Seguridad Informática
Dr. Roberto Gómez Cárdenas
Seguridad en dispositivos móviles y RFIDs Roberto Gómez Cárdenas
[email protected] http://homepage.cem.itesm.mx/rogomez
Lámina 1
Dr. Roberto Gómez
Dispositivo …
Lámina 2
Seguridad en Dispositivos Móviles y RFIDs
Dr. Roberto Gómez
1
Seguridad Informática
Dr. Roberto Gómez Cárdenas
… móvil?
Lámina 3
Dr. Roberto Gómez
Primero fue…
Lámina 4
Seguridad en Dispositivos Móviles y RFIDs
Dr. Roberto Gómez
2
Seguridad Informática
Dr. Roberto Gómez Cárdenas
Luego los teléfonos
Lámina 5
Dr. Roberto Gómez
También los videojuegos
Lámina 6
Seguridad en Dispositivos Móviles y RFIDs
Dr. Roberto Gómez
3
Seguridad Informática
Dr. Roberto Gómez Cárdenas
Siguieron las computadoras
Lámina 7
Dr. Roberto Gómez
Y después …
Lámina 8
Seguridad en Dispositivos Móviles y RFIDs
Dr. Roberto Gómez
4
Seguridad Informática
Dr. Roberto Gómez Cárdenas
Clasificación • Dispositivos de propósito general – Computadoras, laptops, tabletas, etc
• Dispositivos de entretenimiento – el iPod video o el Playstation
• Dispositivos de comunicación y control – teléfonos, PDAs, Blackberries
• Dispositivos especializados o appliance de información. – relojes, iPods, ATMs, GameBoys Lámina 9
Dr. Roberto Gómez
Protegiendo la comunicación • Comunicación con la empresa para bajar/subir información • Posibilidad de escucha por parte de terceros • Uso de canales seguros (VPNs) – SSL/TLS sobre el dispositivo – SSL/TLS no es exclusivo de aplicaciones web – Posible utilizarlo en aplicaciones web o con aplicaciones
Lámina 10
Seguridad en Dispositivos Móviles y RFIDs
Dr. Roberto Gómez
5
Seguridad Informática
Dr. Roberto Gómez Cárdenas
Puntos a tomar en cuenta • Analizar las aplicaciones son necesarias asegurar – comunicación con la red interna, IM, correo electrónico
• Algunas implementaciones de SSL/TLS requieren el uso de certificados • ¿Qué pasa si el usuario viaja al extranjero? – En algunos países el uso del la criptografía esta restringido y no siempre es posible usarla.
• Verificar las puertas alternas de este tipo aplicaciones están cerradas. – https://organizacion.acme.com funciona – http://organizacion.acme.com no funciona Lámina 11
Dr. Roberto Gómez
La información dentro del dispositivo • Un dispositivo móvil almacena información y aplicaciones. • La información que se encuentra dentro de un dispositivo móvil debe contar con la misma arquitectura de seguridad que cualquier dispositivo de cómputo de una organización. – un firewall personal, un antivirus
• Cifrado de la información contenida en el dispositivo móvil. Lámina 12
Seguridad en Dispositivos Móviles y RFIDs
Dr. Roberto Gómez
6
Seguridad Informática
Dr. Roberto Gómez Cárdenas
Algunos productos
Fuente: IEEE Security & Privacy, Juy/August 2007
Lámina 13
Dr. Roberto Gómez
Precauciones robo dispositivos • Objetivo principal: laptop • Prevención física – – – –
Cable Laptop Safes Sensores de movimiento y alarmas Sentido común
• Prevención lógica – – – –
Establecer una contraseña de BIOS Establecer una contraseña de login Cifrado del sistema de archivos Almacena un mínimo de datos en el dispositivo
