Атака на криптозащиту

Трудно представить будущее без тотального контроля за каждым, однако, по всей видимости, на ближайшие пару десятков лет мы можем забыть о пристальном взгляде Большого Б. Технологии RFID, электронных паспортов, биометрических идентификаторов оказались на одном корабле с символичным названием «Титаник». Конечно, что «один человек собрать смог другой завсегда разберёт»©, вот и не выдержали электронные поделки пытливых рук хакеров-испытателей.

Уж на что надёжными были DST (Digital Signature Transponder) чипы, широко применявшиеся (и применяемые) в автомобильной индустрии RFID. Тут сделать небольшой реверанс в сторону RFID, о которую уже не мало копий сломали,
в том числе и на Хакере. Однако чаще всего рассматривают самую дешевую и потому самую распространенную разновидность микросхем радиочастотной идентификации, обычно именуемых метками EPC (Electronic Product Code tag) и применяемых для бесконтактной идентификации товаров. К слову говоря, RFID это не только метки EPC, но и широкий спектр радиочастотных устройств с разнообразной функциональностью. Более дорогие и продвинутые RFID-чипы имеют, в частности, встроенные криптографические функции и поддерживают серьезные протоколы аутентификации, то есть удостоверения подлинности предъявляемой к опознанию информации. Одним из самых популярных и широко распространенных на рынке устройств такого рода и является чип DST. DST обычно представляет собой микрочип и катушку антенны, запаянные в маленькую капсулу из пластика или стекла. Это пассивное устройство, что означает отсутствие в схеме собственного источника питания и извлечение необходимой для работы схем энергии из сигналов запроса, излучаемых устройством-считывателем.

Атака на DST состоит из нескольких непоследовательных этапов. Все стадии может провести любитель, черпающий дополнительную информацию из источников в интернете и способный на коленках собрать то или иное радиоэлектронное устройство, не отличающееся повышенной сложностью. Дабы избежать некоторых проблем подробности атаки были опушены. Итак.

Первый этап: обратная инженерная разработка схемы DST. Обычно на этом этапе применяют либо дезассемблирование программы (если имеется ее исполняемый код), либо восстановление через анализ работы собственно микросхемы (разрушающими или неразрушающими методами). Есть ещё и третий, весьма экзотическим путь, — восстановление криптосхемы методом вскрытия «черного ящика». Иными словами, построение эквивалентной схемы на основе подбора и анализа специальных последовательностей, подаваемых на вход и получаемых на выходе устройства. Подбирая особого вида ключи и входные векторы-оклики, а затем анализируя отзывы чипа на выходе, можно выстроить эквивалентную криптосхему, дающую на выходе то же самое, что и DST, при одинаковых параметрах ввода.

Второй этап: вскрытие ключа произвольного чипа. Поскольку известно, что длина ключа составляет всего 40 бит (ключ небезопасен ещё с начала 90-х гг.), вскрывать можно безо всяких аналитических ухищрений, тотальным перебором всех возможных комбинаций. Правда, в чисто программной реализации на обычном (пусть и быстром) ПК перебор при данном криптоалгоритме чересчур медленный и занимает продолжительное время. Тогда хацкеры «на коленке» собрали спецвычислитель – матрицу из шестнадцати FPGA-процессоров (чипов с перепрограммируемой логикой), перебирающих ключи в параллели. Такая система стала отыскивать секретный ключ любого DST меньше чем за час, причем для этого требовалось всего два отзыва RFID на оклики произвольного вида. Плюс к этому на основе известной методики Хеллмана была рассчитана балансировка между производительностью и памятью вычислителя, и показано, что, загрузив предварительно вычисленную большую таблицу ключей на диск карманного устройства вроде плеера iPod, нужный ключ можно будет отыскивать меньше чем за минуту (если же вместо процессора общего назначения применить специальный FPGA, то вообще за несколько секунд).

Третий этап исследования сводится к «полевым испытаниям» симулятора DST, сконструированного на основе ноутбука и программно реализованного радиопередатчика. В итоге с помощью ноутбука-симулятора удалось научиться заводить новый Ford Escape 2005 года (принадлежащий одному из хакеров) и несколько раз залить бензин на автозаправке со SpeedPass (подделав, опять же, собственный жетон оплаты).

