Vulnerabilidad en la seguridad del Sistema de recaudo del Metro de Lima
Páginas: 12 (2938 palabras)
Publicado: 1 de agosto de 2013
Posible Vulnerabilidad en la seguridad del Sistema de recaudo del Metro de Lima
(Tarjetas de pago - Mifare Classic 1k)
1. OBJETIVO
Alertar al Metro de Lima, sobre posibles evasiones en el sistema de recaudo a través de tarjetas electrónicas
adulteradas y/o clonadas usadas como medio de pago, que afectaría directamente el recaudo del servicio.
En ese sentido se pretende practicar unaIngeniería inversa al Chip integrado de las Tarjetas electrónicas Mifare
Classic 1K, tecnología 1994 (usadas en nuestro sistema actual como medio de pago), a fin de identificar y
prevenir posibles vulnerabilidades en la seguridad de su código fuente, el cual conllevara a la lectura y
modificación interna de sus datos (adulteración del saldo disponible) e incluso al clonado de las mismas.
De esta manerase medirá el nivel de seguridad, protección y/o encriptación de las tarjetas Mifare, a fin de dar
con el problema y plantear una solución a mediano plazo, evitando que usuarios malintencionados realicen o
practiquen acciones ilícitas como fraude en sistemas de pago, suplantar la identidad de personas, entre otras
cosas.
2. RESUMEN
La tecnología RFID (Identificación Mediante RadioFrecuencia) en tarjetas electrónicas, conforma, hoy en día,
una solución extensamente utilizada en sistemas de controles de acceso a edificios u oficinas, pasaportes,
monederos electrónicos o sistemas de pago en transportes públicos (que es nuestro caso), entre otras
aplicaciones. Existen diversas soluciones como Mifare, Keeloq o RFID EM4102, que permiten al portador
interactuar de forma inalámbricacon los sistemas desplegados. La seguridad de este tipo de tecnologías
presenta deficiencias que pueden permitir a usuarios malintencionados realizar acciones ilícitas como fraude en
sistemas de pago, suplantar la identidad de personas o acceder a áreas de acceso restringido, entre otras cosas.
En este caso nos vamos a centrar en la tecnología de las tarjetas Mifare Classic (tarjetas usadas en elMetro de
Lima) ya que es una de las más utilizadas en entornos de producción (sistemas de ticketing, control de acceso
físico, sistemas de pago en transportes públicos, etc.). El proceso de análisis de la seguridad de este tipo de
tarjetas ha sido realizado por la Universidad de Nijmegen Holandesa, consiguiendo en el 2008 romper el cifrado
/ clave de la tarjeta sobre el cual se basa Mifare.3. HERRAMIENTAS NECESARIAS
A.
B.
C.
D.
E.
F.
G.
H.
Proxmark III (Sniffer).
Touchatag acr122u (Lector de tarjeta Mifare).
Tarjeta Mifare Classic 1k (Tarjeta del Metro de Lima).
PC con Sistema Operativo Linux Ubuntu 10 o superior (software libre).
Librerías y/o Repositorios “libnfc” (software libre).
Software MFCUK (software libre).
Software MFOC (software libre).
Software RFDUMP(software libre).
Versión borrador
Propuesta de Tesis
A. PROXMARK III (SNIFFER) - 329$ a 399$
Es un hardware que nos permite realizar sniffing de varias tecnologías RFID desde baja
frecuencia (LF 125 Khz) a alta frecuencia HF (13.56 Mhz) y entre ellas la que nos interesa
ISO14443 tipo A sobre la que se basa la tarjeta Mifare, la misma que hace posible que
una PC captureinalámbricamente las tramas y/o datos de información no destinadas a él
cuando hay una comunicación Lector/Tarjeta. Los datos capturados por este hardware
tienen diversos usos como monitorear las redes para detectar y analizar fallos en el sistema o ingeniería inversa
de protocolos de red.
B .TOUCHATAG ACR122U (LECTOR DE TARJETA MIFARE) - 40€ aprox.
Lector y editor de tarjetas Mifare Classic.
C.TARJETA MIFARE CLASSIC 1K (TARJETA DEL METRO DE LIMA).
Tarjeta electrónica de tecnología RFID (Identificación Mediante Radio Frecuencia) con chip
Mifare Classic 1k, las mismas que son usadas como medio de pago en el sistema del Metro de
Lima.
