View
216
Download
0
Category
Preview:
Citation preview
Seguridad Informática Dr. Roberto Gómez Cárdenas
Seguridad en Dispositivos Móviles y RFIDs 1
Dr. Roberto GómezLámina 1
Seguridad en dispositivos móviles y RFIDs
Roberto Gómez Cárdenasrogomez@itesm.mx
http://homepage.cem.itesm.mx/rogomez
Dr. Roberto GómezLámina 2
Dispositivo …
Seguridad Informática Dr. Roberto Gómez Cárdenas
Seguridad en Dispositivos Móviles y RFIDs 2
Dr. Roberto GómezLámina 3
… móvil?
Dr. Roberto GómezLámina 4
Primero fue…
Seguridad Informática Dr. Roberto Gómez Cárdenas
Seguridad en Dispositivos Móviles y RFIDs 3
Dr. Roberto GómezLámina 5
Luego los teléfonos
Dr. Roberto GómezLámina 6
También los videojuegos
Seguridad Informática Dr. Roberto Gómez Cárdenas
Seguridad en Dispositivos Móviles y RFIDs 4
Dr. Roberto GómezLámina 7
Siguieron las computadoras
Dr. Roberto GómezLámina 8
Y después …
Seguridad Informática Dr. Roberto Gómez Cárdenas
Seguridad en Dispositivos Móviles y RFIDs 5
Dr. Roberto GómezLámina 9
Clasificación
• Dispositivos de propósito general– Computadoras, laptops, tabletas, etc
• Dispositivos de entretenimiento– el iPod video o el Playstation
• Dispositivos de comunicación y control– teléfonos, PDAs, Blackberries
• Dispositivos especializados o appliance de información. – relojes, iPods, ATMs, GameBoys
Dr. Roberto GómezLámina 10
Protegiendo la comunicación
• Comunicación con la empresa para bajar/subir información
• Posibilidad de escucha por parte de terceros• Uso de canales seguros (VPNs)
– SSL/TLS sobre el dispositivo– SSL/TLS no es exclusivo de aplicaciones web– Posible utilizarlo en aplicaciones web o con
aplicaciones
Seguridad Informática Dr. Roberto Gómez Cárdenas
Seguridad en Dispositivos Móviles y RFIDs 6
Dr. Roberto GómezLámina 11
Puntos a tomar en cuenta
• Analizar las aplicaciones son necesarias asegurar– comunicación con la red interna, IM, correo electrónico
• Algunas implementaciones de SSL/TLS requieren el uso de certificados
• ¿Qué pasa si el usuario viaja al extranjero?– En algunos países el uso del la criptografía esta
restringido y no siempre es posible usarla. • Verificar las puertas alternas de este tipo
aplicaciones están cerradas. – https://organizacion.acme.com funciona – http://organizacion.acme.com no funciona
Dr. Roberto GómezLámina 12
La información dentro del dispositivo
• Un dispositivo móvil almacena información y aplicaciones.
• La información que se encuentra dentro de un dispositivo móvil debe contar con la misma arquitectura de seguridad que cualquier dispositivo de cómputo de una organización. – un firewall personal, un antivirus
• Cifrado de la información contenida en el dispositivo móvil.