Lámina 14
Seguridad en Dispositivos Móviles y RFIDs
Dr. Roberto Gómez
7
Seguridad Informática
Dr. Roberto Gómez Cárdenas
Virus en dispositivos móviles El malware para dispositivos móviles esta en crecimiento más rápido de lo que lo hizo en sus primeros días en el ambiente de la PC
McAfee
Microsoft
El riesgo de contraer un virus en un dispositivo móvil no es, ni cercano, al riesgo de perder el dispositivo o a que se lo roben
Lámina 15
Dr. Roberto Gómez
Ejemplos virus • Junio 2007 – Grupo 29a escriben el Caribe – Actuaba sobre Symbian – Se expandia a través de Bluetooth
• Julio 2004 – VirusWinCE.Duts – Primer virus sobre Windows Mobile CE – Infectaba archivos de teléfonos inteligentes
• Agosto 2004 – Brador – Troyano Lámina 16
Seguridad en Dispositivos Móviles y RFIDs
Dr. Roberto Gómez
8
Seguridad Informática
Dr. Roberto Gómez Cárdenas
Malware dispositivos móviles 2005 ( Kaspersky)
Lámina 17
Dr. Roberto Gómez
Malware dispositivos móviles 2006 ( Kaspersky)
Lámina 18
Seguridad en Dispositivos Móviles y RFIDs
Dr. Roberto Gómez
9
Seguridad Informática
Dr. Roberto Gómez Cárdenas
Incremento virus en 2004 y 2005 (Kaspersky)
Lámina 19
Dr. Roberto Gómez
Incremento virus en 2006 (Kaspersky)
Lámina 20
Seguridad en Dispositivos Móviles y RFIDs
Dr. Roberto Gómez
10
Seguridad Informática
Dr. Roberto Gómez Cárdenas
Incremento desde el 2004 (Kaspersky)
Lámina 21
Dr. Roberto Gómez
Virus pos sistema operativo (Trend Micro) Sistema Cantidad Ejemplos Virus Operativo Symbiam 106
EPOC_ALARM.A, EPOC_ALARM.B EPOC_ALONE.A, SYMBOS_SKULLS.Z SYMBOS_SNDTOOL.A, SYMBOS_VIVER.A SYMBOS_VLASCO………
Windows Mobile
3
WINCE_BRADOR.A, WINCE_DUTS.A WORM_CXOVER.A
Palm OS
5
PALM_FATAL.A PALM_LIBERTY.A PALM_MTX_II.A PALM_PHAGE.A PALM_VAPOR.A
Lámina 22
Seguridad en Dispositivos Móviles y RFIDs
Dr. Roberto Gómez
11
Seguridad Informática
Dr. Roberto Gómez Cárdenas
El protocolo Bluetooth • Tecnología de alta velocidad pero de rango corto para intercambio de datos entre dispositivos móviles. • El protocolo permite formar lo que se conoce como redes inalámbricas de área personal (PAN) • Diferentes versiones – Versión actual 2.0 – Versión 3.0 en desarrollo Lámina 23
Dr. Roberto Gómez
Vulnerabilidades Bluetooth • Bluejacking. – usar un teléfono celular con tecnología Bluetooth activa para enviar información no solicitada a otro dispositivo.
• Bluesnarfing. – robo de información de un dispositivo inalámbrico a través de una conexión Bluetooth.
• Bluespamming – enviar spam a dispositivos con el bluetooth activo. Lámina 24
Seguridad en Dispositivos Móviles y RFIDs
Dr. Roberto Gómez
12
Seguridad Informática
Dr. Roberto Gómez Cárdenas
Herramientas • • • • • • • • •
Bluesnarf, Bluespam Bluesniff BTCrack Obexftp Psmscan RedFang Redsnarf El Rifle Bluetooth
Lámina 25
Dr. Roberto Gómez
Algunas preguntas • ¿Qué protocolo utilizan los puntos de venta inalámbricos para transmitir la información de la tarjeta de crédito? • ¿Se encuentra este protocolo protegido? • ¿Seria posible un ataque para modificar lo que se pidió en un restaurante que toma las ordenes vía un dispositivo móvil?
