Aktuálne postrehy z bezpečnostnej komunity - Nethemba

BLOG

Aktuálne postrehy z bezpečnostnej komunity

1. S niekoľkomesačným meškaním konečne vyšiel nový prielom číslo 25, odporúčam ho prečítať od začiatku do konca.

2. Kamarát Vid (Martin Mocko) zverejnil zaujímavú prezentáciu o copy protection, odporúčam prečítať alebo vidieť naživo

3. Zverejnený proof-of-concept krádeže identity v mestskej knižnici cez OpenCard. Hneď po zhliadnutí videa mi napadlo, že buď dotyční determinovali príslušné kľúče pre daný sektor využívaný knižnicou (použili „default“, alebo ich nejako inak „uhádli“), alebo jednoducho len determinovali UID danej karty, na ktorý je jednoznačne namapovaná identita používateľa mestskej knižnice a ten potom odemulovali.

Po prečítaní prezentácie Tomáša Rosu išlo o ten druhý prípad, teda získanie UID pomocou vysokofrekvenčnej RFID čítačky a emulácie pomocou ich PicNic vyvinutého prostriedku. Najabsurdnejšie na celej situácii je, že UID sa dá získať aj jednoduchším spôsobom – prečítaním z papierového účtu, kde ho máte pekne vytlačený po zaplatení nejakého tovaru vašou OpenCard kartou.

Samozrejme problém je primárne v blbej implementácii danej karty, kedy identita používateľa je zviazená so statickým identifikátorom ako UID, ktorý sa da jednoducho načítať, resp. získať iným spôsobom a následne odemulovať. To je problém všetkých Mifare kariet, od Ultralight po DESFire.

Je preto úplne nevyhnutné, aby všetky aplikácie, ktoré „identifikujú“ používateľa výhradne na základe UID karty (prípad všetkých Mifare kariet), buď overovali dalšie „autentifikačné“ údaje na karte ako napríklad jeho zašifrovaný hash (ktorý bude zašifrovaný aj kľúčom dodávateľa riešenia) uložený na nejakom šifrovanom bloku Mifare DESFire karty. Alebo celý tento identifikátor používateľa zašifrovali kľúčom dodávateľa a bezpečne uložili do nejakého šifrovaného bloku karty Mifare DESFire. Zviazanie s verejne dostupným UID nie je dobrý nápad, lebo v súčasnej dobe UID ide vždy odemulovať (buď pomocou Proxmark 3, NFC telefónu, či iného prostriedku).

Istý „workaround“ predstavujú „RFID shieldy“, teda ochranné obaly, ktoré zabránia prípadnému skimmingu (a vytvoria nad kartou jednoduchú faradayovu klietku). Samozrejme nezábrania tomu, že daný používateľ si zabudne na stole svoj papierový účet z obedu s jeho vytlačeným UID 🙂

4. Chystáme sa prenajať veľký mobilný karaván a ísť na geek hackerský kemp do Holandska. Už teraz sa všetci tešíme…