МАЛЕНЬКИЕ СЕКРЕТЫ БОЛЬШИХ ТЕХНОЛОГИЙ
(январь 2008)
Новая система проездных чип-карт, вводимая ныне в Голландии для универсальной оплаты проезда в общественном транспорте от автобусов и трамваев до железной дороги, оказалась намного менее защищенной, чем ожидалось.
На создание технологически продвинутой системы была затрачена внушительная сумма в 2 миллиарда евро, ощутимая даже для совсем небедных Нидерландов, однако уже три, по крайней мере, независимых исследования продемонстрировали очевидную небезопасность конечного продукта.
В целом новая система транспортных билетов, получившая название OV-chipkaart, построена на основе бесконтактных смарт-карт с RFID-чипом. Пассажир может купить или разовую картонную карточку на 1-2 поездки, или постоянную пластиковую карту для регулярной езды.
Для оплаты проезда карточку прикладывают к окошку-ридеру турникета как при входе, так и при выходе из транспорта, поскольку ридер проводит не только аутентификацию карты, но и снимает из памяти чипа разные суммы за разные поездки.
Разовая картонная и постоянная пластиковая карты построены на основе существенно разных технологий. Чип дешевой разовой карты, именуемой Mifare Ultralight, совсем прост по устройству и не имеет никакой криптографии вообще.
В постоянной пластиковой карте, или Mifare Classic, реализована существенно более серьезная защита информации. Но на деле, увы, куда менее безопасная, чем можно было бы ожидать при нынешнем уровне индустрии.
Первая известная атака – на проездные карты Ultralight – была опубликована в июле 2007 г. двумя голландцами (Pieter Sieckerman, Maurits van der Schee) из Амстердамского университета. Суть атаки свелась к тому, что память чипа оказалось возможным «перематывать» в предыдущее состояние, так что по одноразовой карте в принципе можно было ездить сколько угодно в пределах срока ее действия.
Исследователи показали, что эту очевидную дыру совсем несложно залатать, слегка подправив программное обеспечение системы. Но одновременно было установлено, что с умом сконструированная хакерами контрафактная карта Ultralight сможет постоянно обманывать ридеры, а отследить и заблокировать ее чрезвычайно сложно.
Фундаментальная проблема слабости одноразовых карт Ultralight в том, что они не имеют криптографии. Поэтому чип карты не способен утаить никаких секретов от атакующей стороны.
С помощью совсем недорогого оборудования злоумышленник может свободно считать RFID-чип, получить всю хранимую в нем информацию и без проблем изготовить другое устройство, идентичное исходной карте. С тем лишь отличием, что контрафактная карта будет постоянно сама возвращаться в полностью оплаченное состояние.
Студент другого голландского университета, Роэл Вердулт (Roel Verdult), недавно практически реализовал идею клонирования Mifare Ultralight как часть своей дипломной работы, затратив на устройство порядка 40 евро.
В начале года об изысканиях Вердулта рассказало национальное телевидение, передача получила большой резонанс, а студента пригласили выступить аж в парламенте. Многим депутатам захотелось в подробностях узнать, насколько слабой в реальности оказалась система, стоившая 2 миллиарда.
(В сетевых комментариях по этому поводу завистливые американцы отметили, что будь дело в США, инициативного студента уже давно повязали бы и отправили бессрочно куда-нибудь типа тюрьмы Гуантанамо – как пособника террористов.)
В более серьезные проездные карты Mifare Classic встроен чип с криптографией. Здесь для защиты информации имеются секретные ключи, используемые при аутентификации карты ридером. Поэтому в лоб клонировать такую карту злоумышленник не может.
Однако в качестве алгоритма шифрования, на основе которого построена безопасность системы, выбран не общеизвестный сильный криптоалгоритм, а засекреченный фирменный (изготовителем карт Mifare является компания NXP, подразделение гиганта Philips).
