Más madera sobre RFID
Jueves, 13-03-2008 por Death Master
Si digo que los sistemas RFID son un peligro, no creo que nadie se sorprenda a estas alturas. Ya he hablado de ellos aquí en alguna ocasión, y también publiqué en su día un artículo al respecto en la revista @rroba.
Lo que sí resulta, si no sorprendente, sí al menos curioso, es observar las demostraciones de esta afirmación que, desgraciadamente, podemos leer con bastante frecuencia en la red. Hoy concretamente, podemos leer en kriptópolis que el gobierno holandés ha avisado de una grave vulnerabilidad en el chip Mifare Classic del conocido fabricante NXP Semiconductors.
Como suele ocurrir con estas tecnologías, el problema no es tanto la vulnerabilidad (que es descomunal: clonación y suplantación), sino la extensión de los sistemas que la sufren: este chip es usado por unos dos millones de pases de seguridad en Holanda, y más de mil millones en todo el mundo. Y no es en absoluto algo raro de encontrar, pues hace poco estuve en un meeting en la sede de una importante compañía consultora, y el acceso se realizaba mediante tarjetas de este tipo.
Mis principales conclusiones son que mi amigo el $DEITY de las smartcards debe estar disfrutando, y que cada vez me siento menos raro por usar una cartera que bloquea el RFID.
Más información, y enlaces a los estudios, en la fuente.
jajaja gracias por lo de $DEITY de las smart cards :P
Ayer me enteré de esto en el curro/proyecto, me lo comentó mi supervisor a raiz de que uno de los jefes (Job de Haas, el que presentó en Black Hat Las Vegas 2007 y DC 2008) le había reenviado un correo de un antiguo compañero suyo.
Todo esto lo están haciendo entre otros en la Radboud Universiteit en Nijmegen, donde aprendí muchas de las cosas que sé sobre smart cards en la asignatura HW and Operating Systems Security con Erik Poll.
No he tenido tiempo de mirar mucho más y desgraciadamente tanto el anuncio de la rueda de prensa de ayer estaba en holandés. Mirando en la web de la RU veo esto: http://www.ru.nl/home/vm/ontmanteling/
Ahi se puede bajar el informe publicado en inglés (a la derecha, press release(ENG) ).
Por cierto, en la web del 24C3 ( http://events.ccc.de/congress/2007/Main_Page ) hay un video sobre el chip mifare y su algoritmo de cifrado propietario mega-seguro (basado en UN LFSR, omg!) Crypto1 que muestra cómo lo sacaron :D
Ah! Una curiosidad, en Nijmegen les llevé un día mi pasaporte español para que comprobaran unas cosillas… resulta que hay (había?) un estudiante haciendo un análisis de los distintos pasaportes con RFID y obteniendo las diferencias entre ellos para derivar la nacionalidad. Lo que hacía era barrer todos los posibles comandos mediante APDUs y ver cómo respondía el chip a los no estándar. De hecho cuando fui a recogerlo me lo mostró y salía claramente una banderita española, aunque me dijo que el nuestro era tremendamente similar al alemán en comportamiento, salvo la respuesta a UN único comando.
¿Y la privacidad? En fin, creo que va llegando la hora de comprarme una de esas carteras con protección o envolver la mía en papel de plata o algo por el estilo xD
[...] [1], o la famosa y reciente vulnerabilidad del cifrado MIFARE en chips RFID (de la cual hablé aquí); Berghel rompe una lanza en favor del full disclosure, aportando argumentos sobre su idoneidad en [...]