fredag, november 28, 2008

Science om "säkerheten" i smarta resekort (typ SL Access)

Science har en intressant liten nyhetsartikel om datasäkerhetsforskarna som hackade RFID-kortsystemet MIFARE Classic, det som skulle ha blivit SL Access och som tills nyligen användes i bland annat Londons tunnelbana och i Göteborgs lokaltrafik (Västtrafik). Eller, jag hoppas att det är "tills nyligen" och inte "fortfarande", för säkerheten i det verkar vara helt erbarmlig, värre än vad jag trodde när jag läste det lilla som rapporterades i media i somras. Några höjdpunkter:

* "Every time the reader was switched off and on again, it issued the same challenge nonce."

* "Oddly, instead of 32-bit IDs and nonces, the reader would also accept ones 48 bits long. That flaw meant that researchers could set all the bits in the LFSR. It also meant that they could feel out the filter function by changing the bits one by one while keeping everything else the same."

* "Verdult found that if a card didn't reply to a reader's challenge, then the reader sent a 32-bit "halt" command, but it would scramble it. That was a blunder because hackers could strip out the easily guessed message to get the 32-bit stretch of key stream that scrambles it"

Men bara det att företaget bakom tekniken i MIFARE Classic, NXP, försökte belägga forskarna med munkavle - aj. Eller som Bruce Schneier säger i artikeln "only very bad systems rely on secrecy". Den artikel som NXP försökte stoppa presenterades officiellt på 13th European Symposium on Research in Computer Security (ESORICS) i Malaga i början av oktober i år. För att citera en bit av sammanfattningen i ESORICS-artikeln:

"The most serious [type of attack] recovers the secret key from just one or two authentication attempts with a genuine reader in less than a second on ordinary hardware and without any pre-computation. Using the same methods, an attacker can also eavesdrop the communication between a tag and a reader, and decrypt the whole trace, even if it involves multiple authentications. This enables an attacker to clone a card or to restore a real card to a previous state."

Med andra ord, nästan vem som helst med tillräckligt tekniskt kunnande och nån tusenlapp att spendera på internet kan kopiera ditt kort, eller skriva över det. Inte nog med att tekniken används i ett antal stora lokaltrafiksystem, den används även i många företags passerkort. Lyckat.

Länkar
nyhetsartikeln i Science
Computer Sweden alluderar till samma problem
Forskargruppens två artiklar om hur de knäckte MIFARE
Nytekniks rapportering efter ESORICS

Andra bloggar om: , , , , , ,

14 kommentarer:

Observer sa...

"only very bad systems rely on security"

Antar att du menade "rely on secrecy". Annars lär det bli svårt att bygga säkra system...

Leif Nixon sa...

Mig veterligen används Mifare fortfarande av London Transport, och jag tror SL Access fortfarande ska använda det. (Om jag inte missat något.)

Malin Sandström sa...

*tar sig för pannan* erm, ja, naturligtvis. Tack för påpekandet :)

Malin Sandström sa...

Leif: det verkar inte riktigt vettigt. Vet du om de har förändrat någon bit, det borde väl gå att koda om bitar av systemet åtminstone?

Jag förstår att det är en gigantisk investering att byta alla läsare i t ex Londons tunnelbana, men om systemet är så uppenbart sårbart borde man väl vilja göra nåt annat än låtsas som om det regnar...

Leif Nixon sa...

Den undermåliga kryptoimplementationen ligger ju inbäddad i chippet på korten, så det är svårt att göra något åt.

Tydligen försöker man genom granskning av loggar hitta suspekta transaktioner och stänga av de korten - se till exempel http://news.cnet.co.uk/software/0,39029694,49297810,00.htm

Malin Sandström sa...

Leif: jo, men de tre punkterna om läsaren som jag listade borde väl gå att göra något åt... å andra sidan kanske det blir lika dyrt som att byta.

Om de stänger av kort borde det väl dessutom drabba de som fått sitt kort klonat? Känns inte som en särskilt lyckad lösning.

Dr M sa...

Inte nog med att tekniken används i ett antal stora lokaltrafiksystem, den används även i många företags passerkort.

T.ex. på mitt universitet här i Cambridge (eller rättare sagt, RFID används i passerkorten, jag kan inte svara för exakt vilket system, då jag antar att det finns flera, men tekniken är väl i alla fall väsentligen densamma). Nog för att det är rätt bekvämt att aldrig behöva ta upp kortet ur plånboken, men det är väl som sagt tveksamt om det är så lyckat i andra avseenden.

Leif Nixon sa...

Malin; jo, det är ju så att avstängningen drabbar både offret och förövaren. Förhoppningsvis fungerar den väl ändå avskrämmande eftersom den eliminerar större delen av vinsten av kloningen. Fast det hänger ju på att man verkligen med stor träffsäkerhet kan identifiera alla klonade kort.

Jag tycker mig i alla fall kunna identifiera något slags pedagogisk poäng här. Man brukar då och då påpeka att det nästan aldrig är kryptot i sig som är den svagaste länken i ett system. När system knäcks i verkligheten brukar det i realiteten nästan aldrig vara svagheter i kryptot man angriper, utan det är svagheter i kringliggande rutiner och kod som utnyttjas.