Давным-давно известно, что уповать на секретность шифра – дело зряшное и безнадежное. В декабре прошлого года группа германских хакеров (Karsten Nohl, Starbug, Henryk Ploetz) на конференции 24CCC объявила о том, что завершила обратную инженерную разработку криптоалгоритма карты Mifare Classic – открыв чип и сделав для анализа снимки электронных схем в высоком разрешении.
Полное описание восстановленной криптосхемы публиковать из осторожности не стали, но и раскрытой информации вполне достаточно, чтобы слабость использованного в карте шифра стала очевидна для всех.
Хотя в семействе Mifare имеются заведомо более безопасные карты (например, применяемая в других странах Европы DESfire на основе стойкого шифра тройной-DES), для голландской транспортной системы по неизвестным пока причинам выбрали Mifare Classic с проприетарным шифром и ключом 48 бит.
Даже если этот шифр конструктивно хорош и не вскрывается быстрой атакой (что не факт), очевидно короткая длина ключа не в силах противостоять тотальному перебору всех возможных комбинаций. Их число, около 280 триллионов, может показаться довольно большим, однако при современных возможностях вычтехники на простое лобовое вскрытие ключа уйдет несколько дней или даже часов.
Если же воспользоваться хорошо освоенной технологией предвычислений и заранее подготовить данные на емком жестком диске, то вскрытие произвольного 48-битного ключа становится минутным делом…
Бурные дискуссии в Сети по поводу очевидных слабостей в защите новой голландской системы попутно вскрыли несколько малоизвестных фактов.
Например, что проездные, а теперь и платежные RFID-карточки знаменитой лондонской системы Oyster построены на основе тех же чипов Mifare Classic. Что карты такие хоть и неважно защищены, но зато хранят в своей памяти информацию о последних 35 поездках.
И что – самое интересное – голландская система подразумевает централизованное хранение информации обо всех маршрутах поездок по каждой пластиковой карте, оформляемой на человека персонально, в течение 7 лет.
Иначе говоря, есть основания полагать, что удешевленная и упрощенная защита карточек – это своего рода плата за обеспечение обостренных интересов государства ко всем перемещениям своих граждан.
* * *
И ГРЯНУЛ ГРОМ
(Март 2008)
Министр внутренних дел Нидерландов Хюшье тер Хорст (Guusje ter Horst) официально проинформировала парламент страны о серьезной компрометации защиты в бесконтактных смарт-картах Mifare. Вообще говоря, столь узкую и похожую на сугубо техническую проблему парламенты и правительства серьезных стран обычно не обсуждают. Однако этот случай весьма особый.
Скомпрометированные ныне карты Mifare Classic не только заложены в основу общенациональной системы оплаты общественного транспорта OV-chipcaart стоимостью 2 миллиарда евро, но и используются в качестве пропусков примерно на 2 миллионах автоматизированных пунктов контроля доступа в правительственных учреждениях и компаниях Голландии.
Похожая ситуация, можно заметить, характерна и для великого множества других стран, коль скоро количество проданных в мире карт Mifare Classic измеряется уже миллиардами, а серьезных конкурентов для них на рынке считай что нет.
Однако в Нидерландах восприняли давно уже назревавшую проблему особо болезненно, поскольку изготовителем карт Mifare является корпорация NXP Semiconductors, в свое время ответвившаяся от голландского хайтек-гиганта Philips.
Суть произошедшей компрометации, в двух словах, примерно такова. Профессор Барт Якобс (Bart Jacobs), работающий в университете Radboud старейшего голландского города Неймеген, вместе с группой своих аспирантов и студентов занимается систематическими исследованиями безопасности RFID-технологий и карт Mifare в особенности.
Эта группа ранее уже демонстрировала неудовлетворительную защиту проездных OV-chipcaart, однако теперь исследователи нашли способ быстрого и сравнительно дешевого клонирования не только проездных, защищенных криптографией, но и пропусков на охраняемые объекты.
В частности, дабы не ходить далеко, было продемонстрировано, насколько просто можно с расстояния в несколько метров считать информацию с карточек-пропусков студентов и преподавателей университета, а затем изготовить на основе этих данных сколько угодно поддельных пропусков-клонов…
В связи с чем уместно вспомнить несколько историй из недалекого прошлого, дающих расширенное представление о происходящем.
