Seguridad Informática

Dr. Roberto Gómez Cárdenas

Seguridad en dispositivos móviles y RFIDs Roberto Gómez Cárdenas [email protected] http://homepage.cem.itesm.mx/rogomez

Lámina 1

Dr. Roberto Gómez

Dispositivo …

Lámina 2

Seguridad en Dispositivos Móviles y RFIDs

Dr. Roberto Gómez

1

Seguridad Informática

Dr. Roberto Gómez Cárdenas

… móvil?

Lámina 3

Dr. Roberto Gómez

Primero fue…

Lámina 4

Seguridad en Dispositivos Móviles y RFIDs

Dr. Roberto Gómez

2

Seguridad Informática

Dr. Roberto Gómez Cárdenas

Luego los teléfonos

Lámina 5

Dr. Roberto Gómez

También los videojuegos

Lámina 6

Seguridad en Dispositivos Móviles y RFIDs

Dr. Roberto Gómez

3

Seguridad Informática

Dr. Roberto Gómez Cárdenas

Siguieron las computadoras

Lámina 7

Dr. Roberto Gómez

Y después …

Lámina 8

Seguridad en Dispositivos Móviles y RFIDs

Dr. Roberto Gómez

4

Seguridad Informática

Dr. Roberto Gómez Cárdenas

Clasificación • Dispositivos de propósito general – Computadoras, laptops, tabletas, etc

• Dispositivos de entretenimiento – el iPod video o el Playstation

• Dispositivos de comunicación y control – teléfonos, PDAs, Blackberries

• Dispositivos especializados o appliance de información. – relojes, iPods, ATMs, GameBoys Lámina 9

Dr. Roberto Gómez

Protegiendo la comunicación • Comunicación con la empresa para bajar/subir información • Posibilidad de escucha por parte de terceros • Uso de canales seguros (VPNs) – SSL/TLS sobre el dispositivo – SSL/TLS no es exclusivo de aplicaciones web – Posible utilizarlo en aplicaciones web o con aplicaciones

Lámina 10

Seguridad en Dispositivos Móviles y RFIDs

Dr. Roberto Gómez

5

Seguridad Informática

Dr. Roberto Gómez Cárdenas

Puntos a tomar en cuenta • Analizar las aplicaciones son necesarias asegurar – comunicación con la red interna, IM, correo electrónico

• Algunas implementaciones de SSL/TLS requieren el uso de certificados • ¿Qué pasa si el usuario viaja al extranjero? – En algunos países el uso del la criptografía esta restringido y no siempre es posible usarla.

• Verificar las puertas alternas de este tipo aplicaciones están cerradas. – https://organizacion.acme.com funciona – http://organizacion.acme.com no funciona Lámina 11

Dr. Roberto Gómez

La información dentro del dispositivo • Un dispositivo móvil almacena información y aplicaciones. • La información que se encuentra dentro de un dispositivo móvil debe contar con la misma arquitectura de seguridad que cualquier dispositivo de cómputo de una organización. – un firewall personal, un antivirus

• Cifrado de la información contenida en el dispositivo móvil. Lámina 12

Seguridad en Dispositivos Móviles y RFIDs

Dr. Roberto Gómez

6

Seguridad Informática

Dr. Roberto Gómez Cárdenas

Algunos productos

Fuente: IEEE Security & Privacy, Juy/August 2007

Lámina 13

Dr. Roberto Gómez

Precauciones robo dispositivos • Objetivo principal: laptop • Prevención física – – – –

Cable Laptop Safes Sensores de movimiento y alarmas Sentido común

• Prevención lógica – – – –

Establecer una contraseña de BIOS Establecer una contraseña de login Cifrado del sistema de archivos Almacena un mínimo de datos en el dispositivo

Lámina 14

Seguridad en Dispositivos Móviles y RFIDs

Dr. Roberto Gómez

7

Seguridad Informática

Dr. Roberto Gómez Cárdenas

Virus en dispositivos móviles El malware para dispositivos móviles esta en crecimiento más rápido de lo que lo hizo en sus primeros días en el ambiente de la PC