Seguridad Informática Dr. Roberto Gómez Cárdenas
Seguridad en Dispositivos Móviles y RFIDs 7
Dr. Roberto GómezLámina 13
Algunos productos
Fuente: IEEE Security & Privacy, Juy/August 2007
Dr. Roberto GómezLámina 14
Precauciones robo dispositivos
• Objetivo principal: laptop• Prevención física
– Cable – Laptop Safes– Sensores de movimiento y alarmas– Sentido común
• Prevención lógica– Establecer una contraseña de BIOS– Establecer una contraseña de login– Cifrado del sistema de archivos– Almacena un mínimo de datos en el dispositivo
Seguridad Informática Dr. Roberto Gómez Cárdenas
Seguridad en Dispositivos Móviles y RFIDs 8
Dr. Roberto GómezLámina 15
Virus en dispositivos móviles
El malware para dispositivos móviles esta en crecimiento más rápido de lo que lo hizo en sus primeros días en el ambiente de la PC
McAfeeEl riesgo de contraer un virus en un dispositivo móvil no es, ni cercano, al riesgo de perder el dispositivo o a que se lo roben
Microsoft
Dr. Roberto GómezLámina 16
Ejemplos virus
• Junio 2007– Grupo 29a escriben el Caribe– Actuaba sobre Symbian– Se expandia a través de Bluetooth
• Julio 2004– VirusWinCE.Duts– Primer virus sobre Windows Mobile CE– Infectaba archivos de teléfonos inteligentes
• Agosto 2004– Brador– Troyano
Seguridad Informática Dr. Roberto Gómez Cárdenas
Seguridad en Dispositivos Móviles y RFIDs 9
Dr. Roberto GómezLámina 17
Malware dispositivos móviles 2005 ( Kaspersky)
Dr. Roberto GómezLámina 18
Malware dispositivos móviles 2006 ( Kaspersky)
Seguridad Informática Dr. Roberto Gómez Cárdenas
Seguridad en Dispositivos Móviles y RFIDs 10
Dr. Roberto GómezLámina 19
Incremento virus en 2004 y 2005(Kaspersky)
Dr. Roberto GómezLámina 20
Incremento virus en 2006(Kaspersky)
Seguridad Informática Dr. Roberto Gómez Cárdenas
Seguridad en Dispositivos Móviles y RFIDs 11
Dr. Roberto GómezLámina 21
Incremento desde el 2004(Kaspersky)
Dr. Roberto GómezLámina 22
Virus pos sistema operativo(Trend Micro)
Palm OS
Windows Mobile
Symbiam
Sistema Operativo
PALM_FATAL.APALM_LIBERTY.APALM_MTX_II.APALM_PHAGE.APALM_VAPOR.A
5
WINCE_BRADOR.A,WINCE_DUTS.AWORM_CXOVER.A
3
EPOC_ALARM.A, EPOC_ALARM.BEPOC_ALONE.A, SYMBOS_SKULLS.ZSYMBOS_SNDTOOL.A, SYMBOS_VIVER.ASYMBOS_VLASCO………
106
Ejemplos VirusCantidad
Seguridad Informática Dr. Roberto Gómez Cárdenas
Seguridad en Dispositivos Móviles y RFIDs 12
Dr. Roberto GómezLámina 23
El protocolo Bluetooth
• Tecnología de alta velocidad pero de rango corto para intercambio de datos entre dispositivos móviles.
• El protocolo permite formar lo que se conoce como redes inalámbricas de área personal (PAN)
• Diferentes versiones– Versión actual 2.0– Versión 3.0 en desarrollo
Dr. Roberto GómezLámina 24
Vulnerabilidades Bluetooth
• Bluejacking. – usar un teléfono celular con tecnología
Bluetooth activa para enviar información no solicitada a otro dispositivo.
• Bluesnarfing. – robo de información de un dispositivo
inalámbrico a través de una conexión Bluetooth.
• Bluespamming– enviar spam a dispositivos con el
bluetooth activo.
Seguridad Informática Dr. Roberto Gómez Cárdenas
Seguridad en Dispositivos Móviles y RFIDs 13
Dr. Roberto GómezLámina 25
Herramientas
• Bluesnarf, • Bluespam• Bluesniff• BTCrack• Obexftp• Psmscan• RedFang• Redsnarf• El Rifle Bluetooth
Dr. Roberto GómezLámina 26
Algunas preguntas
• ¿Qué protocolo utilizan los puntos de venta inalámbricos para transmitir la información de la tarjeta de crédito?
• ¿Se encuentra este protocolo protegido?• ¿Seria posible un ataque para modificar lo que se
pidió en un restaurante que toma las ordenes vía un dispositivo móvil?
