Hacking Tool RFID de largo alcance, presentada en Black Hat

julio 24, 2013 § Deja un comentario

Si bien ya existían investigaciones previas sobre el problema, incluyendo la charla de Kristin Paget 2007 sobre clonación de RFID, en Black Hat, la mayoría de los trabajos sobre el tema incluyen herramientas que nunca fueron liberadas o papers teóricos. Esta vez en Black Hat, Fran Brown incluirá todo lo existente en investigaciones sobre tarjetas de proximidad RFID de baja frecuencia, desde las charlas anteriores sobre el tema, manuales de productos e incluso la traducción de papers de un profesor checo.

La semana que viene, Brown dará a conocer el resultado final de sus investigaciones con un lector de RFID modificado que permite capturar datos de tarjetas RFID de baja frecuencia de 125KHz hasta un metro de distancia. Hasta ahora, las herramientas de hacking debían estar dentro de un rango de pocos centímetros.

“Esta es la diferencia entre un ataque práctico y poco práctico”, dijo Brown. Su ataque ha sido probado varias veces con una tasa de éxito del 100% y sólo lleva unos 10 minutos hacerlo.

Los sistemas RFID no utilizan cifrado y es trivial interceptar información. Un atacante puede, en teoría, captura datos de la tarjeta, clonarlos en una nueva, y ser capaz de acceder a una instalación física. Por ejemplo Disney usa lectores RFID en todo, desde la venta de entradas, pases rápidos dentro de sus parques, y compras de souvenirs con una tarjeta de crédito específica de Disney.

Para agravar el problema, las empresas usan estos lectores y tarjetas para permitir acceso físico a las instalaciones y generalmente operan en un ciclo de vida de al menos 20 años. Para una gran empresa con 100.000 empleados, lo que menos se busca es reemplazar muchas tarjetas y sus lectores. HID, un fabricante líder de tarjetas de proximidad, admitió que sus tarjetas 125KHz son vulnerables.

El ataque de Brown consiste en la personalización de un lector RFID mediante un microcontrolador Arduino, para convertirlo en un lector de largo alcance capaz de leer los datos de la tarjeta hasta 90 centímetros de distancia, haciendo posible ataques furtivos.

“Esto implicó la creación de una pequeña placa portatil (circuito impreso) que se puede insertar en casi cualquier lector RFID comercial para robar información, guardarla en un archivo de texto en una tarjeta microSD y luego clonarla”, dijo Brown.

Brown dijo que se podrá probar el microcontrolador Arduino y replicar su herramienta y el ataque en Black Hat. “Como cualquier herramienta, esta también puede convertirse en maliciosa pero mi forma de pensarlo es que nadie va a estar motivado para hacer algo al respecto hasta que se pueda probar”.

Brown dijo que compartirá algunos consejos de mitigación durante su charla, incluyendo recomendaciones sobre cómo frustrar este tipo de ataques con protectores. También hablará sobre los sistemas de detección de anomalías basados ​​en software que deben configurarse para detectar personas que utilizan tarjetas de acceso en horas o lugares inusuales.

Cristian de la Redacción de Segu-Info

Anuncios

Dispositivo colocado bajo la piel analiza la sangre y envía los resultados al móvil

marzo 23, 2013 § Deja un comentario

Aunque de entrada parece un dispositivo propio de una película de ciencia ficción, en unos cuatro años podría ser tan común en nuestra vida como hoy es el termómetro: Se trata de un mini dispositivo inalámbrico (de unos 14 mm de longitud por 2 mm de ancho) que se inserta bajo la piel y es capaz de analizar nuestra sangre y enviar los resultados a un teléfono móvil.

Es la propuesta de un grupo de científicos suizos, reseñada en la BBC y que consiste en un chip inalámbrico capaz de hacer análisis de sangre, que por sus dimensiones puede ser insertado en la piel del abdomen, las piernas o los brazos del paciente utilizando una aguja, y que podría permanecer allí durante meses antes de necesitar ser reemplazado o eliminado.

¿Su misión? Facilitar el seguimiento de enfermedades crónicas como el colesterol alto y la diabetes, así como el seguimiento de los efectos de los tratamientos farmacológicos, como la quimioterapia.

De momento, el dispositivo, que según sus fabricantes podría estar disponible para los pacientes en 2017, ha sido probado en animales arrojando resultados fiables de mediciones tanto de colesterol como de glucosa en la sangre.

El dato: Los datos los envía al móvil vía bluetooth, y sin duda me parece muy interesante para el monitoreo de enfermedades crónicas que exigen análisis de sangre frecuentes, así que es cuestión de esperar a ver si de verdad prospera y comienza a utilizarse en seres humanos, y luego ver que su precio no sea un limitante para su uso.

Fuente: FayerWayer

Los pasaportes con RFID, o cómo clonar a Elvis

junio 25, 2012 § Deja un comentario

En julio de 2009, el grupo de hackers alemanes conocido como “The Hacker’s Choice”, descifraron cómo leer la información contenida en el ultra-seguro chip RFID de un ultra-seguro pasaporte electrónico confeccionado bajo los-más-altos-estándares de seguridad. No conformes con eso, lo clonaron, y cambiaron algunos datos en el chip: pusieron “Elvis” en el nombre y “Presley” en el apellido, y agregaron algunos datos biométricos. A continuación, se fueron hasta el ultra-seguro aeropuerto de Amsterdam con el chip clonado, y como era de esperar, cuando lo pasaron por la ultra-inteligente máquina-lectora-de-pasaportes-inteligentes, el dispositivo inmediatamente reconoció que se trataba de una burda falsificación y comenzaron a sonar todas las alarmas… bueno… en realidad no: la máquina lectora mostró sin inmutarse la imagen del titular del pasaporte, “Elvis Presley”, lo validó como un pasaporte estadounidense y no detectó nada anómalo.