Lámina 26
Seguridad en Dispositivos Móviles y RFIDs
Dr. Roberto Gómez
13
Seguridad Informática
Dr. Roberto Gómez Cárdenas
El dispositivo móvil como herramienta de ataque • Dispositivos – Mejor desempeño – Sistema operativo Linux
• Protocolos de interacción – – – –
WAP WTLS WSP WML
Lámina 27
Dr. Roberto Gómez
Mobphishing: Mobile Phishing • No involucra correo electrónico y errores en páginas web • Puntos de acceso fraudulentos creados en un dispositivo móvil inteligente. • En la conferencia RSA 2007, Carl Banzhof, dio a conocer este ataque. – Nuevos dispositivos móviles soportan protocolo 802.11 – Implementación ataque “evil twin” con un T-Mobile corriendo Windows CE 5.0 – Asevera que se puede llevar a cabo de forma más fácil con el iPhone Lámina 28
Seguridad en Dispositivos Móviles y RFIDs
Dr. Roberto Gómez
14
Seguridad Informática
Dr. Roberto Gómez Cárdenas
Seguridad en Sistemas RFID Roberto Gómez Cárdenas ITESM-CEM
[email protected] http://webdia.cem.itesm.mx/ac/rogomez
Lámina 29
Dr. Roberto Gómez
Erase una vez ...
Lámina 30
Seguridad en Dispositivos Móviles y RFIDs
Dr. Roberto Gómez
15
Seguridad Informática
Dr. Roberto Gómez Cárdenas
Primero eran las etiquetas ...
Lámina 31
Dr. Roberto Gómez
Después fue el código barras
Lámina 32
Seguridad en Dispositivos Móviles y RFIDs
Dr. Roberto Gómez
16
Seguridad Informática
Dr. Roberto Gómez Cárdenas
Pero ...
Lámina 33
Dr. Roberto Gómez
Los sistemas RFID • Radio Frequency Identification Device • RFID es una tecnología que usa ondas de radio-frecuencia para transferir datos entre un lector y un objeto móvil que debe ser identificado, clasificar, dar seguimiento... • Son rápidos y no requieren de un contacto físico o “alineación” con respecto al lector/scanner y el objeto “etiquetado” Lámina 34
Seguridad en Dispositivos Móviles y RFIDs
Dr. Roberto Gómez
17
Seguridad Informática
Dr. Roberto Gómez Cárdenas
¿Qué constituye un sistema RFID? • • • • • •
Una o más etiquetas Dos o más antenas Uno o más interrogadores Una o más computadoras Software apropiado Una base de datos
Lámina 35
Dr. Roberto Gómez
Componentes sistema RFID Computadora Espacio memoria del host Antena Antena Software Aplicación Especifico cliente
Application Application Program Program Interface Interface (API) (API)
RFID API Software (se comunica con el lector RFID)
Lámina 36
Seguridad en Dispositivos Móviles y RFIDs
Lectora
Dr. Roberto Gómez
18
Seguridad Informática
Dr. Roberto Gómez Cárdenas
Diagrama bloques componentes Lectora
Antena Artículo/Etiqueta Artículo
Firmware Etiq. Insert
TCP/IP
Host MIS Cliente
Software Aplicación
~ Potencia
API
Lámina 37
Dr. Roberto Gómez
Operación RFID • Secuencia de comunicación – – – – – –
Host administra lector Lector y etiqueta se comunican via señal RFID La señal es generada por el lector La señal es enviada a través de las antenas La señal llega a las etiquetas Etiqueta llega y modifica la señal • envía de regreso la señal modulada
– Antenas reciben la señal modulada y la envían al lector – Lector decodifica losdatos • resultados son enviados al host que contiene la aplicación Lámina 38
Seguridad en Dispositivos Móviles y RFIDs
Dr. Roberto Gómez
19
Seguridad Informática
Dr. Roberto Gómez Cárdenas
Operaciones RFID
Lámina 39
Dr. Roberto Gómez
Las etiquetas • Pueden ser de solo lectura o de lectura/escritura. • La memoria de la etiqueta puede ser programada, particionada o bloqueada permanentemente. • Bytes no bloqueados pueden ser re-escritos más de 1000,000 veces. Lámina 40
Seguridad en Dispositivos Móviles y RFIDs
Dr. Roberto Gómez
20
Seguridad Informática
Dr. Roberto Gómez Cárdenas