McAfee

Microsoft

El riesgo de contraer un virus en un dispositivo móvil no es, ni cercano, al riesgo de perder el dispositivo o a que se lo roben

Lámina 15

Dr. Roberto Gómez

Ejemplos virus • Junio 2007 – Grupo 29a escriben el Caribe – Actuaba sobre Symbian – Se expandia a través de Bluetooth

• Julio 2004 – VirusWinCE.Duts – Primer virus sobre Windows Mobile CE – Infectaba archivos de teléfonos inteligentes

• Agosto 2004 – Brador – Troyano Lámina 16

Seguridad en Dispositivos Móviles y RFIDs

Dr. Roberto Gómez

8

Seguridad Informática

Dr. Roberto Gómez Cárdenas

Malware dispositivos móviles 2005 ( Kaspersky)

Lámina 17

Dr. Roberto Gómez

Malware dispositivos móviles 2006 ( Kaspersky)

Lámina 18

Seguridad en Dispositivos Móviles y RFIDs

Dr. Roberto Gómez

9

Seguridad Informática

Dr. Roberto Gómez Cárdenas

Incremento virus en 2004 y 2005 (Kaspersky)

Lámina 19

Dr. Roberto Gómez

Incremento virus en 2006 (Kaspersky)

Lámina 20

Seguridad en Dispositivos Móviles y RFIDs

Dr. Roberto Gómez

10

Seguridad Informática

Dr. Roberto Gómez Cárdenas

Incremento desde el 2004 (Kaspersky)

Lámina 21

Dr. Roberto Gómez

Virus pos sistema operativo (Trend Micro) Sistema Cantidad Ejemplos Virus Operativo Symbiam 106

EPOC_ALARM.A, EPOC_ALARM.B EPOC_ALONE.A, SYMBOS_SKULLS.Z SYMBOS_SNDTOOL.A, SYMBOS_VIVER.A SYMBOS_VLASCO………

Windows Mobile

3

WINCE_BRADOR.A, WINCE_DUTS.A WORM_CXOVER.A

Palm OS

5

PALM_FATAL.A PALM_LIBERTY.A PALM_MTX_II.A PALM_PHAGE.A PALM_VAPOR.A

Lámina 22

Seguridad en Dispositivos Móviles y RFIDs

Dr. Roberto Gómez

11

Seguridad Informática

Dr. Roberto Gómez Cárdenas

El protocolo Bluetooth • Tecnología de alta velocidad pero de rango corto para intercambio de datos entre dispositivos móviles. • El protocolo permite formar lo que se conoce como redes inalámbricas de área personal (PAN) • Diferentes versiones – Versión actual 2.0 – Versión 3.0 en desarrollo Lámina 23

Dr. Roberto Gómez

Vulnerabilidades Bluetooth • Bluejacking. – usar un teléfono celular con tecnología Bluetooth activa para enviar información no solicitada a otro dispositivo.

• Bluesnarfing. – robo de información de un dispositivo inalámbrico a través de una conexión Bluetooth.

• Bluespamming – enviar spam a dispositivos con el bluetooth activo. Lámina 24

Seguridad en Dispositivos Móviles y RFIDs

Dr. Roberto Gómez

12

Seguridad Informática

Dr. Roberto Gómez Cárdenas

Herramientas • • • • • • • • •

Bluesnarf, Bluespam Bluesniff BTCrack Obexftp Psmscan RedFang Redsnarf El Rifle Bluetooth

Lámina 25

Dr. Roberto Gómez

Algunas preguntas • ¿Qué protocolo utilizan los puntos de venta inalámbricos para transmitir la información de la tarjeta de crédito? • ¿Se encuentra este protocolo protegido? • ¿Seria posible un ataque para modificar lo que se pidió en un restaurante que toma las ordenes vía un dispositivo móvil?

