Español | English
rss facebook linkedin Twitter

RFID comprometido

Aunque no es novedad nuestra preocupación por la poca concienciación de los fabricantes en materia de seguridad a la hora de crear nuevos dispositivos RFID en una industria incipiente y con enorme potencial, recientemente salieron a la luz en la 24 edición del "Chaos Communication Congress" los esfuerzos de un trabajo de investigación que pone en entredicho la seguridad de los tags RFID de Mifare en su modalidad "Classic" (con capacidades de 1Kb y 4Kb) con autenticación y cifrado del tráfico de datos intercambiado por el inherentemente inseguro medio aéreo.



En paralelo a este importante suceso, cabe destacar las vulnerabilidades que dos estudiantes de la Universidad de Amsterdam encontraron en el sistema de cobro de tarifas sin contacto y desechable del metro de su ciudad (se emplea Mifare Ultralight, que carece de autenticación y cifrado de las comunicaciones), llamado "OV Chipkaart", el pasado Julio de 2007, comunicándolo a la empresa responsable de la explotación del sistema inalámbrico. Sin embargo, recientemente se ha conseguido romper de nuevo su revisada seguridad mediante un sencillo ataque de repetición haciendo uso de las posibilidades de emulación que ofrece un amplio abanico de hardware RFID cuyos esquemas están disponibles al público: RFID Guardian, OpenPICC o Proxmark III.

La trascendencia de estos trabajos ha hecho que de momento no salga a la luz pública información sobre estos asuntos en profundidad, ya que actualmente el sistema RFID de Mifare es empleado por millones de personas en escenarios de cobro de tarifas de transporte público o control de accesos (que se supone son una evolución de los sistemas RFID clásicos de baja frecuencia) utilizados en empresas o en el mercado doméstico (vehículos y domótica) en todo el mundo. De hecho, las repercusiones de estas recientes investigaciones se empiezan a notar a nivel gubernamental en Holanda, existiendo un cierto miedo a un hipotético caos general que puedan provocar estas vulnerabilidades en malas manos, así como la difícil justificación del cambio de otros modelos de pago de tarifas que llevan tiempo en funcionamiento (como las tarjetas de banda magnética o las tarjetas chip) y de los que se conoce el riesgo implícito a su tecnología.

De hecho, ahora mismo esta teniendo lugar una sesión palamentaria "Tweede Kamer" en Holanda para hablar de la tarjeta de transporte del país. Parece que tras hacerse pública esta noticia ayer mismo, un grupo de partidos políticos holandeses se estan oponiendo al futuro despliegue generalizado de la versión de la tarjeta recargable con tecnología RFID.

Es interesante hacer una pequeña reflexión sobre lo ocurrido, que no deja de ser una consecuencia del ya demostrado inútil empeño que pone la industria en basar su seguridad en el "security through obscurity" (seguridad mediante la oscuridad). Mientras los esfuerzos fuera del ámbito empresarial productor de semiconductores se centra en potenciar la creación de una I+D+i en la que las universidades participen e innoven con algoritmias que mejoren la seguridad y eficiencia de estos pequeños dispositivos con importantes restricciones en potencia y consumo, la industria sigue reticente y esceptica a escuchar, colaborar y adoptar todo este trabajo que no traería más que beneficios para todos.

¿Hasta cuándo tendremos que esperar para que las empresas tecnológicas de este tipo se percaten de que van por el camino equivocado a la hora de abarcar la seguridad de sus dispositivos desde una óptica ocultista? ¿Optarán por presionar a los gobiernos en pro de una dura legislación que transforme en ilegal las labores de auditoría de este tipo de dispositivos y criptosistemas cerrados, muchas veces llevados por grupos universitarios de investigación con nula malicia?

Álvaro Ramón
S21sec labs

3 comentarios:

internationalist dijo...

your blog would be read by 2x people if it would be in english :)

Ion dijo...

We want to, and I hope we`ll make it soon, maby this year.
Thanks a lot and sorry for the inconvenience...

Anónimo dijo...

But maybe won't be read by spanish guys!
Albert


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login