¿Donde pueden usarse? • Pueden atarse a casi todo – vehículos – personal y activos de la compañía – objetos como aparatos, – gente, mascotas – objetos electrónicos de alto valor como computadoras, TVs, videograbadoras Lámina 41
Dr. Roberto Gómez
Tipos de etiquetas • Activas – Las etiquetas transmiten señales de radio – Batería alimenta memoria, radio y circuitos – Alcance de unos 300 pies
• Pasivas – Reflejan señales de radio del lector – Alimentado por el lector – Alcance corto (4 pulgadas a 15 pies)
Lámina 42
Seguridad en Dispositivos Móviles y RFIDs
Dr. Roberto Gómez
21
Seguridad Informática
Dr. Roberto Gómez Cárdenas
Variedad etiquetas • Memoria – tamaño: 16 bits – 512 Kbytes – RO, R/W o WORM – Tipo: EEPROM, Antifuse, FeRAM
• Anti-colisión – habilidad para leer/escribir una o varias etiquetas al mismo tiempo
• Frecuencia – 125Khz – 5.8 Ghz
• Dimensiones fisicas – uña hasta ladrillo
• Precio (dólares, Alien Technologies)
Lámina 43
– unidad: 25 centavos por unidad – 1 billón unidades: 10 centavos por unidad – 10 billones unidades: 5 centavos por unidad
Dr. Roberto Gómez
Aplicaciones • Manejo inventarios – ¿qué es? – ¿donde ha estado? – ¿a donde va?
Wireless / Batch Inventory Management
• Inspección de materiales – esta dentro de la garantía – ha sido inspeccionado – esta completo
• Líneas de ensamble
Lámina 44
Seguridad en Dispositivos Móviles y RFIDs
Dr. Roberto Gómez
22
Seguridad Informática
Dr. Roberto Gómez Cárdenas
Mitos y realidades • Mito – Tamaño RFID es de un pin y puede ser instalada en cualquier producto. – Pueden ser leídos desde una gran distancia.
• Realidad – Campos electromagnéticos presentan problemas con metal y otros materiales aislantes. – Requieren antena, la cual tiene cierto tamaño. – Distancia máxima: 10 metros. Lámina 45
Dr. Roberto Gómez
Etiquetas ISO 15693 • Etiqueta cuenta con un identificador único: UID • UID es necesario para evitar colisiones • UID es programado de fabrica y no puede ser cambiado • Memoria etiqueta dividida en dos partes – bloque administrativo • UID: unique identifier • AFI: application family identifier • DSFID: data storage format identifier
– datos usuario • almacena hasta 128 bytes de datos de usuario Lámina 46
Seguridad en Dispositivos Móviles y RFIDs
Dr. Roberto Gómez
23
Seguridad Informática
Dr. Roberto Gómez Cárdenas
Bloque administrativo • Codificación identificador único
• Códigos fabricante
Lámina 47
Dr. Roberto Gómez
Datos usuario
Lámina 48
Seguridad en Dispositivos Móviles y RFIDs
Dr. Roberto Gómez
24
Seguridad Informática
Dr. Roberto Gómez Cárdenas
El EPC • Etiquetas cuentan con un numero de serie y una EEPROM que puede almacenar información como el EPC – Electronic Product Code
• EPC – código internacional único del fabricante
Lámina 49
Dr. Roberto Gómez
Cookies • Tal y como en las páginas web es posible instalar una cookie en alguien que porte ropa con etiquetas inteligentes – cada vez que pase a través de una puerta o campo RFID, p.. en frente de la ventana de la tienda se incrementa en uno – la próxima vez que se cuente con un número de tarjeta de crédito, puede escribir la etiqueta de esta con un id en claro, posible saber quien estaba viendo la ventana de la tienda – posible verificar si un cliente toma un producto del estante y lo regresa, si el cliente no es confiable, se le puede hacer un descuento solo para el en 10 segs Lámina 50
Seguridad en Dispositivos Móviles y RFIDs
Dr. Roberto Gómez
25
Seguridad Informática
Dr. Roberto Gómez Cárdenas
RF-DUMP • Herramienta para leer y escribir etiquetas ISO – escrita por Boris Wolf y Lukas Grunwald
