Localización de las personas con RFID

Actualmente, miembros de un equipo de investigación de la universidad de Washington están inmersos en un proyecto cuya finalidad es la de medir la frontera entre la privacidad de las personas y la utilidad de estar localizado todo el tiempo.

El proyecto se llama "RFID Ecosystem Project" y de acuerdo con uno de los investigadores implicados, el objetivo es el de estudiar las ventajas que conlleva un sistema de localización RFID, y a su vez, que riesgos implica.

Los investigadores han instalado cerca de 200 antenas en el edificio de ciencias de computación de la universidad de Washington, las cuales están constantemente escaneando en busca de etiquetas RFID.

A parte del sistema RFID, los investigadores han creado una suite de aplicaciones que usan la infraestructura RFID. Gracias a estas aplicaciones es posible monitorizar la actividad de una persona dentro del edificio de la universidad; donde ha estado, con quien ha estado etc.

Como ya se ha comentado antes en este blog, los mecanismos de seguridad implementados en este tipo de tecnologías todavía dejan bastante que desear. Es por esto que debemos estar atentos ante los resultados de este tipo de proyectos, porque, pese a los pobres sistemas de seguridad implementados para RFID actualmente, parece ser que esta tecnología sigue cobrando más y más protagonismo en el día a día de las personas.


Asier Marruedo
S21sec labs

RFID comprometido

Aunque no es novedad nuestra preocupación por la poca concienciación de los fabricantes en materia de seguridad a la hora de crear nuevos dispositivos RFID en una industria incipiente y con enorme potencial, recientemente salieron a la luz en la 24 edición del "Chaos Communication Congress" los esfuerzos de un trabajo de investigación que pone en entredicho la seguridad de los tags RFID de Mifare en su modalidad "Classic" (con capacidades de 1Kb y 4Kb) con autenticación y cifrado del tráfico de datos intercambiado por el inherentemente inseguro medio aéreo.

En paralelo a este importante suceso, cabe destacar las vulnerabilidades que dos estudiantes de la Universidad de Amsterdam encontraron en el sistema de cobro de tarifas sin contacto y desechable del metro de su ciudad (se emplea Mifare Ultralight, que carece de autenticación y cifrado de las comunicaciones), llamado "OV Chipkaart", el pasado Julio de 2007, comunicándolo a la empresa responsable de la explotación del sistema inalámbrico. Sin embargo, recientemente se ha conseguido romper de nuevo su revisada seguridad mediante un sencillo ataque de repetición haciendo uso de las posibilidades de emulación que ofrece un amplio abanico de hardware RFID cuyos esquemas están disponibles al público: RFID Guardian, OpenPICC o Proxmark III.

La trascendencia de estos trabajos ha hecho que de momento no salga a la luz pública información sobre estos asuntos en profundidad, ya que actualmente el sistema RFID de Mifare es empleado por millones de personas en escenarios de cobro de tarifas de transporte público o control de accesos (que se supone son una evolución de los sistemas RFID clásicos de baja frecuencia) utilizados en empresas o en el mercado doméstico (vehículos y domótica) en todo el mundo. De hecho, las repercusiones de estas recientes investigaciones se empiezan a notar a nivel gubernamental en Holanda, existiendo un cierto miedo a un hipotético caos general que puedan provocar estas vulnerabilidades en malas manos, así como la difícil justificación del cambio de otros modelos de pago de tarifas que llevan tiempo en funcionamiento (como las tarjetas de banda magnética o las tarjetas chip) y de los que se conoce el riesgo implícito a su tecnología.

De hecho, ahora mismo esta teniendo lugar una sesión palamentaria "Tweede Kamer" en Holanda para hablar de la tarjeta de transporte del país. Parece que tras hacerse pública esta noticia ayer mismo, un grupo de partidos políticos holandeses se estan oponiendo al futuro despliegue generalizado de la versión de la tarjeta recargable con tecnología RFID.

Es interesante hacer una pequeña reflexión sobre lo ocurrido, que no deja de ser una consecuencia del ya demostrado inútil empeño que pone la industria en basar su seguridad en el "security through obscurity" (seguridad mediante la oscuridad). Mientras los esfuerzos fuera del ámbito empresarial productor de semiconductores se centra en potenciar la creación de una I+D+i en la que las universidades participen e innoven con algoritmias que mejoren la seguridad y eficiencia de estos pequeños dispositivos con importantes restricciones en potencia y consumo, la industria sigue reticente y esceptica a escuchar, colaborar y adoptar todo este trabajo que no traería más que beneficios para todos.