Lámina 26

Seguridad en Dispositivos Móviles y RFIDs

Dr. Roberto Gómez

13

Seguridad Informática

Dr. Roberto Gómez Cárdenas

El dispositivo móvil como herramienta de ataque • Dispositivos – Mejor desempeño – Sistema operativo Linux

• Protocolos de interacción – – – –

WAP WTLS WSP WML

Lámina 27

Dr. Roberto Gómez

Mobphishing: Mobile Phishing • No involucra correo electrónico y errores en páginas web • Puntos de acceso fraudulentos creados en un dispositivo móvil inteligente. • En la conferencia RSA 2007, Carl Banzhof, dio a conocer este ataque. – Nuevos dispositivos móviles soportan protocolo 802.11 – Implementación ataque “evil twin” con un T-Mobile corriendo Windows CE 5.0 – Asevera que se puede llevar a cabo de forma más fácil con el iPhone Lámina 28

Seguridad en Dispositivos Móviles y RFIDs

Dr. Roberto Gómez

14

Seguridad Informática

Dr. Roberto Gómez Cárdenas

Seguridad en Sistemas RFID Roberto Gómez Cárdenas ITESM-CEM [email protected] http://webdia.cem.itesm.mx/ac/rogomez

Lámina 29

Dr. Roberto Gómez

Erase una vez ...

Lámina 30

Seguridad en Dispositivos Móviles y RFIDs

Dr. Roberto Gómez

15

Seguridad Informática

Dr. Roberto Gómez Cárdenas

Primero eran las etiquetas ...

Lámina 31

Dr. Roberto Gómez

Después fue el código barras

Lámina 32

Seguridad en Dispositivos Móviles y RFIDs

Dr. Roberto Gómez

16

Seguridad Informática

Dr. Roberto Gómez Cárdenas

Pero ...

Lámina 33

Dr. Roberto Gómez

Los sistemas RFID • Radio Frequency Identification Device • RFID es una tecnología que usa ondas de radio-frecuencia para transferir datos entre un lector y un objeto móvil que debe ser identificado, clasificar, dar seguimiento... • Son rápidos y no requieren de un contacto físico o “alineación” con respecto al lector/scanner y el objeto “etiquetado” Lámina 34

Seguridad en Dispositivos Móviles y RFIDs

Dr. Roberto Gómez

17

Seguridad Informática

Dr. Roberto Gómez Cárdenas

¿Qué constituye un sistema RFID? • • • • • •

Una o más etiquetas Dos o más antenas Uno o más interrogadores Una o más computadoras Software apropiado Una base de datos

Lámina 35

Dr. Roberto Gómez

Componentes sistema RFID Computadora Espacio memoria del host Antena Antena Software Aplicación Especifico cliente

Application Application Program Program Interface Interface (API) (API)

RFID API Software (se comunica con el lector RFID)

Lámina 36

Seguridad en Dispositivos Móviles y RFIDs

Lectora

Dr. Roberto Gómez

18

Seguridad Informática

Dr. Roberto Gómez Cárdenas

Diagrama bloques componentes Lectora

Antena Artículo/Etiqueta Artículo

Firmware Etiq. Insert

TCP/IP

Host MIS Cliente

Software Aplicación

~ Potencia

API

Lámina 37

Dr. Roberto Gómez

Operación RFID • Secuencia de comunicación – – – – – –

Host administra lector Lector y etiqueta se comunican via señal RFID La señal es generada por el lector La señal es enviada a través de las antenas La señal llega a las etiquetas Etiqueta llega y modifica la señal • envía de regreso la señal modulada

– Antenas reciben la señal modulada y la envían al lector – Lector decodifica losdatos • resultados son enviados al host que contiene la aplicación Lámina 38

Seguridad en Dispositivos Móviles y RFIDs

Dr. Roberto Gómez

19

Seguridad Informática

Dr. Roberto Gómez Cárdenas

Operaciones RFID

Lámina 39

Dr. Roberto Gómez

Las etiquetas • Pueden ser de solo lectura o de lectura/escritura. • La memoria de la etiqueta puede ser programada, particionada o bloqueada permanentemente. • Bytes no bloqueados pueden ser re-escritos más de 1000,000 veces. Lámina 40

Seguridad en Dispositivos Móviles y RFIDs

Dr. Roberto Gómez

20

Seguridad Informática

Dr. Roberto Gómez Cárdenas

¿Donde pueden usarse? • Pueden atarse a casi todo – vehículos – personal y activos de la compañía – objetos como aparatos, – gente, mascotas – objetos electrónicos de alto valor como computadoras, TVs, videograbadoras Lámina 41