• Detecta y opera sobre casi todas las etiquetas inteligentes • Requiere un lector RFID ACG CompactFlash • Corre sobre un PDA o una notebook • Software libre, GPL Lámina 51
Dr. Roberto Gómez
Atacando Etiquetas Inteligentes • La mayor parte no protegidas contra lectura. • UID y bloque administrativo no pueden almacenar el EPC. • EPC almacenado en el área del usuraio • Meta datos como “best-before” también son almacenados en el área del usuario. • Solo es cuestión de tiempo que todo mundo utilice al menos una etiqueta RFID. Lámina 52
Seguridad en Dispositivos Móviles y RFIDs
Dr. Roberto Gómez
26
Seguridad Informática
Dr. Roberto Gómez Cárdenas
Problemas de privacidad • Lectores se pueden instalar en cualquier lugar. • Competidores pueden leer que tipo de vestimenta usa y que se tiene en la bolsa de compras. • Big Brother puede conocer que tipo de libros estamos leyendo • Se le puede dar seguimiento al cliente por todos lados. Lámina 53
Dr. Roberto Gómez
Categorización amenazas con STRIDE • • • • • •
Spoofing identity Tampering with data Repudiation Information disclosure Denial of service Elevation of privilege
Lámina 54
Seguridad en Dispositivos Móviles y RFIDs
Dr. Roberto Gómez
27
Seguridad Informática
Dr. Roberto Gómez Cárdenas
Spoofing • Un competidor o atacante lleva a cabo un inventario no autorizado escaneando etiquetas con un lector no autorizado para determinar los tipos o cantidades de productos con que se cuentan.
Lámina 55
Dr. Roberto Gómez
Tampering with Data • Un atacante modifica la etiqueta en un pasaporte para contener el número de serie asociado con un terrorista o criminal. • Un terrorista o criminal modifica un pasaporte para aparentar ser un ciudadano bien portado. • Modificación el número de identificación un producto, por el de otro producto más barato. • Un atacante modifica etiquetas en una cadena de abasto, provocando de interrupción de operaciones y provocando perdidas. Lámina 56
Seguridad en Dispositivos Móviles y RFIDs
Dr. Roberto Gómez
28
Seguridad Informática
Dr. Roberto Gómez Cárdenas
Repudation • Un comerciante niega que haya recibido un paquete o producto. • El dueño de un número EPC niega contar con información acerca del producto en el que se encuentra atada la etiqueta.
GPS and RFID tracking mechanism
Lámina 57
Dr. Roberto Gómez
Informaticon Disclosure • Una bomba en un restaurante explota cuando cinco o mas personas con RFIDs de identificación son percibidas. • Un bomba inteligente explota cuando un individuo con uno o más productos etiquetados son detectados. • Un asaltante selecciona una víctima investigando las etiquetas en posesión de un individuo. Lámina 58
Seguridad en Dispositivos Móviles y RFIDs
Atacante
UII
“74AB8”
“LI7YY”
“9JHHS”
Dr. Roberto Gómez
29
Seguridad Informática
Dr. Roberto Gómez Cárdenas
Denial of Service • Un atacante “mata” las etiquetas en la cadena de abasto, tienda interrumpiendo la operación y provocando perdidas. • Un atacante quita o físicamente destruye las etiquetas atadas al objeto. Esto lo hace con el objetivo de impedir un seguimiento. Un ladrón destruye la etiqueta para robarse mercancia sin ser detectado. • Un atacante envuelve la etiqueta en una jaula de Faraday para que no pueda ser leída. • Un atacante con un lector potente interfiere con el lector original. Lámina 59
Dr. Roberto Gómez
Elevation of Privilege • Un usuario conectado en una base de datos para conocer la información acerca de los productor se puede convertir en un atacante elevando su status en el sistema de información, de un usuario a un administrador con privilegios que puede leer o escribir datos maliciosos en el sistema.