4. CONCEPTOS Y PROCEDIMIENTOS DE AUDITORIA BASICA
Antes de entrar en los detalles técnicos de las debilidades de
seguridad, pasaremos a describir su...
(Tarjetas de pago - Mifare Classic 1k)
1. OBJETIVO
Alertar al Metro de Lima, sobre posibles evasiones en el sistema de recaudo a través de tarjetas electrónicas
adulteradas y/o clonadas usadas como medio de pago, que afectaría directamente el recaudo del servicio.
En ese sentido se pretende practicar unaIngeniería inversa al Chip integrado de las Tarjetas electrónicas Mifare
Classic 1K, tecnología 1994 (usadas en nuestro sistema actual como medio de pago), a fin de identificar y
prevenir posibles vulnerabilidades en la seguridad de su código fuente, el cual conllevara a la lectura y
modificación interna de sus datos (adulteración del saldo disponible) e incluso al clonado de las mismas.
De esta manerase medirá el nivel de seguridad, protección y/o encriptación de las tarjetas Mifare, a fin de dar
con el problema y plantear una solución a mediano plazo, evitando que usuarios malintencionados realicen o
practiquen acciones ilícitas como fraude en sistemas de pago, suplantar la identidad de personas, entre otras
cosas.
2. RESUMEN
La tecnología RFID (Identificación Mediante RadioFrecuencia) en tarjetas electrónicas, conforma, hoy en día,
una solución extensamente utilizada en sistemas de controles de acceso a edificios u oficinas, pasaportes,
monederos electrónicos o sistemas de pago en transportes públicos (que es nuestro caso), entre otras
aplicaciones. Existen diversas soluciones como Mifare, Keeloq o RFID EM4102, que permiten al portador
interactuar de forma inalámbricacon los sistemas desplegados. La seguridad de este tipo de tecnologías
presenta deficiencias que pueden permitir a usuarios malintencionados realizar acciones ilícitas como fraude en
sistemas de pago, suplantar la identidad de personas o acceder a áreas de acceso restringido, entre otras cosas.
En este caso nos vamos a centrar en la tecnología de las tarjetas Mifare Classic (tarjetas usadas en elMetro de
Lima) ya que es una de las más utilizadas en entornos de producción (sistemas de ticketing, control de acceso
físico, sistemas de pago en transportes públicos, etc.). El proceso de análisis de la seguridad de este tipo de
tarjetas ha sido realizado por la Universidad de Nijmegen Holandesa, consiguiendo en el 2008 romper el cifrado
/ clave de la tarjeta sobre el cual se basa Mifare.3. HERRAMIENTAS NECESARIAS
A.
B.
C.
D.
E.
F.
G.
H.
Proxmark III (Sniffer).
Touchatag acr122u (Lector de tarjeta Mifare).
Tarjeta Mifare Classic 1k (Tarjeta del Metro de Lima).
PC con Sistema Operativo Linux Ubuntu 10 o superior (software libre).
Librerías y/o Repositorios “libnfc” (software libre).
Software MFCUK (software libre).
Software MFOC (software libre).
Software RFDUMP(software libre).
Versión borrador
Propuesta de Tesis
A. PROXMARK III (SNIFFER) - 329$ a 399$
Es un hardware que nos permite realizar sniffing de varias tecnologías RFID desde baja
frecuencia (LF 125 Khz) a alta frecuencia HF (13.56 Mhz) y entre ellas la que nos interesa
ISO14443 tipo A sobre la que se basa la tarjeta Mifare, la misma que hace posible que
una PC captureinalámbricamente las tramas y/o datos de información no destinadas a él
cuando hay una comunicación Lector/Tarjeta. Los datos capturados por este hardware
tienen diversos usos como monitorear las redes para detectar y analizar fallos en el sistema o ingeniería inversa
de protocolos de red.
B .TOUCHATAG ACR122U (LECTOR DE TARJETA MIFARE) - 40€ aprox.
Lector y editor de tarjetas Mifare Classic.
C.TARJETA MIFARE CLASSIC 1K (TARJETA DEL METRO DE LIMA).
Tarjeta electrónica de tecnología RFID (Identificación Mediante Radio Frecuencia) con chip
Mifare Classic 1k, las mismas que son usadas como medio de pago en el sistema del Metro de
Lima.
4. CONCEPTOS Y PROCEDIMIENTOS DE AUDITORIA BASICA
Antes de entrar en los detalles técnicos de las debilidades de
seguridad, pasaremos a describir su...
Leer documento completo
Regístrate para leer el documento completo.