Dr. Roberto Gómez

Tipos de etiquetas • Activas – Las etiquetas transmiten señales de radio – Batería alimenta memoria, radio y circuitos – Alcance de unos 300 pies

• Pasivas – Reflejan señales de radio del lector – Alimentado por el lector – Alcance corto (4 pulgadas a 15 pies)

Lámina 42

Seguridad en Dispositivos Móviles y RFIDs

Dr. Roberto Gómez

21

Seguridad Informática

Dr. Roberto Gómez Cárdenas

Variedad etiquetas • Memoria – tamaño: 16 bits – 512 Kbytes – RO, R/W o WORM – Tipo: EEPROM, Antifuse, FeRAM

• Anti-colisión – habilidad para leer/escribir una o varias etiquetas al mismo tiempo

• Frecuencia – 125Khz – 5.8 Ghz

• Dimensiones fisicas – uña hasta ladrillo

• Precio (dólares, Alien Technologies)

Lámina 43

– unidad: 25 centavos por unidad – 1 billón unidades: 10 centavos por unidad – 10 billones unidades: 5 centavos por unidad

Dr. Roberto Gómez

Aplicaciones • Manejo inventarios – ¿qué es? – ¿donde ha estado? – ¿a donde va?

Wireless / Batch Inventory Management

• Inspección de materiales – esta dentro de la garantía – ha sido inspeccionado – esta completo

• Líneas de ensamble

Lámina 44

Seguridad en Dispositivos Móviles y RFIDs

Dr. Roberto Gómez

22

Seguridad Informática

Dr. Roberto Gómez Cárdenas

Mitos y realidades • Mito – Tamaño RFID es de un pin y puede ser instalada en cualquier producto. – Pueden ser leídos desde una gran distancia.

• Realidad – Campos electromagnéticos presentan problemas con metal y otros materiales aislantes. – Requieren antena, la cual tiene cierto tamaño. – Distancia máxima: 10 metros. Lámina 45

Dr. Roberto Gómez

Etiquetas ISO 15693 • Etiqueta cuenta con un identificador único: UID • UID es necesario para evitar colisiones • UID es programado de fabrica y no puede ser cambiado • Memoria etiqueta dividida en dos partes – bloque administrativo • UID: unique identifier • AFI: application family identifier • DSFID: data storage format identifier

– datos usuario • almacena hasta 128 bytes de datos de usuario Lámina 46

Seguridad en Dispositivos Móviles y RFIDs

Dr. Roberto Gómez

23

Seguridad Informática

Dr. Roberto Gómez Cárdenas

Bloque administrativo • Codificación identificador único

• Códigos fabricante

Lámina 47

Dr. Roberto Gómez

Datos usuario

Lámina 48

Seguridad en Dispositivos Móviles y RFIDs

Dr. Roberto Gómez

24

Seguridad Informática

Dr. Roberto Gómez Cárdenas

El EPC • Etiquetas cuentan con un numero de serie y una EEPROM que puede almacenar información como el EPC – Electronic Product Code

• EPC – código internacional único del fabricante

Lámina 49

Dr. Roberto Gómez

Cookies • Tal y como en las páginas web es posible instalar una cookie en alguien que porte ropa con etiquetas inteligentes – cada vez que pase a través de una puerta o campo RFID, p.. en frente de la ventana de la tienda se incrementa en uno – la próxima vez que se cuente con un número de tarjeta de crédito, puede escribir la etiqueta de esta con un id en claro, posible saber quien estaba viendo la ventana de la tienda – posible verificar si un cliente toma un producto del estante y lo regresa, si el cliente no es confiable, se le puede hacer un descuento solo para el en 10 segs Lámina 50

Seguridad en Dispositivos Móviles y RFIDs

Dr. Roberto Gómez

25

Seguridad Informática

Dr. Roberto Gómez Cárdenas

RF-DUMP • Herramienta para leer y escribir etiquetas ISO – escrita por Boris Wolf y Lukas Grunwald