Intressant nog är det i det här fallet själva kryptot som har angripits, men attacken lindras genom förbättringar i de kringliggande rutinerna.

Så vad är poängen? Ja, det är väl att kryptodelen av ett system inte allenarådande avgör systemets totala säkerhet. Det är frestande att säga "Det här systemet använder starkt krypto - det är säkert" eller "Det här systemet använder dåligt krypto - det är osäkert", men så enkelt kan man inte göra för sig. Åtminstone inte alltid.

(Vilket såklart inte är en ursäkt för att medvetet använda dåligt krypto; det är alltid en dålig idé)

David Hall sa...

SL Access började användas 1 september av de som köpt säsongskort på Internet. Sedan någon vecka tillbaka säljer SL Center vid Sergels Torg enbart sådana kort.

Anonym sa...

Har hört att det inte går att klona SL Access, de har lagt in någon form av räknesystem för autentisering. Om man klonar kortet verkar det som om man åkt samma resa två gånger och då går det inte att komma igenom spärrarna i t-banan.Så det är nog onödigt att försöka. Men det kanske går att avlyssna kortet via DPA oscillator och knäcka autentiseringskryptot den vägen, alltså strunta i mjukvaran och 'attackera' hårdvaran. Men det bygger ju på att man vet kodningen för hela protokollet och den lär ju vara svår att lägga vantarna på, eller :-)? Tror vi kan vara lugna när det gäller Sthlm. Iaf ett tag till...

Anonym sa...

Man kan ju gissa att de använder någon typ av HMAC. Typ HMAC MD5.
Och så kan man ju gissa att det inte ryms hur mycket kod som helst på 768 byteskortet.
Problemet är ju att det gör detsamma om man vet vilket krypto de använder, det blir iaf totalt omöjligt att hacka, ialla fall genom att avlyssna radiotrafiken, som nederländarna gjorde. Har du lyckats avlyssna en gång, är det ju inte samma info som kommer nästa gång man lägger dit kortet.

Anonym sa...

Jo, fast en DPA oscillator lyssnar ju inte av radiotrafiken, den lyssnar ju av "eltrafiken" i chipet och avslöjar vilka sektorer som är aktiva vid en speciell operation. Dessutom går det ju att "gissa", som du skriver, ganska mycket om Accesskortet genom att dammsuga webben på Mifare hack, vetenskapsrapporter och annat =)

Anonym sa...

"Med andra ord, nästan vem som helst med tillräckligt tekniskt kunnande och nån tusenlapp att spendera på internet kan kopiera ditt kort, eller skriva över det. Inte nog med att tekniken används i ett antal stora lokaltrafiksystem, den används även i många företags passerkort. Lyckat."

Om du har läst den idag tillgängliga RKF standarden så lär du dig att datan på kortet måste verifieras med en checksumma av en hemlig 16bitar summa, datan, samt kortets ID.

Kortets ID kan inte ändras (enbart med ghost-cards, som för övrigt fungerar sällan).

Alltså kontentan är om du vill kopiera någons Mifare kort och använda det själv måste du komma på ett sätt att skriva över ReadOnly fältet med kortets ID nummer.

Jag föreslår att du läser standarden för resekortets data men också gärna de papers om Mifare från Karsten Nohl som vissat att de är klandervärd som du påpekar.

Påståendet att vem som helst med "Internet" kan kopiera vilket kort som helst stämmer inte på väldigt många sätt.

Kommentaren som sa:
"... Men det kanske går att avlyssna kortet via DPA oscillator och knäcka autentiseringskryptot den vägen, alltså strunta i mjukvaran och 'attackera' hårdvaran. Men det bygger ju på att man vet kodningen för hela protokollet och den lär ju vara svår att lägga vantarna på, eller :-)? Tror vi kan vara lugna när det gäller Sthlm."

Påståendet är baserat på att informationen om detta system inte har läckt samt reverse-engineerats. Det gjorde den år 2006. Stockholm är lika lite lungt som de andra städerna i det hänseendet.

"de har lagt in någon form av räknesystem för autentisering Om man klonar kortet verkar det som om man åkt samma resa två gånger och då går det inte att komma igenom spärrarna i t-banan.Så det är nog onödigt att försöka."

Det stämmer inte förutom att SL summerar datan vid dagens slut för verifikation då kan falska kort strykas förutsatt att något verkligen är inkonsekvent.

Detär aldrig onödigt att försöka, det går att resa gratis och det kan gå till på tre sätt. 1. Återskrivning av kort /rendering av egna checksummor. 2. Planka 3. Gratis kollektivtrafik från den lokaöa trafikoperatören

Jag vill tillägga att det är ett stort problem att pengar spenderas i att hindra folk att resa kollektivt när det ändå är skattefinansierat till en mycket stor del. Rekursivt slöseri.

NO BORDERS! TRAVEL FREE!

Anonym sa...

MiFair NXP är leverantör av rfid korten endast? Västtrafik installerade all annan hårdvara från ett bolag som heter ERG, Australien, numera Videlli då bolaget blev rekonstruerat under 2009.