Seguridad Informática Dr. Roberto Gómez Cárdenas
Seguridad en Dispositivos Móviles y RFIDs 14
Dr. Roberto GómezLámina 27
El dispositivo móvil como herramienta de ataque
• Dispositivos – Mejor desempeño– Sistema operativo Linux
• Protocolos de interacción– WAP– WTLS– WSP– WML
Dr. Roberto GómezLámina 28
Mobphishing: Mobile Phishing
• No involucra correo electrónico y errores en páginas web
• Puntos de acceso fraudulentos creados en un dispositivo móvil inteligente.
• En la conferencia RSA 2007, Carl Banzhof, dio a conocer este ataque.– Nuevos dispositivos móviles soportan
protocolo 802.11– Implementación ataque “evil twin” con un
T-Mobile corriendo Windows CE 5.0– Asevera que se puede llevar a cabo de
forma más fácil con el iPhone
Seguridad Informática Dr. Roberto Gómez Cárdenas
Seguridad en Dispositivos Móviles y RFIDs 15
Dr. Roberto GómezLámina 29
Seguridad en Sistemas RFID
Roberto Gómez CárdenasITESM-CEM
rogomez@itesm.mxhttp://webdia.cem.itesm.mx/ac/rogomez
Dr. Roberto GómezLámina 30
Erase una vez ...
Seguridad Informática Dr. Roberto Gómez Cárdenas
Seguridad en Dispositivos Móviles y RFIDs 16
Dr. Roberto GómezLámina 31
Primero eran las etiquetas ...
Dr. Roberto GómezLámina 32
Después fue el código barras
Seguridad Informática Dr. Roberto Gómez Cárdenas
Seguridad en Dispositivos Móviles y RFIDs 17
Dr. Roberto GómezLámina 33
Pero ...
Dr. Roberto GómezLámina 34
Los sistemas RFID
• Radio Frequency Identification Device• RFID es una tecnología que usa ondas de
radio-frecuencia para transferir datos entre un lector y un objeto móvil que debe ser identificado, clasificar, dar seguimiento...
• Son rápidos y no requieren de un contacto físico o “alineación” con respecto al lector/scanner y el objeto “etiquetado”
Seguridad Informática Dr. Roberto Gómez Cárdenas
Seguridad en Dispositivos Móviles y RFIDs 18
Dr. Roberto GómezLámina 35
¿Qué constituye un sistema RFID?
• Una o más etiquetas• Dos o más antenas• Uno o más interrogadores• Una o más computadoras• Software apropiado• Una base de datos
Dr. Roberto GómezLámina 36
Componentes sistema RFID
RFID API Software(se comunica con el lector RFID)
Software AplicaciónEspecifico cliente
ComputadoraEspacio memoria del host
Lectora
AntenaAntena
ApplicationProgramInterface
(API)
ApplicationProgramInterface
(API)
Seguridad Informática Dr. Roberto Gómez Cárdenas
Seguridad en Dispositivos Móviles y RFIDs 19
Dr. Roberto GómezLámina 37
Diagrama bloques componentes
Etiq.Insert
Antena Lectora
Firmware
MISCliente
Host
Software Aplicación API
TCP/IP
Potencia
~
Artículo
Artículo/Etiqueta
Dr. Roberto GómezLámina 38
Operación RFID
• Secuencia de comunicación– Host administra lector – Lector y etiqueta se comunican via señal RFID– La señal es generada por el lector– La señal es enviada a través de las antenas– La señal llega a las etiquetas– Etiqueta llega y modifica la señal
• envía de regreso la señal modulada
– Antenas reciben la señal modulada y la envían al lector– Lector decodifica losdatos
• resultados son enviados al host que contiene la aplicación
Seguridad Informática Dr. Roberto Gómez Cárdenas
Seguridad en Dispositivos Móviles y RFIDs 20
Dr. Roberto GómezLámina 39
Operaciones RFID
Dr. Roberto GómezLámina 40
Las etiquetas
• Pueden ser de solo lectura o de lectura/escritura.
• La memoria de la etiqueta puede ser programada, particionada o bloqueada permanentemente.
• Bytes no bloqueados pueden ser re-escritos más de 1000,000 veces.
