5.2 芯片克隆—欺骗和偷窃
门禁控制:在商业环境中,要想控制人们什么时候离开和去什么地方是一个很大的问题。最简单的解决方案是把保安安排在敏感区域的门口。但是,这种方法的缺陷也是非常明显的。保安雇佣费用高,并且常常会犯人为的错误,而且保安跟踪某人的行动也是不受欢迎的。用钥匙控制系统来进行门禁管理也存在一定的问题,因为被解雇的雇员很可能会有一把复制的钥匙,因此你不得不重新更换所有的锁具。
在这种情况下,部分人提出采用带有磁条的门禁卡。这种系统有一个计算机后台系统,磁条卡能够被废除或者从系统中删除。而且日志能够保存在某时某刻某人到过什么地方。这种系统存在的问题是机械磨损。磁卡需要和读卡器发生接触,这很容易导致磁卡的失效。
RFID技术以众所周知的非接触卡的形式存在。RFID卡片可以是有源的主动RFID卡,也就是卡片带有其自己的能量(通常是硬币大小的电池)。或者,也可以是通过阅读器的射频被动获取能量的无源卡。RFID标签的形式可以被封装得和信用卡一样。
这些卡在成本和技术方面存在着较大的差异。但是,基本上都是由一个线圈和一个RFID芯片嵌入到塑料材料中制造而成的。有的卡片上面印刷有图形或者个性化图案,有的卡片的表面则是空白的。根据不同的应用,这些卡片可以分为只读卡,只读卡在生产时已经编好程,只能读取数据,无法进行数据写入。一次写入多次读出卡,通过特定系统写入,一次写入,多次读出。有些卡是可读可写的,用于对用户的访问权限进行控制。
由于RFID采用射频阅读器而不是接触式阅读器,因此对卡片几乎不会存在任何划伤和磨损,在阅读器上也不存在着划伤,这就降低了维护成本。在使用控制方面可以允许阅读器和后台系统间有更大的空间存在。
在阅读器前出示卡片,阅读器很快从后台数据库查询和核对该卡片的信息,如果确认你可以进入,那么门将会及时打开。每一次刷卡,阅读器将跟踪并记录你进入的时间、卡号以及进入的区域。
这种卡同样也可以用来完成计算机的登陆。有几家包装公司采用非接触式卡作为登陆网络的方法。当使用用户名和密码登陆系统的时候,RFID卡片额外增加了系统的安全防护层。
背景资料:安全三要素
下面三要素是形成信息系统安全保护的的基础:
你具有的某些固有特征。从某种意义上看,识别对象自身就带有某些固有的识别信息(通常是指生物信息),这是每一个人所固有的,是独特的,是不可改变的,比如面部特征和指纹,也可以是声音或人们脸上的温度等。
你所持有的某些物品。比如你所持有的可以用来登陆的某种物品如ATM卡等。
你所知道的私人信息。意味着只有你自己知道而别人不应该知道的私人信息,如密码或者PIN号码,这都是大多数人每天都使用的。
当单独运用以上某种特征时,没有一种方法能够提供绝对的安全保障。对这些方法的复合运用可以大大提高系统的安全性。在每次使用信用卡时可以使用两种认证方法。信用卡是你所拥有的,签名和卡上的签名匹配是你本身的固有特征。你的ATM卡是你所拥有的私人物品,你的PIN码也是只有你才知道的。
最安全的系统会综合应用这三个方面的安全特征,因此使得系统安全攻击变得非常困难。
多数情况下,这些系统都采用最基本的识别方法。卡片会向任何请求其卡号的阅读器(通常为ID)发送其卡号,这也使得系统的操作变得非常容易。然而,一些系统使用的标签都比较昂贵,如用在SpeedPass系统上的TIRISDST标签,多数这类系统是在多年以前应用旧的技术安装的,没有采取任何加密措施。
