Testowanie bezpieczeństwa środowisk NFC / RFID – przydatny sprzęt

08 kwietnia 2015, 12:30 | Aktualności | komentarzy 5
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Użytkownicy reddita przypomnieli ostatnio o projekcie ChameleonMini czyli programowalnej karcie smartcard (z chipem) działającej  technologiach NFC / RFID. Całość pozwala testować infrastruktury tego typu (czyli bezdotykowe systemy płatności / kontroli dostępu / itp. –  bazujące na NFC / RFID) pod względem bezpieczeństwa.

Czy na pewno komunikacja jest szyfrowana? Jeśli tak – to czy jest odporna na taki typu replay? (nagrywamy naszym urządzeniem-kartą komunikację bezprzewodową, a następnie ponownie odtwarzamy; to wbrew pozorom dość częsty problem).

cm1

Karta jest programowalna, więc można zweryfikować fakt czy czytnik poprawnie obsługuje wartości niezdefiniowane w oficjalnych specyfikacjach, a otrzymane od karty? Pewnie napisanie odpowiedniego fuzzera też nie stanowi wielkiego problemu.

Całość została wstępnie wyceniona na ok $25 (koszt komponentów) a sprzęt posiada takie ciekawostki jak choćby sprzętowe wsparcie do algorytmów DES (nie powinno się go już używać, prawda? :) czy AES. Całość projektu startuje niedługo na kickstarterze (obecnie można kupić w pełni złożone / przetestowane prototypy – choć chwilę trzeba czekać).

cm2

Fanom tego typu technologii polecamy również prezentację twórców opisywanej zabawki:

Czy przykładowe badania wykorzystujące projekt.

Przypominamy żeby opisane techniki / narzędzia – wykorzystywać tylko w legalnych celach (czyli np. legalne testy penetracyjne)

–Michał Sajdak<at>securitum.pl

 

 

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Moro

    „Sprzętowe wsparcie dla DES” i jeszcze dla AES bo z tego co widzę to procesor to zwykły AVRek typu xmega czy avr32. Oczywiście piszę to z przekorą bo prawie każdy obecnie produkowany procesor ma takie wsparcie. Ktoś mnie oświeci czym to się różni od jakiegokolwiek produkowanego czytnika? Tym że mamy przycisk ‚odtwórz’?
    Ja tu widzę wiele szumu o nic no chyba że jest to spóźniony żart z 1 kwietnia.

    Odpowiedz
    • Moro – polecisz jakiś inny alternatywny produkt o podobnych możliwościach / cenie? Jak tak to z chęcią zrobię jakąś alternatywną recenzję!

      Odpowiedz
      • Moro

        Alternatywne sprzęty są – może nie dokładnie o takiej funkcjonalności a raczej bardziej ogólne czytniki.
        Bardziej mi chodziło o to, że taki sprzęt to nie jest kosmiczna technologia i ten cały szum jest o nic. Ot po prostu kolejna zabawka. Każda osoba która ma trochę wprawy w elektronice mogłaby zrobić coś takiego w szczególności że praktycznie do wszystkiego jest gotowiec i trzeba zająć się tylko oprogramowaniem logiki i samym hardwarem. Gdybym sam robił coś takiego to bym tak jak oni wziął jakiś procesor atmela do tego dołożył np. jakiś scalak TRH031, który ma w sobie całą logikę dla standardów ISO14443 i ISO15693 czyli dla tych samych co oni wykorzystali. Teraz najlepsza cześć odpalam atmel studio wybieram sobie interfejsy i jedne co muszę zrobić to dopisać komendy do komunikacji z tym scalakiem po SPI i zapewnić jakąś transmisje z komputerem np. tak jak oni po USB w trybie HID (do wszystkiego są gotowe biblioteki). Taki projekt można ulepić w parę dni.

        Odpowiedz
  2. Sebastian

    Alternatywny sprzęt to Proxmark.

    Odpowiedz
    • Marcin

      Masz rację, ale on kosztuje już 200-400 dolarów (zależnie czy chcemy upić od pewnego dostawcy czy od „chińczka”).

      Odpowiedz

Odpowiedz