República Bolivariana De Venezuela Universidad Simón Bolívar Departamento de Computación y Tecnología de la Información CI-6352 Criptografía y Seguridad de Datos Análisis de la Tecnología NFC, Funcionamiento, Uso en Micro-pagos y Vulnerabilidades Presentadas -Integrantes: Giancarlo Nebiolo Navidad Carnet 06-39965 1. Introducción a NFC - ¿Que es NFC ?: NFC (Near Field Communication) es un estándar definido por el fórum NFC1, un consorcio global de hardware, software, compañías de tarjetas de crédito, banca, empresas de telecomunicaciones. Protocolo de comunicación inalámbrica que permite conectar dos dispositivos a una distancia muy corta (10 cm); derivado y compatible con protocolo de etiquetado RFID (radio-frequency identification; ISO/IEC 14443) y FeliCa. -Usos de NFC: ● ● ● Pago Móvil. Autenticación, control de acceso – mediante el almacenamiento de claves electrónicas Transferencia de datos entre diferentes unidades NFC como teléfonos inteligentes, cámaras digitales, laptops, etc. ● Acceso a información digital. ● Venta de entradas, cupones, etc. 2. Detalles Técnicos de la Tecnología: ● ● ● La frecuencia de operación necesidad de licencia. es 13.56MHz, sin Posee velocidades de transmisión de 106 Kbit/s, 212 Kbit/s y 424 Kbit/s. Dos modos de funcionamiento: -Activo: Genera su propio campo RF. -Pasivo: Recibe alimentación a través del campo RF de otro dispositivo. ● La comunicación realizada usando Modulación por desplazamiento de amplitud con diferentes profundidades de modulación (10% o del 100%) con codificación Manchester o Miller Modificada. -Tipos de comunicación en NFC: Emulación de Modo Tarjeta (Modo Pasivo): El dispositivo emula una tarjeta inteligente. Modo Lector/Escritor (Modo Activo): El dispositivo puede leer o escribir etiquetas RFID, NFC. Modo de Igual a Igual (Modo Activo/Pasivo): Permite al dispositivo comunicarse con otro dispositivo NFC. -Características de la Comunicación: ● ● ● ● Modo Activo: Datos Enviados usando codificación de Miller con 100% de modulación si taza de envío es de 106 kBaudios. Si taza de envío es mayor a 106 Kbaudios usa codificación Manchester 10% de modulación Modo Pasivo: Datos siempre transmitidos a una modulación de 10% con Codificación Manchester. Basada en envío (iniciador o maestro) y replica (objetivo o esclavo) de mensajes. Dispositivo en modo pasivo no puede ser Iniciador. ● ● ● En modo Igual a Igual un dispositivo al actuar de receptor cambia a modo pasivo. Un dispositivo es capaz de transmitir y recibir al mismo tiempo (permitiendo verificar colisión o error de señales). No es posible enviar datos a mas de un dispositivo al mismo tiempo. Modelo de Comunicación 3. Uso del Sistema en Micro-pagos: Modelo de Pago, las flechas en linea representan operaciones de aplicación y las rellenas de transacción Como Ocurre la Transacción 4. Vulnerabilidades del Sistema y Medidas de Seguridad: -Ataques Posibles: ● ● ● Sniffing o Eavesdropping: Consiste en escuchar los datos, la distancia en el peor de los casos 10 m Modo Activo; 1 m Modo Pasivo. Corrupción de datos: Ataque de denegación de servicio (DoS) impide la comunicación entre dispositivos. Inserción de Datos: Se insertan mensajes en la comunicación entre los dispositivos. Solo es posible si el dispositivo que responde se tarda mucho. ● ● ● ● Modificación de los datos: Modificar datos haciendo que estos sigan siendo válidos. Hombre en Medio: En teoría Imposible, ya que un dispositivo puede enviar datos y recibirlos al mismo tiempo; se detectaría al intruso. Ingeniera Social: Se aprovechan de la ingenuidad del usuario, proporcionando aplicaciones fraudulentas en la red de descarga. Vulnerabilidades en el Pago: Necesidad de diversos actores en la cadena de pago incrementa el factor de complejidad y riesgo en la cadena de seguridad. Modelo Reason, cada capa de seguridad tiene agujeros en diferentes posiciones, si llegan a coincidir hay un escenario para el fraude. ● Vulnerabilidades en los “Smartposters” NFC: Sistema interactivo que permite la interacción con el usuario. Usado para la publicidad, acceso a cupones, vídeos, direcciones URL, etc. Se puede falsificar colocando uno con código malicioso encima de uno bueno. O mediante modificaciones en aplicación que lee SmartPoster. -Medidas de Seguridad ante ataques en NFC: ● ● ● Sniffing o Eavesdropping: Imposible de evitar o detectar, se recomienda usar un canal seguro. Corrupción de Datos: Detectable ya que se escucha al mismo tiempo que se transmiten datos. Inserción de Datos: Se puede evitar mediante 3 mecanismos: 1)Escuchar al mismo tiempo que se manda datos. 2)Usar un Canal Seguro. 3)No tardar mucho en mandar respuestas. ● Modificación de Datos: Igual que la anterior con la 3° medida: Usar una taza de envío de 106 Kv, aunque es mas difícil la alteración es mas fácil el sniffing. -Seguridad en Pagos: Se usa elemento seguro, el cual es una pieza de hardware especial en donde se guarda la información de las aplicaciones de manera cifrada y segura, este reside en un chip de alto cifrado. -Seguridad en lectura de SmartPosters: Se emplea un estándar para firmar tags denominado NDEF -Signature Record Type Definition-, permitiendo así proteger los tags Signature Record Type Definition es el nombre de la especificación técnica para firmar digitalmente datos NDEF, proporcionando así información de garantía acerca del origen de los datos NFC en un tag de Smartposter o dispositivo NFC. 5. Conclusiones y Recomendaciones: ● ● ● ● ● Descargar e instalar aplicaciones NFC de reconocida reputación. Estar atentos ante posibles actualizaciones de firmware/aplicaciones que 3 mejoren la seguridad de las comunicaciones. Leer únicamente tags / Smartposters firmados por una entidad reconocida. Evitar acciones Smartposters. automáticas al leer tags / Evitar que el terminal actúe en modo pasivo para dificultar la lectura de datos. 6. Bibliografia: ● ● ● ● ● “Security in Near Field Communication” (Ernst Haselsteiner and Klemens Breitfuß) “Near Field Communication Security Research” (Collin Mulliner - http://mulliner.org/) “Practical Experiences with NFC Security on mobile Phones” (Gauthier Van Damme and Karel Wouters) Fórum NFC (http://www.nfc-forum.org) ”Security of Proximity Mobile Payments” (Smart Card Alliance http://www.smartcardalliance.org)