Análisis de la Tecnología NFC, Funcionamiento, Uso en

Anuncio
República Bolivariana De Venezuela
Universidad Simón Bolívar
Departamento de Computación y Tecnología de la Información
CI-6352 Criptografía y Seguridad de Datos
Análisis de la Tecnología NFC,
Funcionamiento, Uso en Micro-pagos y
Vulnerabilidades Presentadas
-Integrantes:
Giancarlo Nebiolo Navidad
Carnet 06-39965
1. Introducción a NFC
- ¿Que es NFC ?:
NFC (Near Field Communication) es un estándar
definido por el fórum NFC1, un consorcio global de
hardware, software, compañías de tarjetas de crédito,
banca, empresas de telecomunicaciones.
Protocolo de comunicación inalámbrica que permite
conectar dos dispositivos a una distancia muy corta (10
cm); derivado y compatible con protocolo de etiquetado
RFID (radio-frequency identification; ISO/IEC 14443) y
FeliCa.
-Usos de NFC:
●
●
●
Pago Móvil.
Autenticación, control de acceso – mediante el
almacenamiento de claves electrónicas
Transferencia de datos entre diferentes unidades
NFC como teléfonos inteligentes, cámaras
digitales, laptops, etc.
●
Acceso a información digital.
●
Venta de entradas, cupones, etc.
2. Detalles Técnicos de la Tecnología:
●
●
●
La frecuencia de operación
necesidad de licencia.
es
13.56MHz,
sin
Posee velocidades de transmisión de 106 Kbit/s, 212
Kbit/s y 424 Kbit/s.
Dos modos de funcionamiento:
-Activo: Genera su propio campo RF.
-Pasivo: Recibe alimentación a través del campo RF de
otro dispositivo.
●
La comunicación realizada usando Modulación por
desplazamiento de amplitud con diferentes profundidades
de modulación (10% o del 100%) con codificación
Manchester o Miller Modificada.
-Tipos de comunicación en NFC:
Emulación de Modo Tarjeta (Modo Pasivo): El
dispositivo emula una tarjeta inteligente.
Modo Lector/Escritor (Modo Activo): El dispositivo
puede leer o escribir etiquetas RFID, NFC.
Modo de Igual a Igual (Modo Activo/Pasivo): Permite
al dispositivo comunicarse con otro dispositivo NFC.
-Características de la Comunicación:
●
●
●
●
Modo Activo: Datos Enviados usando codificación de
Miller con 100% de modulación si taza de envío es
de 106 kBaudios. Si taza de envío es mayor a 106
Kbaudios usa codificación Manchester 10% de
modulación
Modo Pasivo: Datos siempre transmitidos a una
modulación de 10% con Codificación Manchester.
Basada en envío (iniciador o maestro) y replica
(objetivo o esclavo) de mensajes.
Dispositivo en modo pasivo no puede ser Iniciador.
●
●
●
En modo Igual a Igual un dispositivo al actuar de
receptor cambia a modo pasivo.
Un dispositivo es capaz de transmitir y recibir al mismo
tiempo (permitiendo verificar colisión o error de
señales).
No es posible enviar datos a mas de un dispositivo al
mismo tiempo.
Modelo de Comunicación
3. Uso del Sistema en Micro-pagos:
Modelo de
Pago, las
flechas en
linea
representan
operaciones
de aplicación
y las rellenas
de
transacción
Como Ocurre la Transacción
4. Vulnerabilidades del Sistema y Medidas de
Seguridad:
-Ataques Posibles:
●
●
●
Sniffing o Eavesdropping: Consiste en escuchar
los datos, la distancia en el peor de los casos 10 m
Modo Activo; 1 m Modo Pasivo.
Corrupción de datos: Ataque de denegación de
servicio (DoS) impide la comunicación entre
dispositivos.
Inserción de Datos: Se insertan mensajes en la
comunicación entre los dispositivos. Solo es
posible si el dispositivo que responde se tarda
mucho.
●
●
●
●
Modificación de los datos: Modificar datos haciendo
que estos sigan siendo válidos.
Hombre en Medio: En teoría Imposible, ya que un
dispositivo puede enviar datos y recibirlos al mismo
tiempo; se detectaría al intruso.
Ingeniera Social: Se aprovechan de la ingenuidad del
usuario, proporcionando aplicaciones fraudulentas en
la red de descarga.
Vulnerabilidades en el Pago: Necesidad de diversos
actores en la cadena de pago incrementa el factor de
complejidad y riesgo en la cadena de seguridad.
Modelo Reason, cada capa de
seguridad tiene agujeros en
diferentes posiciones, si llegan
a coincidir hay un escenario
para el fraude.
●
Vulnerabilidades en los “Smartposters” NFC: Sistema
interactivo que permite la interacción con el usuario.
Usado para la publicidad, acceso a cupones, vídeos,
direcciones URL, etc. Se puede falsificar colocando
uno con código malicioso encima de uno bueno. O
mediante modificaciones en aplicación que lee
SmartPoster.
-Medidas de Seguridad ante ataques en NFC:
●
●
●
Sniffing o Eavesdropping: Imposible de evitar o
detectar, se recomienda usar un canal seguro.
Corrupción de Datos: Detectable ya que se escucha
al mismo tiempo que se transmiten datos.
Inserción de Datos: Se puede evitar mediante 3
mecanismos:
1)Escuchar al mismo tiempo que se manda datos.
2)Usar un Canal Seguro.
3)No tardar mucho en mandar respuestas.
●
Modificación de Datos: Igual que la anterior con la 3°
medida: Usar una taza de envío de 106 Kv, aunque
es mas difícil la alteración es mas fácil el sniffing.
-Seguridad en Pagos:
Se usa elemento seguro, el cual es una pieza de
hardware especial en donde se guarda la información
de las aplicaciones de manera cifrada y segura, este
reside en un chip de alto cifrado.
-Seguridad en lectura de SmartPosters:
Se emplea un estándar para firmar tags
denominado NDEF -Signature Record Type
Definition-, permitiendo así proteger los tags
Signature Record Type Definition es el nombre de la
especificación técnica para firmar digitalmente datos
NDEF, proporcionando así información de garantía
acerca del origen de los datos NFC en un tag de
Smartposter o dispositivo NFC.
5. Conclusiones y Recomendaciones:
●
●
●
●
●
Descargar e instalar aplicaciones NFC de reconocida
reputación.
Estar atentos ante posibles actualizaciones de
firmware/aplicaciones que 3 mejoren la seguridad de
las comunicaciones.
Leer únicamente tags / Smartposters firmados por
una entidad reconocida.
Evitar acciones
Smartposters.
automáticas
al
leer
tags
/
Evitar que el terminal actúe en modo pasivo para
dificultar la lectura de datos.
6. Bibliografia:
●
●
●
●
●
“Security in Near Field Communication” (Ernst
Haselsteiner and Klemens Breitfuß)
“Near Field Communication Security Research”
(Collin Mulliner - http://mulliner.org/)
“Practical Experiences with NFC Security on mobile
Phones” (Gauthier Van Damme and Karel Wouters)
Fórum NFC (http://www.nfc-forum.org)
”Security of Proximity Mobile Payments” (Smart
Card Alliance http://www.smartcardalliance.org)
Descargar