RFID (in)security VUrORE. Jeroen van Beek VU AMSTERAM 18 april 2008

Maat: px

Weergave met pagina beginnen:

Download "RFID (in)security VUrORE. Jeroen van Beek VU AMSTERAM 18 april 2008"

Hidde Adam
8 jaren geleden
Aantal bezoeken:

1 RFID (in)security VUrORE Jeroen van Beek VU AMSTERAM 18 april 2008

2 Agenda Doel De techniek in vogelvlucht Toepassingen (en problemen) - In de eigen portemonnee - In het eigen huishouden - In de eigen organisatie - In het eigen land (en daarbuiten) Aandachtspunten voor de auditor - Voorkomen is beter dan genezen 1

huishouden - In de eigen organisatie - In het eigen land (en

3 Doel Een overzicht de stand van zaken - Wat het is - Varianten Een overzicht van wat mis kan gaan - Aan de hand van concrete voorbeelden (demo s) En de auditor? - Audit van het ontwerp - Audit van de implementatie 2

hand van concrete voorbeelden (demo s) En de auditor?

4 De techniek in vogelvlucht Simpelweg een chip met een antenne, op afstand uitleesbaar De chip bevat dom geheugen of een slimme processor inclusief RAM, EEPROM, crypto, etc. Of iets daar tussenin Tag krijgt energie via een uitleesstation ( terminal ) 3

slimme processor inclusief RAM, EEPROM, crypto, etc.

5 De techniek in vogelvlucht, vervolgd Een domme tag terminal lees geheugen tag optioneel terminal schrijf geheugen tag 4

6 De techniek in vogelvlucht, vervolgd Een slimme tag, een voorbeeld selecteer applicatie terminal okay tag selecteer bestand authenticatie benodigd geef challenge challenge authenticatie-sleutel zet beveiligd kanaal op etc. 5

selecteer bestand authenticatie benodigd geef challenge

7 Toepassingen In de eigen portemonnee Credit card Traditioneel een magstipe In de toekomst EMV-chips om o.a. scimming tegen te gaan In sommige gevallen niet alleen een contactchip maar ook een contactloze chip (RFID) De chip bevat magstripe data w.o. in sommige gevallen naam, rekening nummer en vervaldatum Op afstand uitleesbaar! - Bestellingen via internet op rekening van een anoniem uitgelezen kaart, etc. Meer Demo! 6

8 Toepassingen In het eigen huishouden Gedifferentieerde tarifering ( DIFTAR ) voor afvalinzameling reeds uitgerold in vele gemeenten Zo veel gemeenten, zo veel smaken Weinig/geen security in het ontwerp opgenomen: chips in sommige gevallen volledig uitleesbaar en te klonen! - De burgermeester betaald voor iedereen. Of u? Meer /p18/report.pdf 7

ontwerp opgenomen: chips in sommige gevallen volledig uitleesbaar en te klonen!

9 Toepassingen In de eigen organisatie Badges voor toegang tot het gebouw Recent veel aandacht voor Mifare Classic-gebaseerde systemen (semi) slim Veel systemen gebruiken überhaupt geen crypto; wat niet is hoeft niet gekraakt te worden ( domme tags) Minstens EM4x02- en EM4x05-gebaseerde systemen zijn simpel te omzeilen, zie Ook HID is gekraakt, zie details zijn echter niet publiekelijk beschikbaar, nog niet 8

Minstens EM4x02- en EM4x05-gebaseerde systemen zijn simpel te omzeilen, zie http://rfidiot.

10 Toepassingen In de eigen organisatie, vervolgd Lees een aantal badges uit en probeer de gehanteerde nummering te achterhalen De directeur en de IT-manager zitten vaak in de verzameling initiële werknemers: de eerste badges Maak 10 badges aan en zoek de computerruimte Waarom zou een kwaadwillende een systeem hacken als ie het systeem mee kan nemen? 9

verzameling initiële werknemers: de eerste badges Maak 10 badges aan en zoek de

11 Toepassingen In de eigen organisatie, vervolgd Demo! - Het maken van een kloon in het veld tijdens een penetratietest - Kopie badge IT-manager als resultaat: toegang tot de alle ruimtes inclusief computerruimtes 10

12 Toepassingen In het eigen land (en daarbuiten) epassport Een publiek beschikbare standaard Sleutel = passpoort nummer + geboortedatum + verloop datum epassport kan op afstand worden uitgelezen Passpoort nummer en verval datum waren in Nederland gerelateerd, zie Nog steeds relatie paspoortnummer verval datum in sommige andere landen Geboortedatum: Google is your friend Dus: brute force op sleutel (epassports blokkeren niet na foutieve aanmeldingen) 11

whatthehack.org/images/2/28/wthslides-attacks-on-digital-passports-marc-witteman.

13 Toepassingen In het eigen land (en daarbuiten), vervolgd Sleutel-entropie maakt de aanval mogelijk Veel onderdelen van de sleutel gebruiken slechts een fractie van de beschikbare sleutelbits (versimpeld voorbeeld: het formaat van de geboorte- en verloopdatum is DD/MM/YY. DD is maximaal 31 uit 100, MM is 12 uit100) Door dit soort onvolkomenheden blijven maximaal 72 bit van de 128 bits effectief over, zie NIST beveelt 80-bits sleutel aan voor general purpose protection in

14 Toepassingen In het eigen land (en daarbuiten), vervolgd Demo! Leuk voor thuis: RFIdiot ondersteund sinds november 2007 ook Nederlandse elektronische reisdocumenten, zie 13

15 Toepassingen 14

16 Toepassingen 15

17 Aandachtspunten voor de auditor Audit tijdens ontwikkeling (pre-implementatie audit / QA) Classificatie van de te gebruiken informatie Opstellen van vereisten (C/I/A) per categorie informatie Documentatie van technische maatregelen welke de vereisten moeten implementeren Secure coding Audit na implementatie Via welke paden is welke informatie bereikbaar? - Alle paden geadresseerd tijdens het ontwerp (b.v. rekeningnummer/verloopdatum anoniem uitleesbaar via RFID)? Zijn alle ontwerpcriteria daadwerkelijk en adequaat geïmplementeerd? - Soll-ist (b.v. beperkte effectieve sleutellengte epassport) - Filtering van invoer op kwaadaardige code? Zijn er in de gebruikte technologieën zwakheden ontdekt? - Nieuwe aanvallen bekend op specifieke implementaties (b.v. Mifare Classic, EM4x02)? 16

- Alle paden geadresseerd tijdens het ontwerp (b.v. rekeningnummer/verloopdatum anoniem uitleesbaar via RFID)? Zijn alle ontwerpcriteria daadwerkelijk en adequaat geïmplementeerd? - Soll-ist (b.v. beperkte effectieve sleutellengte epassport) - Filtering van invoer op kwaadaardige code?

18 Vragen Wat kan er nog meer misgaan? Standaard PIN s Misschien hebben ze ook wel RFID :) 17

19 Vragen 18

20 Contact J.C. (Jeroen) van Beek MSc CISSP CISA RE Jeroen 19

Vergelijkbare documenten

Ontmanteling contactloze chipkaart

Persverklaring, Digital Security, Radboud Universiteit Nijmegen, 12 maart 2008 Ontmanteling contactloze chipkaart Samenvatting Vrijdag 7 maart 2008 hebben onderzoekers en studenten van de onderzoeksgroep