卡片向阅读器传送其ID号,阅读器并没有对卡片进行认证。在没有认证系统的情形下,任何设备只要能够向阅读器发送正确的代码,都能允许进入该系统。在考虑一个非接触式系统时,对这一特点必须进行分析、了解并进行权衡。
让我们先来看看有源卡的情况,你口袋中的信用卡是一个小型的射频发射机,当一个阅读器靠近它来读取ID时,它将向任何设备广播自身的ID号。如果你想把你的密码告诉给保安,你将会靠近他的耳朵小声地告诉他,没有别人能够听得到。你口袋中的标签在向其大声呼喊,因此在听力所能及的范围内的设备都能够听到标签的呼喊。这是一个非常严重的安全隐患。如果我能正确地阅读你的卡号,那么系统也就可以把我看作是你。
无源卡的安全性也很脆弱。任何能够读无源卡的阅读器都具有给其提供工作所需的电源的能力。和有源卡的唯一的区别就是由于受到能量的限制有效距离比较短。但是,即使如此,通过高增益天线也可以克服此类问题。
如果在没有接触你的钥匙的情况下我克隆了你的钥匙,你是不会知道的,除非我使用你的钥匙去做了什么,否则你将永远不会知道。这和连接在PDA上的阅读器一样,在你没有留意的情况下能够获取你口袋中的信用卡号码。我一旦拥有了这个卡号,我就可以把它发回给阅读器。你就变成了被攻击的对象。
一个明智的攻击者往往会调查他所要攻击的对象的业务规划,不仅是企业的组织结构,而且包括人事结构,任何装有大量非接触卡的地方通常有一个人员权限。攻击者如果计划攻击一个组织目标,了解哪些人处于顶层哪些人处于底层不失为一个很好的方法。
在大多数公司里,老板喜欢控制一切,他或她不喜欢被排除在公司的权利之外。假设你在你们的公司实施一个非接触卡系统,你能够限制老板的进入某个区域吗?答案是当然不能,因为如果这样的话,你就会被炒掉。老板希望他的卡能进入公司的任何区域,这就使得对他的攻击变得非常有价值。
你可能会认为从老板手中得到卡片的ID是非常困难的,但是,如果你能离他很近,只需几秒钟你就可以轻而易举得到卡片的ID。特别是在电梯里,人们之间靠的很近而且是处在避免相互对视的环境中。所有的攻击者都希望得到一个机会,而这种机会很多。一旦你得到了你老板的ID,你就可以克隆一张卡,你就成为了老板,你就可以控制企业的一切。
假如你不能接近你的老板来克隆卡片时又该如何办理呢?正如前面提到的,知道公司的顶层和底层组织是很重要的。处于组织底层的人通常可以进入更多的地方(有时甚至比老板还多),由于其工作职责的关系,看门人通常有进入任何一个地方的权利,因此他们可以进入受限制的区域行使他们的职责。由此,如果你不能克隆顶层人员的ID,你可以克隆底层人员的ID。告诉看门人他们的工作做得如何如何的好并和他握手,同时用另一只手中的阅读器扫描他们口袋中的标签。一旦你得到了看门人卡片的ID,就等于你掌管了这个企业的钥匙。
许多系统都有日志来记录雇员的进出情况,因而可以用来对员工的行踪进行追溯。这些日志也会记录一些错误的情形,比如门被挤开,或者一个人两次进入同一个地方而没有离开(可能为克隆卡)。这些日志是系统的安全资源,了解某人在什么时候去了什么地方有助于发现反常的情形。
在某些方面,非接触式卡系统似乎是一个充满安全漏洞的最容易受到攻击的系统。但是,通过改善可以使给系统变得更为强大、更具有活力。
首先,每一个人的进出都必须受到限制,即使是老板也不例外。这些限制条件也包括出入时间的限制。如果员工的工作时间是周一到周五的早晨9点到下午5点,那么他们应该进入公司的时间是周一到周五的早晨8点到下午6点。这对克隆卡的运用起到了一定程度的限制作用。