В итоге, правда, эксперты назвали продемонстрированную атаку чересчур мудреной и дорогостоящей (поскольку гораздо проще и дешевле украсть машину, просто погрузив ее на платформу тягача). Но это уже вопрос субъективных оценок, а вот конструктивный подход к проблеме налицо.

 

Ты не достанешь из широких штанин

О внедрении электронных паспортов говорят ну очень много. Постоянно в прессе мелькают сведения, что ЭП универсальное и совершенное средство идентификации личности. Но это в теории. На практике же вырисовывается куча проблем. Главные претензии общественности к паспортам нового образца – наличие дистанционно считываемых RFID-чипов и отсутствие шифрования личной информации, прописанной в памяти микросхемы. Из-за этого содержимое важного, удостоверяющего личность документа становится доступно любому, кто имеет к такой информации интерес. Для постоянно растущих в числе «краж личности» новые электронные документы предоставляют прямо-таки бескрайнюю урожайную ниву. Да и вообще, люди предпочитают предъявлять личные документы лишь в тех случаях, когда считают это необходимым, а не любому встречному.

Короче говоря, государство, на словах заботясь о безопасности граждан, в данном случае создает лишь новые проблемы и угрозы, защищаться от которых каждому придется самостоятельно. Например, храня RFID-паспорт в непроницаемой для электромагнитных волн оболочке. Почему власти отдали предпочтение радиочастотной форме считывания информации, а не заведомо более безопасной контактной, внятно объяснять никто не хочет. Правда, в спецификациях ICAO говорится, что этот способ и был выбран из-за возможности считывания информации без ведома владельца паспорта… (Юмор уловили?) По той же причине, судя по всему, в качестве базовой технологии биометрической идентификации в паспортах США выбрано опознание по лицу – гораздо менее надежное, чем по радужке глаза, но зато применимое на куда больших расстояниях и опять же без ведома владельца. В России пока что намерены использовать «двойную биометрию», включающую и отпечатки пальцев.

 

Новое поколение как оружие массового уничтожения

Дабы успокоить недовольных и облегчить внедрение новой перспективной технологии, индустрия RFID разработала новые чипы, так называемые Gen 2, которые выдают прописанные в них данные лишь в том случае, если ридер отправляет правильный пароль считывания. Кроме того, ридер может передать и другой пароль, «на самоуничтожение», приняв который, метка стирает свое содержимое — например, когда покупатель покидает магазин с оплаченным товаром.

На первый взгляд, новая схема выглядит гораздо привлекательнее, нежели RFID первого поколения, особенно если принять во внимание, что хранимые в чипе и передаваемые в эфир данные защищены шифрованием от перехвата и использования злоумышленниками. Однако при более пристальном изучении Gen 2 выяснилось, что предельная дешевизна чипов-меток сыграла фатальную роль и на самом деле защита новой технологии намного слабее, чем хотелось бы. В частности, стойкость RFID к так называемому дифференциальному анализу питания, с помощью которого в свое время было вскрыто большинство имевшихся на рынке смарт-карт оказалось сопротивлением школьницы перед групповым изнасилованием. Как правило,
RFID-метки не имеют собственного источника питания, используя энергию излучения прибора-считывателя. Но когда это происходит, то каждая операция вычисления в схеме RFID поневоле видоизменяет электромагнитное поле вокруг чипа. Благодаря чему с помощью нехитрой направленной антенны можно отслеживать и регистрировать динамику потребления энергии чипом — в частности, различия в побочных сигналах, излучаемых при приеме правильных и неверных битов пароля.

Аналитики, имеющие соответствующий навык, легко выявляли на экране осциллографа пики, соответствующие неверным битам, то есть, каждый раз начиная процедуру заново с небольшой модификацией неправильного бита, удавалось довольно быстро восстановить пароль, инициирующий «самоубийство» чипа. Проанализировав необходимый для подобной операции инструментарий, исследователи пришли к выводу, что в принципе достаточного обычного, особым образом запрограммированного сотового телефона, чтобы автоматически вычислять пароль самоуничтожения и убивать все попавшие в зону облучения RFID.