Lámina 60
Seguridad en Dispositivos Móviles y RFIDs
Dr. Roberto Gómez
30
Seguridad Informática
Dr. Roberto Gómez Cárdenas
Mitigando las amenazas (1) Amenaza
Técnica mitigación
Spoofing identity
Autenticación apropiada Protección de secretos No almacenar secretos
Tampering data
Autenticación apropiada Hashes MACs (Messahe Authentication Codes) Firmas digitales Protocolos tamper-resistant
Repudiation
Firmas digitales Estampillas de tiempo Bitácoras
Lámina 61
Dr. Roberto Gómez
Mitigando las amenazas (2) Amenaza
Técnica mitigación
Information disclosure
Autorización Protocolos orientados a privacidad Cifrado Secretos protegidos No almacenar secretos
Denial of service
Autenticación apropiada Autorización apropiada Filtrado Calidad de servicio
Elevation of priviege
Ejecutar con el menor privilegio
Lámina 62
Seguridad en Dispositivos Móviles y RFIDs
Dr. Roberto Gómez
31
Seguridad Informática
Dr. Roberto Gómez Cárdenas
La tienda del futuro
Lámina 63
Dr. Roberto Gómez
Probando la tienda
Lámina 64
Seguridad en Dispositivos Móviles y RFIDs
Dr. Roberto Gómez
32
Seguridad Informática
Dr. Roberto Gómez Cárdenas
Atacando la tienda • Posible cambiar los precios de los artículos por otros más bajos. • Cambiar contenido que describe el producto • Divirtiendose con los EAS – La puerta de supervisión electrónica (EAS), verifica si alguien saca un DVD que no se pago – Para desactivar el sistema, tomar una etiqueta barata por 50 centavos, tomar la EPC de un DVD en el estante, transferirla el EPC del DVD a la etiqueta – Pegar la etiqueta bajo la puerta – La puerta activa una alamarma – Encarga atenderá alarma, después de 5 minutos desactivará la puerta. Lámina 65
Dr. Roberto Gómez
Posibles soluciones • Congreso “RFID Privacy Workshop” se propusieron varias soluciones. • Emitir números de identificación falsos a lectores no-autorizados. • Desarrollo de dispositivos de bajo costo para detectar y desactivar etiquetas RFID. • Poder señales disminuyen conforme las etiquetas se alejan del lector – configurar etiquetas para ignorar peticiones abajo de un mínimo de potencia Lámina 66
Seguridad en Dispositivos Móviles y RFIDs
Dr. Roberto Gómez
33
Seguridad Informática
Dr. Roberto Gómez Cárdenas
Solución no tecnológica • Problema criptologia en etiquetas – muy caro
• La mayor parte concuerda en que la solución, con respecto al problema de privacidad, – solución no esta del lado tecnológico; – definir una política que defina el tipo de información que puede contener una etiqueta y alertar al consumidor Lámina 67
Dr. Roberto Gómez
RSA y RFID • RSA desarrolla un dispositivo RSA Blocker Tag, dirigido a combatir los posibles efectos lesivos sobre la privacidad de consumidores y usuarios • Se trata de una etiqueta RFID la cual previene que los lectores lean y den seguimiento a la gente o bienes, después de que fueron comprados – sin afectar el funcionamiento normal del RFID • Solo teoría – prueba en productos farmacéuticos no fue un completo éxito. Lámina 68
Seguridad en Dispositivos Móviles y RFIDs
Dr. Roberto Gómez
34
Seguridad Informática
Dr. Roberto Gómez Cárdenas
Clonación etiquetas RFID
Lámina 69
Dr. Roberto Gómez
RFID War-Driving • Febrero 2009, Chris Paget con un lector RFID Motorola de $250.00 USD, una antena y una laptop pudo identificar y clonar diferentes documentos RFID. • Circulo por las calles de San Francisco para recopilar la información.
Lámina 70
Seguridad en Dispositivos Móviles y RFIDs
Dr. Roberto Gómez
35
Seguridad Informática
Dr. Roberto Gómez Cárdenas
Seguridad en Sistemas RFID Roberto Gómez Cárdenas ITESM-CEM
[email protected] http://webdia.cem.itesm.mx/ac/rogomez
Lámina 71
Seguridad en Dispositivos Móviles y RFIDs
Dr. Roberto Gómez
36