Los hackers —o crackers para ser más preciso— habían logrado generar información válida a su antojo para insertarla en el chip de un pasaporte —o sea, en la parte “inteligente” del pasaporte, la parte “boba” (esa impresa con estúpida tinta en tonto papel) parece ser algo más difícil de clonar y reproducir. De paso, lo filmaron todo, subieron el video a internet y publicaron un tutorial y el código del software empleado, junto con un artículo que oportunamente titularon: “El riesgo de los Pasaportes inteligentes y el RFID”.

Contenido completo en fuente original Derecho a Leer

Nuevo pasaporte argentino "inteligente" con RFID

junio 15, 2012 § 3 comentarios

El ministro de Interior y Transporte, Florencio Randazzo, anunció hoy la conformación de un nuevo pasaporte electrónico para todos los ciudadanos argentinos que viajen al exterior, que costará 150 pesos más que ahora: el trámite para su confección pasará de $250 a $400.

Según el anuncio oficial, el nuevo documento será válido por 10 años y contará con un chip interno con los datos biométricos del titular del documento, lo que lo hace cumplir con “las medidas de seguridad más exigentes del mundo”, según expresó Randazzo en conferencia de prensa.

El nuevo pasaporte se podrá efectuar en todo el país en los mismos lugares donde se realizan el DNI y la solicitud del trámite en la Capital puede hacerse a través de la web oficial del ministerio.

El trámite tendrá tres modalidades: una ordinaria, que tardaría no más de 15 días; una express , con entrega en 48 horas a domicilio; y una instantánea en el aeropuerto internacional de Ezeiza.

Más allá del nuevo pasaporte, que comenzará a confeccionarse hoy mismo, los aún vigentes podrán usarse hasta que se cumpla su fecha de vencimiento, aunque no contengan el chip de información incorporado en su contratapa.

Si el ciudadano quiere actualizarlo, deberá realizar un nuevo trámite.

“La Argentina contará con un pasaporte electrónico que tiene un chip incorporado en la contratapa que permite incorporar los datos biométricos para hacerlo absolutamente seguro. Será inviolable y permitirá el inicio del trámite de excepción de solicitud de visa para aquellos países que la solicitan, como Estados Unidos, Canadá o Australia”, afirmó Randazzo al hacer el anuncio.

Este es el segundo cambio en la política de confección de los pasaportes, desde que la cartera de Interior se hizo cargo de la tarea que antes realizaba la Policía Federal. El 9 de marzo del año pasado, el ministerio de Randazzo comenzó a entregar el nuevo documento para viajar, en paralelo al DNI con formato tarjeta

Fuente: La Nación

Demuestran cómo clonar tarjetas de crédito de forma inalámbrica

enero 31, 2012 § Deja un comentario

La investigadora de seguridad Kristin Paget mostró en vivo en el pasado ShmooCon 2012 celebrado en Washington cómo es posible clonar una tarjeta de crédito con tecnología de pago sin contacto (RFID) y que la copia pueda ser usable al menos una vez.

Para ello se sirvió de un lector de tarjetas RFID (50$ en eBay) para poder obtener los datos de la tarjeta de un voluntario entre el público, entre los que figura el CVV de un sólo uso que se emplea para autenticar dichos pagos sin contacto. Una vez obtenidos dichos datos, procedió a crear un duplicado de la tarjeta mediante un grabador de tarjetas (300$) y mediante el software de pago sin contacto de un iPhone procedió a “donarse” 15$ con la tarjeta recién creada. Para evitar acusaciones de fraude, le entregó al voluntario un billete de 20$ a cambio…

No es difícil imaginar lo que se podría conseguir con un equipamiento algo más sofisticado en un lugar lleno de gente (el metro o un estadio, por ejemplo).

Fuente: Kriptopolis

INTECO y la AEPD advierten sobre RFID

julio 28, 2010 § Deja un comentario

La información se recoge en una guía elaborada por ambas instituciones sobre seguridad y privacidad de la tecnología RFID (etiquetas de identificación por radio frecuencia).

El Instituto Nacional de Tecnologías de la Comunicación (INTECO), y la Agencia Española de Protección de Datos (AEPD), publican una Guía sobre seguridad y privacidad de la tecnología RFID, ante la proliferación de estos sistemas en elementos de la vida cotidiana de los ciudadanos.

En dicha guía, disponible desde hoy en las páginas Web de ambos organismos, se analiza el funcionamiento de esta tecnología, los tipos de dispositivos existentes en la actualidad y sus usos y aplicaciones principales. Asimismo, se recogen de forma destacada los riesgos existentes en materia de seguridad, privacidad y protección de los datos en el empleo, e implantación de los dispositivos de identificación por radio frecuencia, en diversos ámbitos, y las garantías exigibles para prevenirlos.

Fuente: INTECO

Identificando los nuevos desafíos de las tecnologías IoT / RFID

junio 3, 2010 § Deja un comentario

ENISA en la tarea de identificar y evaluar riesgos emergentes y futuros en un escenario IoT (Internet of Things) / RFID (Radio Frequency IDentification) y bajo la visión de que todas las cosas pueden ser fabricados y habilitadas para trabajar en red, ha desarrollado este artículo para evaluar estas tecnologías, su convergencia y su interoperabilidad.

Cristian de la Redacción de Segu-Info

¿Dónde estoy?

Actualmente estás explorando la categoría rfid en Seguridad Informática.