Seguridad Informática Dr. Roberto Gómez Cárdenas
Seguridad en Dispositivos Móviles y RFIDs 21
Dr. Roberto GómezLámina 41
¿Donde pueden usarse?
• Pueden atarse a casi todo– vehículos– personal y activos de la
compañía– objetos como aparatos, – gente, mascotas– objetos electrónicos de alto
valor como computadoras, TVs, videograbadoras
Dr. Roberto GómezLámina 42
Tipos de etiquetas
• Activas– Las etiquetas transmiten señales de
radio– Batería alimenta memoria, radio y
circuitos– Alcance de unos 300 pies
• Pasivas– Reflejan señales de radio del lector– Alimentado por el lector– Alcance corto (4 pulgadas a 15 pies)
Seguridad Informática Dr. Roberto Gómez Cárdenas
Seguridad en Dispositivos Móviles y RFIDs 22
Dr. Roberto GómezLámina 43
Variedad etiquetas
• Memoria– tamaño: 16 bits – 512 Kbytes– RO, R/W o WORM– Tipo: EEPROM, Antifuse, FeRAM
• Anti-colisión– habilidad para leer/escribir una o varias
etiquetas al mismo tiempo• Frecuencia
– 125Khz – 5.8 Ghz• Dimensiones fisicas
– uña hasta ladrillo• Precio (dólares, Alien Technologies)
– unidad: 25 centavos por unidad– 1 billón unidades: 10 centavos por unidad– 10 billones unidades: 5 centavos por unidad
Dr. Roberto GómezLámina 44
Aplicaciones
• Manejo inventarios– ¿qué es?– ¿donde ha estado?– ¿a donde va?
• Inspección de materiales– esta dentro de la garantía– ha sido inspeccionado– esta completo
• Líneas de ensamble
Wireless / Batch
Inventory Management
Seguridad Informática Dr. Roberto Gómez Cárdenas
Seguridad en Dispositivos Móviles y RFIDs 23
Dr. Roberto GómezLámina 45
Mitos y realidades
• Mito– Tamaño RFID es de un pin y puede ser instalada
en cualquier producto.– Pueden ser leídos desde una gran distancia.
• Realidad– Campos electromagnéticos presentan problemas
con metal y otros materiales aislantes.– Requieren antena, la cual tiene cierto tamaño.– Distancia máxima: 10 metros.
Dr. Roberto GómezLámina 46
Etiquetas ISO 15693
• Etiqueta cuenta con un identificador único: UID• UID es necesario para evitar colisiones• UID es programado de fabrica y no puede ser
cambiado• Memoria etiqueta dividida en dos partes
– bloque administrativo• UID: unique identifier• AFI: application family identifier• DSFID: data storage format identifier
– datos usuario• almacena hasta 128 bytes de datos de usuario
Seguridad Informática Dr. Roberto Gómez Cárdenas
Seguridad en Dispositivos Móviles y RFIDs 24
Dr. Roberto GómezLámina 47
Bloque administrativo
• Codificación identificador único
• Códigos fabricante
Dr. Roberto GómezLámina 48
Datos usuario
Seguridad Informática Dr. Roberto Gómez Cárdenas
Seguridad en Dispositivos Móviles y RFIDs 25
Dr. Roberto GómezLámina 49
El EPC
• Etiquetas cuentan con un numero de serie y una EEPROM que puede almacenar información como el EPC– Electronic Product Code
• EPC– código internacional único del fabricante
Dr. Roberto GómezLámina 50
Cookies
• Tal y como en las páginas web es posible instalar una cookie en alguien que porte ropa con etiquetas inteligentes– cada vez que pase a través de una puerta o campo RFID,
p.. en frente de la ventana de la tienda se incrementa en uno
– la próxima vez que se cuente con un número de tarjeta de crédito, puede escribir la etiqueta de esta con un id en claro, posible saber quien estaba viendo la ventana de la tienda
– posible verificar si un cliente toma un producto del estante y lo regresa, si el cliente no es confiable, se le puede hacer un descuento solo para el en 10 segs
Seguridad Informática Dr. Roberto Gómez Cárdenas
Seguridad en Dispositivos Móviles y RFIDs 26
Dr. Roberto GómezLámina 51
RF-DUMP
• Herramienta para leer y escribir etiquetas ISO – escrita por Boris Wolf y Lukas Grunwald
• Detecta y opera sobre casi todas las etiquetas inteligentes
• Requiere un lector RFID ACG Compact-Flash
• Corre sobre un PDA o una notebook• Software libre, GPL
Dr. Roberto GómezLámina 52
Atacando Etiquetas Inteligentes
• La mayor parte no protegidas contra lectura.• UID y bloque administrativo no pueden
almacenar el EPC.• EPC almacenado en el área del usuraio• Meta datos como “best-before” también son
almacenados en el área del usuario.• Solo es cuestión de tiempo que todo mundo
utilice al menos una etiqueta RFID.