Осенью 2006 года на страницах русскоязычного блога, посвященного технологиям RFID (rfidigest.blogspot.com), промелькнула любопытная информация по поводу взлома защиты бесконтактных смарт-карт. О том, в частности, что специалисты зеленоградского хайтек-предприятия «Ангстрем» провели обратную инженерную разработку карты Mifare Classic и обнаружили в схеме закладку, позволяющую считывать содержимое чипа без знания секретного ключа.
Патриотически настроенные хакеры тут же известили о своей находке компетентные российские спецслужбы, коль скоро стало очевидно, что «с точки зрения государственной безопасности карта MIFARE – удобная игрушка, которую можно использовать в своих целях» (цитата из оригинала публикации).
Никакой дальнейшей огласке это открытие предавать не стали, ибо «на кой раскрывать свои возможности?» (еще одна цитата из источника). Тут мы имеем, так сказать, типичный русско-советский вариант реакции.
Несколько месяцев спустя, весной 2007 в пригороде Вашингтона проходила хакерская конференция Black Hat Federal, ориентированная на проблемы инфобезопасности с точки зрения государственных структур и крупных корпораций США.
В рамках этого форума местный умелец Крис Пейджет (Chris Paget), возглавлявший подразделение исследований и разработок небольшой фирмы IOActive, собирался продемонстрировать аудитории весьма впечатляющие результаты своих изысканий. А именно, насколько просто клонируются RFID-карточки пропусков в системах HID, массово используемых для контроля доступа на объекты правительства и в здания компаний не только в США, но и по всему миру.
Корпорация-гигант HID Global выпускает системы контроля доступа самых разных типов, однако про их бесконтактные «проксимити-карты» известно, что они, главным образом, построены на основе RFID-чипов Mifare.
Бесконтактные карты-пропуска, которые так легко клонировал Пейджет с помощью самодельного устройства стоимостью примерно 20 долларов, очевидно не имели криптографической защиты, как самые простые карточки типа Mifare Ultralight.
Но что там реально взломал американский хакер, так и осталось тайной. Потому что адвокаты HID Global заблокировали выступление Пейджета, заставили организаторов вырвать его доклад из тома с трудами конференции и пригрозили засудить до полного разорения всякого, кто еще раз попытается посягнуть на их «интеллектуальную собственность»…
Это, можно сказать, весьма типичный для Америки подход к решению проблем безопасности.
А вот как выглядела нынешняя реакция в Голландии. В пятницу, 7 марта (2008), университет Radboud проинформировал о своих результатах голландское правительство, поскольку под угрозой могли оказаться аспекты национальной безопасности.
Уже на следующий день, в субботу 8 марта, в университет для оценки ситуации прибыли специалисты NBV, национального Бюро безопасности связи, входящего в состав Службы общей разведки и безопасности (AIVD). После ознакомления с наглядной демонстрацией эксперты спецслужбы пришли к заключению, что это эффективная реальная атака.
В воскресенье, 9 марта, была проинформирована корпорация NXP, производящая Mifare, а 10 марта – компания Trans Link Systems, занимающаяся едиными смарт-картами для общественного транспорта.
Специалисты университета в полном объеме предоставили обеим компаниям технические детали о выявленных слабостях системы и ныне сотрудничают с ними в разработке возможных контрмер.
В тот же день, 10 марта, компания NXP Semiconductors издала пресс-релиз о выпуске к ноябрю 2008 новой бесконтактной карты MIFARE Plus, существенно более безопасной и призванной обеспечить беспроблемную модернизацию существующих систем на основе MIFARE Classic (о факте компрометации Classic, можно отметить, в пресс-релизе нет ни слова).
В среду, 12 марта, министр внутренних дел Тер Хорст проинформировала парламент о случившемся и предпринимаемых контрмерах.
Технические детали о взломе Mifare Classic см. в материале «Ясно, что небезопасно».
___
kiwi arXiv 