Facebook Linkedin Rss X-twitter

Investigación patrocinada

Sponsored Research

¡Rompe la tecnología, escribe código abierto y obtén recompensas!

Las tecnologías son parte integral de nuestra vida moderna: almacenan, usan y transmiten nuestros datos personales e información privada. Su obsolescencia tecnológica, su diseño descuidado en cuanto a seguridad o su alta complejidad las hacen vulnerables y fácilmente explotables. ¿Sabías que:

  • Tus llamadas GSM pueden ser interceptadas anónimamente por cualquiera con un dispositivo de menos de $2000?
  • ¿El cifrado A5/3 utilizado en las comunicaciones 3G «más seguras» ya está roto?
  • Los chips RFID Mifare Classic, ampliamente utilizados en todo el mundo y en Eslovaquia para billetes de tranvía, tarjetas universitarias/ISIC, tarjetas de aparcamiento o acceso a edificios y piscinas, estaban prácticamente rotos hace unos años, pero aún se utilizan, y cualquiera que se encuentre cerca puede leer completamente tu tarjeta (incluidos tu nombre y apellidos), modificarla a voluntad, clonarla o destruirla irreversiblemente.
  • ¿El chip Hitag2 utilizado en las llaves de los coches de Renault, Opel, Peugeot y Citroën está roto?
  • ¿El cifrado KeeLoq utilizado en las llaves de los coches de Chrysler, Daewoo, Fiat, General Motors, Honda, Toyota, Volvo, Volkswagen o Jaguar se puede descifrar en dos días?
  • Todas estas tecnologías siguen utilizándose e implementándose ampliamente, y los fabricantes y proveedores a menudo consideran estas amenazas meramente teóricas y prácticamente inviables, y en un esfuerzo por ahorrar costes, descuidan su seguridad.
  • Esta situación pone en peligro la privacidad de la gente común y es ideal para el mundo criminal, que puede explotar estas vulnerabilidades en su propio beneficio.

La práctica a largo plazo en seguridad informática a nivel mundial demuestra que uno de los pocos medios eficaces para obligar a los operadores y fabricantes de tecnologías vulnerables a corregirlas o sustituirlas por otras más seguras es la publicación de una denominada «Prueba de Concepto», es decir, una implementación funcional que demuestra en la práctica el aprovechamiento de la tecnología en cuestión.

La empresa de seguridad informática Nethemba, dedicada a tecnologías seguras y software de código abierto, ha decidido destinar entre 500 y 2500 € (dependiendo de la tecnología y la complejidad de la implementación) al desarrollo de una implementación funcional y pública que demuestre de forma práctica el uso de diversas tecnologías.

La implementación puede escribirse en cualquier lenguaje de programación, siempre que la interfaz con la tecnología en cuestión no requiera el uso de un lenguaje específico (por ejemplo, C o Java).

La implementación se publicará bajo la licencia GNU GPLv2 de código abierto (en caso de acuerdo mutuo, se podrá utilizar otra licencia de código abierto).

Público objetivo de los solucionadores:

  • Estudiantes de universidades técnicas (tema adecuado para una tesis de diploma o licenciatura)
  • Miembros de hackerspaces
  • Cualquier persona con mucho tiempo libre, entusiasmo y conocimientos

Apoyo de Nethemba:

  • Cobertura financiera completa del proyecto, compra y suministro de hardware específico
  • Gestión del proyecto, asistencia técnica y asesoramiento por parte de nuestros empleados
  • Conexión con la comunidad: con otros solucionadores del proyecto o investigadores del sector
  • En caso de implementación exitosa de cualquier proyecto, Nethemba se adherirá a los principios éticos de su publicación.

Condiciones para el pago de la recompensa:

  • La recompensa (500-2500 €) se paga solo por la primera implementación funcional del proyecto.
  • Es posible colaborar en el proyecto, en cuyo caso la recompensa se divide entre los solucionadores.
  • La implementación debe publicarse bajo una licencia de código abierto.

Validez de la acción:

Hasta que Nethemba la revoque.