Seguridad Informática Dr. Roberto Gómez Cárdenas
Seguridad en Dispositivos Móviles y RFIDs 27
Dr. Roberto GómezLámina 53
Problemas de privacidad
• Lectores se pueden instalar en cualquier lugar.
• Competidores pueden leer que tipo de vestimenta usa y que se tiene en la bolsa de compras.
• Big Brother puede conocer que tipo de libros estamos leyendo
• Se le puede dar seguimiento al cliente por todos lados.
Dr. Roberto GómezLámina 54
Categorización amenazas con STRIDE
• Spoofing identity• Tampering with data• Repudiation• Information disclosure• Denial of service• Elevation of privilege
Seguridad Informática Dr. Roberto Gómez Cárdenas
Seguridad en Dispositivos Móviles y RFIDs 28
Dr. Roberto GómezLámina 55
Spoofing
• Un competidor o atacante lleva a cabo un inventario no autorizado escaneando etiquetas con un lector no autorizado para determinar los tipos o cantidades de productos con que se cuentan.
Dr. Roberto GómezLámina 56
Tampering with Data
• Un atacante modifica la etiqueta en un pasaporte para contener el número de serie asociado con un terrorista o criminal.
• Un terrorista o criminal modifica un pasaporte para aparentar ser un ciudadano bien portado.
• Modificación el número de identificación un producto, por el de otro producto más barato.
• Un atacante modifica etiquetas en una cadena de abasto, provocando de interrupción de operaciones y provocando perdidas.
Seguridad Informática Dr. Roberto Gómez Cárdenas
Seguridad en Dispositivos Móviles y RFIDs 29
Dr. Roberto GómezLámina 57
Repudation
• Un comerciante niega que haya recibido un paquete o producto.
• El dueño de un número EPC niega contar con información acerca del producto en el que se encuentra atada la etiqueta.
GPS and RFID tracking mechanism
Dr. Roberto GómezLámina 58
Informaticon Disclosure
• Una bomba en un restaurante explota cuando cinco o mas personas con RFIDs de identificación son percibidas.
• Un bomba inteligente explota cuando un individuo con uno o más productos etiquetados son detectados.
• Un asaltante selecciona una víctima investigando las etiquetas en posesión de un individuo. “9JHHS”
“LI7YY”
“74AB8”
Atacante
UII
Seguridad Informática Dr. Roberto Gómez Cárdenas
Seguridad en Dispositivos Móviles y RFIDs 30
Dr. Roberto GómezLámina 59
Denial of Service
• Un atacante “mata” las etiquetas en la cadena de abasto, tienda interrumpiendo la operación y provocando perdidas.
• Un atacante quita o físicamente destruye las etiquetas atadas al objeto. Esto lo hace con el objetivo de impedir un seguimiento. Un ladrón destruye la etiqueta para robarse mercancia sin ser detectado.
• Un atacante envuelve la etiqueta en una jaula de Faraday para que no pueda ser leída.
• Un atacante con un lector potente interfiere con el lector original.