• Detecta y opera sobre casi todas las etiquetas inteligentes • Requiere un lector RFID ACG CompactFlash • Corre sobre un PDA o una notebook • Software libre, GPL Lámina 51

Dr. Roberto Gómez

Atacando Etiquetas Inteligentes • La mayor parte no protegidas contra lectura. • UID y bloque administrativo no pueden almacenar el EPC. • EPC almacenado en el área del usuraio • Meta datos como “best-before” también son almacenados en el área del usuario. • Solo es cuestión de tiempo que todo mundo utilice al menos una etiqueta RFID. Lámina 52

Seguridad en Dispositivos Móviles y RFIDs

Dr. Roberto Gómez

26

Seguridad Informática

Dr. Roberto Gómez Cárdenas

Problemas de privacidad • Lectores se pueden instalar en cualquier lugar. • Competidores pueden leer que tipo de vestimenta usa y que se tiene en la bolsa de compras. • Big Brother puede conocer que tipo de libros estamos leyendo • Se le puede dar seguimiento al cliente por todos lados. Lámina 53

Dr. Roberto Gómez

Categorización amenazas con STRIDE • • • • • •

Spoofing identity Tampering with data Repudiation Information disclosure Denial of service Elevation of privilege

Lámina 54

Seguridad en Dispositivos Móviles y RFIDs

Dr. Roberto Gómez

27

Seguridad Informática

Dr. Roberto Gómez Cárdenas

Spoofing • Un competidor o atacante lleva a cabo un inventario no autorizado escaneando etiquetas con un lector no autorizado para determinar los tipos o cantidades de productos con que se cuentan.

Lámina 55

Dr. Roberto Gómez

Tampering with Data • Un atacante modifica la etiqueta en un pasaporte para contener el número de serie asociado con un terrorista o criminal. • Un terrorista o criminal modifica un pasaporte para aparentar ser un ciudadano bien portado. • Modificación el número de identificación un producto, por el de otro producto más barato. • Un atacante modifica etiquetas en una cadena de abasto, provocando de interrupción de operaciones y provocando perdidas. Lámina 56

Seguridad en Dispositivos Móviles y RFIDs

Dr. Roberto Gómez

28

Seguridad Informática

Dr. Roberto Gómez Cárdenas

Repudation • Un comerciante niega que haya recibido un paquete o producto. • El dueño de un número EPC niega contar con información acerca del producto en el que se encuentra atada la etiqueta.

GPS and RFID tracking mechanism

Lámina 57

Dr. Roberto Gómez

Informaticon Disclosure • Una bomba en un restaurante explota cuando cinco o mas personas con RFIDs de identificación son percibidas. • Un bomba inteligente explota cuando un individuo con uno o más productos etiquetados son detectados. • Un asaltante selecciona una víctima investigando las etiquetas en posesión de un individuo. Lámina 58

Seguridad en Dispositivos Móviles y RFIDs

Atacante

UII

“74AB8”

“LI7YY”

“9JHHS”

Dr. Roberto Gómez

29

Seguridad Informática

Dr. Roberto Gómez Cárdenas

Denial of Service • Un atacante “mata” las etiquetas en la cadena de abasto, tienda interrumpiendo la operación y provocando perdidas. • Un atacante quita o físicamente destruye las etiquetas atadas al objeto. Esto lo hace con el objetivo de impedir un seguimiento. Un ladrón destruye la etiqueta para robarse mercancia sin ser detectado. • Un atacante envuelve la etiqueta en una jaula de Faraday para que no pueda ser leída. • Un atacante con un lector potente interfiere con el lector original. Lámina 59

Dr. Roberto Gómez

Elevation of Privilege • Un usuario conectado en una base de datos para conocer la información acerca de los productor se puede convertir en un atacante elevando su status en el sistema de información, de un usuario a un administrador con privilegios que puede leer o escribir datos maliciosos en el sistema.