以日志作为杠杆。实时监控日志文件能够及时捕捉到问题而不是事后分析。比如弗兰克在早晨首先进入实验室,在他能够进入其他楼的档案室前,他必须先离开实验室。如果日志显示弗兰克进入了两次实验室而没有离开过,那这种情况应该被调查清楚。自动日志处理系统会自动记录周一到周五早晨9点到下午5点员工的出入情况。如果某个员工在周六早晨3点钟神秘的进入大楼,自动日志处理系统也会予以记录。如果一个企业24小时运作,某个非公司的人员的进入可能不会被公司员工注意到,但是自动监控系统却能够触发相应的警报系统,因而值得进一步的调查。
为发挥日志的效率,系统就必须限制和阻止人们利用别人的卡进入大门,因为使用别人的卡进入大门干扰了监控系统的正常工作。
另外经常被忽视和容易采用的保护卡的方法是当不使用卡的时候将其放到一个容器中。为了防止卡在不使用时发射射频信息,建议使用一个金属或具有金属涂层的盒子或容器。
只有当卡片的使用者在没有注意时卡被克隆是存在风险的。如果使用克隆卡在中午进入一个安全保护区域没有被发现,这将使攻击者更加猖狂。增加PIN码将使攻击工作变得更为艰难,因为你现在不得处于和持卡人很接近的距离才能去进行卡的克隆,此外,在持卡人输入卡的密码时要在很近的位置才能观察清楚,但这是非常困难的。
在安全性要求较高的场所,常见的现象是当人们使用非接触卡进出大门时,保安坐在监控室注视监控屏幕。大多数人认为保安们一直在注视桌子上的监控器,然而这种情况只是偶尔的。大多数情况下他们是作为自动识别系统的人工校验备份而存在的。当某一雇员被加入该系统并给他们发卡时,雇员照片就和卡片的记录发生关联。当雇员持卡通过时,他的照片就会自动显示出来以便保安进行核对。这种识别系统有时也能凭直觉来达到目的。一个看起来紧张和急躁的人往往会引起保安的格外注意而对其进行人工盘问或者检查。
2003年,乔纳森维斯特斯(Jonathan Westhuse)在他的网站报道了他设计的一种设备。这种设备是一个自制的非接触卡,卡片的形状和信用卡一样。它是用来攻击摩托罗拉FLEXPASS系统的,这是一个无源RFID系统,但他使用的方法可以适用于任何直接使用ID来进行识别的无源RFID系统。
Jonathan开始采用逆向工程向非接触式卡系统发送信号(这种技术并不具有阅读数据表单的能力)。最初,他确定这些采用宽频接收机的卡的工作频率为125KHz。通过对信号进行分析,他确定了调制信号来自标签。因此他明白了卡是如何发送1和0的,于是他就开发出了自己的阅读器来测试这些卡。
他也设计了一个能用同样频率和调制模式的模拟器(基本上是一个卡片模拟器),最吸引人们的是他把两种设备都集成到一个很小的卡片中。在卡片中使用两个比他模拟的卡大一点的按钮,他能够捕获和随后播放从邻近的FLEXPASS卡片中读到的号码。一个按钮使该设备变为一个阅读器,并从邻近的非接触式卡记录号码并把它保存起来。为了确保结果的正确性可以经过多次采样。另一个按钮把该设备变为一个标签模拟器,并广播它所捕获到的号码信息。
这种设备对安全带来了隐患。一个熟练的攻击者能够应用这些信息去复制并制造自己的克隆设备。
非接触式卡对使用者提供了使用上的便利,因为它能够使雇员轻松进入办公区域,同时具有低磨损特点,因而具有良好的的适应性和增长性。对于零售店、政府办公楼以及一些新的家庭来讲,它们是使“诚实的人保持诚实”的最好方法。但是,当应用在一些对安全要求较高的场合时,这种便利性很可能会成为系统最大的弱点。避免偷听、限制其应用特权、检查日志、对卡进行加密、尽责尽职是保持系统安全性的最好的办法。