Dr. Roberto GómezLámina 60
Elevation of Privilege
• Un usuario conectado en una base de datos para conocer la información acerca de los productor se puede convertir en un atacante elevando su status en el sistema de información, de un usuario a un administrador con privilegios que puede leer o escribir datos maliciosos en el sistema.
Seguridad Informática Dr. Roberto Gómez Cárdenas
Seguridad en Dispositivos Móviles y RFIDs 31
Dr. Roberto GómezLámina 61
Mitigando las amenazas (1)
Firmas digitalesEstampillas de tiempoBitácoras
Repudiation
Autenticación apropiadaHashesMACs (Messahe Authentication Codes)Firmas digitalesProtocolos tamper-resistant
Tampering data
Autenticación apropiadaProtección de secretosNo almacenar secretos
Spoofing identityTécnica mitigaciónAmenaza
Dr. Roberto GómezLámina 62
Mitigando las amenazas (2)
Ejecutar con el menor privilegioElevation ofpriviege
Autenticación apropiadaAutorización apropiadaFiltradoCalidad de servicio
Denial of service
AutorizaciónProtocolos orientados a privacidadCifradoSecretos protegidosNo almacenar secretos
Informationdisclosure
Técnica mitigaciónAmenaza
Seguridad Informática Dr. Roberto Gómez Cárdenas
Seguridad en Dispositivos Móviles y RFIDs 32
Dr. Roberto GómezLámina 63
La tienda del futuro
Dr. Roberto GómezLámina 64
Probando la tienda
Seguridad Informática Dr. Roberto Gómez Cárdenas
Seguridad en Dispositivos Móviles y RFIDs 33
Dr. Roberto GómezLámina 65
Atacando la tienda
• Posible cambiar los precios de los artículos por otros más bajos.
• Cambiar contenido que describe el producto• Divirtiendose con los EAS
– La puerta de supervisión electrónica (EAS), verifica si alguien saca un DVD que no se pago
– Para desactivar el sistema, tomar una etiqueta barata por 50 centavos, tomar la EPC de un DVD en el estante, transferirla el EPC del DVD a la etiqueta
– Pegar la etiqueta bajo la puerta– La puerta activa una alamarma– Encarga atenderá alarma, después de 5 minutos
desactivará la puerta.
Dr. Roberto GómezLámina 66
Posibles soluciones
• Congreso “RFID Privacy Workshop” se propusieron varias soluciones.
• Emitir números de identificación falsos a lectores no-autorizados.
• Desarrollo de dispositivos de bajo costo para detectar y desactivar etiquetas RFID.
• Poder señales disminuyen conforme las etiquetas se alejan del lector– configurar etiquetas para ignorar peticiones
abajo de un mínimo de potencia
Seguridad Informática Dr. Roberto Gómez Cárdenas
Seguridad en Dispositivos Móviles y RFIDs 34
Dr. Roberto GómezLámina 67
Solución no tecnológica
• Problema criptologia en etiquetas– muy caro
• La mayor parte concuerda en que la solución, con respecto al problema de privacidad, – solución no esta del lado tecnológico;– definir una política que defina el tipo de
información que puede contener una etiqueta y alertar al consumidor
Dr. Roberto GómezLámina 68
RSA y RFID
• RSA desarrolla un dispositivo RSA Blocker Tag, dirigido a combatir los posibles efectos lesivos sobre la privacidad de consumidores y usuarios
• Se trata de una etiqueta RFID la cual previene que los lectores lean y den seguimiento a la gente o bienes, después de que fueron comprados – sin afectar el funcionamiento normal del RFID
• Solo teoría– prueba en productos farmacéuticos no fue un completo
éxito.
Seguridad Informática Dr. Roberto Gómez Cárdenas
Seguridad en Dispositivos Móviles y RFIDs 35
Dr. Roberto GómezLámina 69
Clonación etiquetas RFID
Dr. Roberto GómezLámina 70
RFID War-Driving
• Febrero 2009, Chris Paget con un lector RFID Motorola de $250.00 USD, una antena y una laptoppudo identificar y clonar diferentes documentos RFID.
• Circulo por las calles de San Francisco para recopilar la información.
Recommended