť ne­do­ko­na­lý klon pa­su, kto­rý tie­to in­for­má­cie ne­bu­de mať za­hr­nu­té – otáz­ne je, ako sa k ne­mu pos­ta­via ofi­ciál­ne čí­tač­ky.
V kaž­dom prí­pa­de všet­ky iné osob­né in­for­má­cie, kto­ré sú na pa­se aj vy­tla­če­né, mož­no zo za­tvo­re­né­ho pa­su kom­plet­ne pre­čí­tať (nap­rík­lad JPEG s fo­tog­ra­fiou, dá­tum vy­da­nia a pod.) – sta­čí na to lac­ná čí­tač­ka RFID ISO14443A za 30 EUR a zna­losť kó­du MRZ, kto­rý je buď fy­zic­ky vy­tla­če­ný na pred­pos­led­nej stra­ne pa­su, ale­bo sa dá pri zna­los­ti čís­la pa­su, dá­tu­mu na­ro­de­nia dr­ži­te­ľa pa­su a dá­tu­mu exspi­rá­cie pa­su vy­po­čí­tať.

ITN: Ži­ví­te sa pe­net­rač­ný­mi tes­ta­mi. Aký je pod­ľa vás stav bez­peč­nos­ti na Slo­ven­sku?
PL: Ako vi­dí­te, zlý. Pre bež­né slo­ven­ské spo­loč­nos­ti je bez­peč­nosť oby­čaj­ne až dru­ho­ra­dá. Pre­ven­tív­na bez­peč­nosť veľ­mi ne­fun­gu­je – väč­ši­na spo­loč­nos­tí bez­peč­nosť za­čí­na rie­šiť až po úni­ku a zneu­ži­tí in­for­má­cií, ale­bo ak sa ich to pria­mo dot­kne. To sa tý­ka aj či­po­vých ka­riet Mi­fa­re Clas­sic. Zra­ni­teľ­nos­ti tých­to ka­riet sú zná­me už viac ako dva ro­ky, na­priek to­mu to nik­to na Slo­ven­sku (a ani vo sve­te) ne­rie­ši. Pres­ne ten­to typ kar­ty bol kom­pro­mi­to­va­ný pred vy­še ro­kom v Lon­dý­ne (dop­rav­né kar­ty Oys­ter). Na­priek to­mu nik­to na Slo­ven­sku sa z to­ho ne­pou­čil a rov­na­ké zra­ni­teľ­né kar­ty ako v Lon­dý­ne sa na­ďa­lej pou­ží­va­jú. Z toh­to dô­vo­du si mys­lím, že tre­ba zve­rej­ňo­vať prak­tic­ké proof-of-con­cept im­ple­men­tá­cie uve­de­ných úto­kov. Ve­ľak­rát to­tiž pred­sta­vu­jú je­di­ný sil­ný im­pulz, ako nah­ra­diť zra­ni­teľ­nú tech­no­ló­giu bez­peč­nej­šou.