Lámina 60

Seguridad en Dispositivos Móviles y RFIDs

Dr. Roberto Gómez

30

Seguridad Informática

Dr. Roberto Gómez Cárdenas

Mitigando las amenazas (1) Amenaza

Técnica mitigación

Spoofing identity

Autenticación apropiada Protección de secretos No almacenar secretos

Tampering data

Autenticación apropiada Hashes MACs (Messahe Authentication Codes) Firmas digitales Protocolos tamper-resistant

Repudiation

Firmas digitales Estampillas de tiempo Bitácoras

Lámina 61

Dr. Roberto Gómez

Mitigando las amenazas (2) Amenaza

Técnica mitigación

Information disclosure

Autorización Protocolos orientados a privacidad Cifrado Secretos protegidos No almacenar secretos

Denial of service

Autenticación apropiada Autorización apropiada Filtrado Calidad de servicio

Elevation of priviege

Ejecutar con el menor privilegio

Lámina 62

Seguridad en Dispositivos Móviles y RFIDs

Dr. Roberto Gómez

31

Seguridad Informática

Dr. Roberto Gómez Cárdenas

La tienda del futuro

Lámina 63

Dr. Roberto Gómez

Probando la tienda

Lámina 64

Seguridad en Dispositivos Móviles y RFIDs

Dr. Roberto Gómez

32

Seguridad Informática

Dr. Roberto Gómez Cárdenas

Atacando la tienda • Posible cambiar los precios de los artículos por otros más bajos. • Cambiar contenido que describe el producto • Divirtiendose con los EAS – La puerta de supervisión electrónica (EAS), verifica si alguien saca un DVD que no se pago – Para desactivar el sistema, tomar una etiqueta barata por 50 centavos, tomar la EPC de un DVD en el estante, transferirla el EPC del DVD a la etiqueta – Pegar la etiqueta bajo la puerta – La puerta activa una alamarma – Encarga atenderá alarma, después de 5 minutos desactivará la puerta. Lámina 65

Dr. Roberto Gómez

Posibles soluciones • Congreso “RFID Privacy Workshop” se propusieron varias soluciones. • Emitir números de identificación falsos a lectores no-autorizados. • Desarrollo de dispositivos de bajo costo para detectar y desactivar etiquetas RFID. • Poder señales disminuyen conforme las etiquetas se alejan del lector – configurar etiquetas para ignorar peticiones abajo de un mínimo de potencia Lámina 66

Seguridad en Dispositivos Móviles y RFIDs

Dr. Roberto Gómez

33

Seguridad Informática

Dr. Roberto Gómez Cárdenas

Solución no tecnológica • Problema criptologia en etiquetas – muy caro

• La mayor parte concuerda en que la solución, con respecto al problema de privacidad, – solución no esta del lado tecnológico; – definir una política que defina el tipo de información que puede contener una etiqueta y alertar al consumidor Lámina 67

Dr. Roberto Gómez

RSA y RFID • RSA desarrolla un dispositivo RSA Blocker Tag, dirigido a combatir los posibles efectos lesivos sobre la privacidad de consumidores y usuarios • Se trata de una etiqueta RFID la cual previene que los lectores lean y den seguimiento a la gente o bienes, después de que fueron comprados – sin afectar el funcionamiento normal del RFID • Solo teoría – prueba en productos farmacéuticos no fue un completo éxito. Lámina 68

Seguridad en Dispositivos Móviles y RFIDs

Dr. Roberto Gómez

34

Seguridad Informática

Dr. Roberto Gómez Cárdenas

Clonación etiquetas RFID

Lámina 69

Dr. Roberto Gómez

RFID War-Driving • Febrero 2009, Chris Paget con un lector RFID Motorola de $250.00 USD, una antena y una laptop pudo identificar y clonar diferentes documentos RFID. • Circulo por las calles de San Francisco para recopilar la información.

Lámina 70

Seguridad en Dispositivos Móviles y RFIDs

Dr. Roberto Gómez

35

Seguridad Informática

Dr. Roberto Gómez Cárdenas

Seguridad en Sistemas RFID Roberto Gómez Cárdenas ITESM-CEM [email protected] http://webdia.cem.itesm.mx/ac/rogomez

Lámina 71

Seguridad en Dispositivos Móviles y RFIDs

Dr. Roberto Gómez

36