Как известно метки RFID обнаруживаются считывателем, когда попадают в зону его действия. Считыватель поддерживает связь с метками, переключаясь между каналами в выделенном диапазоне частот (902-928 МГц). Считалось, что это надежно, так как в случае помех считыватель может перейти на другую частоту. В ходе хакерских испытаний насыщали частотный диапазон, используемый метками, что не позволяло им соединяться со считывателем. Использование скачкообразной перестройки частоты не спасает от DoS-атак, так как метки не способны перестраивать частоту самостоятельно.

С расстояния 1 м можно нарушить связь между метками и считывателями, переводя метку в состояние «ошибки связи». Несмотря на то, что при наличии помех считыватели могут перестраивать частоту в пределах выделенной полосы, метки RFID не могут этого делать, так как воспринимают всю полосу как один канал.

 

The small… electronic… enemy?

В связи со всем вышеперечисленным стремление некоторых компаний вживлять радиочастотные метки людям выглядит по меньше мере странным. Владелец такой «чёрной метки» не может чувствовать себя в безопасности. Ну а как же электронные паспорта, неужели они так же беззащитны перед кровожадными хакерами? К счастью, да! Недавно в прямом эфире голландского телевидения специалисты IT-технологий за два часа сломали код доступа к информации, записанной на чипах RFID. «Хакерам» удалось считать отпечаток пальца, фотографию и остальные паспортные данные, сообщает Engadget. Выяснилось, что код паспорта шифровался на основе даты рождения, даты выдачи паспорта и срока его действия.

Что ж, и это ещё не все беды. По сообщению The New York Times, на компьютерной конференции в Италии, эксперты заявили, что система радиочастотной идентификации уязвима для вируса, который при сканировании может попасть в компьютер. RFID-метки содержат гораздо больше информации и быстрее считываются компьютерами, чем традиционные штрих-коды. Новые бирки получают все более широкое распространение, в том числе применяются для отслеживания багажа в аэропортах. А это таит опасность: террористы и контрабандисты могут воспользоваться изъянами технологии, чтобы обойти сканирующие системы аэропорта, пишет The New York Times.

Почему же при всех многочисленных недостатках RFID продолжает шагать по планете и отказываться от него никто не собирается? Есть две точки зрения на данный вопрос. Первая – все проблемы прежде всего связаны с тупостью, разгильдяйством и вороватостью человеческого материала. Тут ни RFID v2, ни RFID v10 не поможет. Часть решения проблем — это банальные административные меры. Или лоботомия.

Вторая точка зрения… Впрочем, если не хотите портить себе настроение, не читайте дальше. Очень вас прошу. Живите себе спокойно и ни о чем не беспокойтесь.

Для тех, кто не послушался доброго совета:

  • RFIDметкам не нужен контакт или прямая видимость; данные о вас могут быть получены без вашего непосредственного участия.
  • RFIDметки читаются быстро и точно, что позволяет контролировать огромное количество людей одновременно.
  • RFID-метки можно использоваться даже в агрессивных средах, через грязь, краску, пар, воду, пластмассу, древесину и, естественно, человеческую кожу и кости.
  • пассивные RFID-метки имеют фактически неограниченный срок эксплуатации, обладают низкой себестоимостью.
  • RFID-метки несут большое количество информации, в том числе и так называемой «служебной».
  • RFID-метки легко отследить; пусть на небольшом расстоянии, но именно там, где нужно – метро, офисы, банки, магазины, остановки.
  • RFID-метки могут быть не только для чтения, но и с записью достаточно большого объема информации.

P.S. На закуску. Программа RFDump, которая без проблем выводит все метаданные, записанные в метке, и даже позволяет редактировать их в текстовом или шестнадцатеричном редакторе. А зачем это надо, подумайте сами.

Оставить мнение

Check Also

Скрытая сила пробела. Эксплуатируем критическую уязвимость в Apache Tomcat

В этой статье мы поговорим о баге в Apache Tomcat, популярнейшем веб-сервере для сайтов на…