¿Hasta cuándo tendremos que esperar para que las empresas tecnológicas de este tipo se percaten de que van por el camino equivocado a la hora de abarcar la seguridad de sus dispositivos desde una óptica ocultista? ¿Optarán por presionar a los gobiernos en pro de una dura legislación que transforme en ilegal las labores de auditoría de este tipo de dispositivos y criptosistemas cerrados, muchas veces llevados por grupos universitarios de investigación con nula malicia?

Álvaro Ramón
S21sec labs

Huellas digitales en pasaportes RFID alemanes

A partir del día 1 de noviembre de 2007, como pioneros de lo que está por venir en 2009, todas las oficinas alemanas de registro comenzaron a guardar las huellas dactilares de los cuidadanos que quieran viajar. Esto sucede justo dos años después de empezar a almacenar su imagen facial y datos de filiación en un chip RFID contenido en los pasaportes electrónicos (recordar que el pasaporte biométrico posee una capacidad de memoria de 32Kb ó 64Kb, y sólo una pequeña parte está siendo utilizada en la actualidad). Sin embargo, el grupo alemán de hackers "Chaos Computer Club" (CCC) señala que los pasaportes biométricos con estos datos llevan inherentes riesgos colaterales aun mayores que antes, que por ejemplo afectan a los ciudadanos alemanes de mayor edad.

Más del 10% de las personas mayores no tienen huellas dactilares lo suficientemente marcadas como para ser registradas y empleadas con éxito en un sistema de reconocimiento dactilar, y esto puede suponer un problema a la hora de almacenar esta información en las oficinas de registro. Además, esto supondrá una discriminación, unas inspecciones más rigurosas y un mayor tiempo de espera en los procesos de validación del pasaporte en los controles policiales aduaneros. Aparte de las personas mayores, las personas que trabajen mucho con sus manos tendrán los mismos problemas.

Incluso el gobierno alemán está de acuerdo en que intoducir la información de las huellas dactilares en los pasaportes biométricos no supone una mejora apreciable en la seguridad de los mismos, acarreando más problemas que ventajas. Aun así, se ha establecido que a partir de 2009 será obligatorio expedir pasaportes biométricos que incluyan el registro de huellas dactilares (los diplomáticos sin embargo no tienen pasaportes biométricos, curioso cuanto menos).

Paralelamente al problema de gestión que supone la introducción de información biométrica de este tipo en los pasaportes, se añade el riesgo de poder clonar o hacer uso ilegítimo de la misma, ya que los mecanismos de seguridad de estos documentos (ficheros firmados pero no cifrados), como se ha visto en estos dos años, son muy débiles. La culpa de esta situación la tienen los paises, que optan por la vía fácil de implementar el "Basic Access Control" (BAC) con claves extrapoladas de la "Machine Readable Zone" (MRZ, zona del pasaporte legible por máquinas mediante OCR), en lugar del "Extended Access Control" (EAC) basado en claves públicas de paises para la autenticación de los documentos.

La Organización Internacional de Aviación Civil (ICAO) optó en el momento de definir el estándar por almacenar una imágen digital de las huellas, en lugar de almacenar sus puntos de minucia (vectores que identifican de manera unívoca las características de una huella digital). Esto implica que una vez extraida esta información, como un fichero adicional contenido en el pasaporte, es posible imprimirla y generar una réplica en un molde, tal y como se ha hecho en una prueba de concepto en las instalaciones de S21sec labs. Este valiosísimo recurso supone un enorme peligro para el propietario de la huella, ya que con ella una persona con malas intenciones puede impersonarle en multitud de escenarios.

Ya se verá si el resto de paises, bajo las recomendaciones de la ICAO, deciden introducir la información de las huellas en sus respectivos pasaportes electrónicos de una forma más segura, o se empieza a usar EAC en los pasaportes electrónicos. Por lo pronto España tiene pensado incluir las huellas de ambos dedos índices en 2009, fecha tope para ello. Con tanta información personal disponible por el aire, ya será casi obligatorio el uso de las carteras antiRFID.