Lista de proyectos patrocinados

Integración de MFOC a MFCUK, optimización de zlepšenie doterajších nástrojov na získavanie kľúčov z kariet Mifare Classic

MFOC predstavuje otvorenú implementáciu nástroja na prelomenie čipových kariet Mifare Classic a zísskanie všetkých kľúčov využitím zraniteľnosti «autenticación anidada» vyvinutý spoločnosťou Nethemba.

MFCUK predstavuje ďalšiu otvorenú implementáciu nástroja na prelomenie čipových kariet Mifare Classic vyvinutý Andreiom Costinom.

El objetivo del proyecto es integrar las herramientas anteriores y los enfoques utilizados, analizar cómo se relacionan entre sí los UID/bloques/claves/Nt/Nr de una tarjeta determinada para acelerar el tiempo de crackeo, analizar cómo es posible acelerar el ataque al conocer los prefijos o partes enteras de claves ya utilizadas («predeterminadas») y crear una versión funcional, robusta y optimizada de la herramienta para la obtención de claves de tarjetas Mifare Classic.

Tvorba nástroja na 100% emuláciu Mifare Classic kariet pomocou Nokia NFC telefónov (6212, 6131)

Cieľom projektu je umožniť 100% emuláciu čipových kariet Mifare Classic na Nokia NFC telefónoch (štandardne je emulácia UID znemožnená na úrovni Nokia NFC SDK). Cieľom je použitím reverzného inžinierstva Nokia NFC SDK sfunkčniť emuláciu UID alebo napísať vlastnú implementáciu emulácie bez použitia Nokia NFC SDK – využitím GCF (Generic Connection Framework).

Además, es necesario escribir una aplicación GUI simple que le permita seleccionar un volcado mfd (obtenido por nuestra herramienta MFOC) y demodularlo interactivamente en un teléfono Nokia NFC (6212, 6131).

Más información – Emulación Mifare Classic 100% SoftTag – utilizando Nokia 6131 o Nokia 6212, Serie 40 Nokia 6212 NFC SDK.

Verificación de la seguridad de los lectores de pasaportes biométricos eslovacos

El objetivo del proyecto es crear una herramienta que lea un pasaporte biométrico eslovaco con conocimiento del código MRZ, es decir, sin la huella dactilar del propietario del pasaporte (EF.DG3) y la «Información de clave pública de autenticación activa» (EF.DG15), cree su clon imperfecto (índice de pasaporte modificado para que no contenga EF.DG3 y EF.DG15) y permita su emulación a través de un teléfono Nokia NFC o una tarjeta inteligente NXP JCOP41 v.2.2.1 72K RANDOM_UID. Parte del proyecto es verificar si el clon imperfecto de un pasaporte biométrico creado de esta manera será aceptado por los lectores oficiales de pasaportes biométricos.

Más información: emulador de pasaporte electrónico, thC-ePassport.

Implementación de la ruptura de hitag2

El objetivo del proyecto es escribir una implementación funcional de una demostración de cómo romper la tecnología Hitag2 (un chip utilizado en automóviles Renault, Opel y Peugeot) utilizando solucionadores SAT. La implementación de código abierto de MiniSat se puede utilizar para la implementación. Más información sobre cómo romper el hardware de Hitag2 y cómo romper la criptografía de Hitag2.

Implementación de la ruptura de Keeloq

El objetivo del proyecto es escribir una implementación funcional de una demostración de cómo romper la tecnología Keeloq (un cifrado utilizado en automóviles Chrysler, Daewoo, Fiat, GM, Honda, Toyota, Volvo, Volkswagen Group, Jaguar). Más información – Un ataque práctico a Keeloq I, Un ataque práctico a Keeloq II, Un ataque práctico a Keeloq (documento). Capacidad de leer la comunicación Keeloq utilizando USRP2/GNURadio.

Follow Us

Facebook Linkedin Rss X-twitter

About

— Our team

— Research

— Sponsored Research

— Events

Services

— Application Security

— Network and System Security

— Security Solutions

— Security Services

References

Contact

Blog

Personal Data