Álvaro Ramón
S21sec labs

S21sec en “Seguridad RFID Malaga 2007”

S21sec participó los días 11-13 de Julio en la 3ª conferencia organizada en torno al tema de la seguridad en sistemas RFID (http://www.rfidsec07.etsit.uma.es). El acogedor entorno de la ciudad de Málaga fue el escogido esta vez para recibir a un grupo de expertos de primer orden mundial. Entre todos ellos destacaba especialmente la presencia del criptógrafo israelita Adi Shamir, siendo conocido especialmente por la publicación en 1977 del algoritmo RSA, siendo la S del mismo la inicial de su apellido.

Así mismo,hay que destacar la presencia de Vincent Rijmen co-creador del algoritmo Rijndael o AES (Advanced Encryption Standard), usado, entre otros, como estándar de cifrado por el gobierno de los Estados Unidos. También hay que destacar la presencia de Melanie R. Rieback, quien lidera el grupo de la Vrije Universiteit Amsterdam y que ha desarrollado el prototipo para un Firewall RFID que han llamado RFID guardian. Este grupo de investigación ya se hizo conocido por sus avances en la seguridad RFID con el articulo que llevaba el chocante título de : “Is Your Cat Infected with a Computer Virus?” en el que mencionaban la posibilidad de que el chip RFID identificador de una mascota fuera infectado con un virus informático por medio de un ataque conocido como “SQL injection”.

La mayoría de las discusiones y presentaciones estaban relacionadas con logros criptográficos de alto nivel académico, ya sea de ruptura de códigos ya existentes, como de conseguir realizar un cifrado con una clave del mayor número de bits posibles con la menor energía posible. Esto último es fundamental en el sistema RFID, ya que el coste y el tamaño de cada tag van a ser delimitadores del alcance, autonomía y seguridad de los mismos.

El comentario general referente a las aplicaciones industriales es que se está disparando el uso de esta tecnología, especialmente en los consabidos campos de logística, control de accesos, marcado de animales, peajes, antifraude, etc… pero la preocupación principal reside en que los sistemas funcionen rápida y fiablemente, descuidando muchas veces la seguridad de los mismos, de manera similar a lo que paso en las primeras fases de Internet.

La expectativa es que la seguridad en RFID pase a ser algo que los usuarios e implementadores de RFID demanden cada vez más, conforme esta tecnología vaya pasando a ser parte habitual de nuestras vidas. Sirva como referencia el título de la presentación de Melanie R. Rieback:”Inventing the RFID Security Industry”, la seguridad RFID es un modelo de negocio que está arrancando.

Desde S21sec recomendamos la asistencia a este seminario el año próximo, en el que también estaremos presentes, a ser posible con un paper.

¿Camiones transparentes al RFID?

Las ventajas de la tecnología RFID son innegables y está llamada a ser la sucesora de los códigos de barras, que ya cambiaron la industria y la forma de controlar la información logística. Sin embargo, la tecnología RFID es de reciente implantación, y al igual que en los comienzos de las redes WLAN, las compañías están más preocupadas por un rápido despliegue e implementación que por considerar los riesgos que entraña la misma.

¿Es concebible un escenario en el cual una persona ajena a una organización consiga leer externamente el contenido de un camión de la misma? En principio, según el artículo siguiente esto sería teóricamente posible. El uso de etiquetas EPC ha facilitado el control logístico de los objetos, al contener un identificador único a lo largo de toda la cadena logística. Esta información puede ser obtenida con herramientas (HW & SW) estándar desde la cercanía del camión. El rango de obtención de esta información depende altamente de la potencia y antenas empleadas.
Mantener el contenido de la carga bien oculto ha sido siempre una prioridad entre los transportistas, principalmente por temas de asaltos y robos en carretera. ¿Se imaginan transportar un camión cargado de pantallas de plasma dentro de una caja transparente en el camión por una zona peligrosa? No hay que olvidar los necesarios descansos y pernoctaciones en áreas de descanso en carreteras, que son los momentos más vulnerables del transporte.

Por otro lado, si las etiquetas no están protegidas con autenticación y contraseña, un usuario externo podría cambiarlas o deshabilitarlas, pudiendo aprovecharse de esta situación para usos delictivos.

Sin embargo, pese a la posibilidad teórica de realizar este tipo de seguimiento o lectura sin consentimiento, hay que tener en cuenta que en el sistema RFID hay diferentes niveles de autenticación. El número EPC es enviado por el lector RFID a un servidor, quien a su vez ha de autenticarse en un servidor ONS que resuelve dicho número de manera similar a un servidor DNS. La información suministrada por el ONS dirige la petición a un servidor PML con extensa información sobre el producto.