0:00:00.399,0:00:09.410
Vorspannmusik
0:00:09.410,0:00:13.219
Herald: RFID-Transponder...[br]sind etwas
0:00:13.219,0:00:18.699
sie werden sehr verbreitet eingesetzt.[br]Ich denke fast jeder von Euch
0:00:18.699,0:00:22.949
nutzt für das ein oder andere[br]solche Transponder
0:00:22.949,0:00:28.650
und besonders beliebt sind sie ja[br]auch gerne mal als Zugangssystem.
0:00:28.650,0:00:32.430
Wir hören jetzt einen[br]Vortrag über den Hitag S,
0:00:32.430,0:00:36.300
der eigentlich eingesetzt werden[br]soll für unkritische Systeme
0:00:36.300,0:00:40.930
wie Logistik oder[br]Wäscherei-Automatisierung.
0:00:40.930,0:00:45.970
Spannende Themen. Aber der ein oder[br]andere, wie das so gerne ist, denkt sich:
0:00:45.970,0:00:49.680
Ach was dafür super funktioniert, ey dafür[br]mach‘ ich auch mein Zugriffskontrollsystem
0:00:49.680,0:00:54.210
oder Zutrittskontrollsystem,[br]dass Leute in meine Räume können.
0:00:54.210,0:00:56.960
Das ist natürlich ein bisschen mutig.
0:00:56.960,0:01:01.310
Und was unsere Speaker[br](Sprecher) hier gemacht haben,
0:01:01.310,0:01:04.569
ist mal zu gucken, ob sie nicht auch[br]diese Systeme angreifen können;
0:01:04.569,0:01:07.830
von bereits geknackten[br]Systemen das mal übertragen
0:01:07.830,0:01:12.100
und das werden sie uns heute zeigen[br]und erklären, was sie gemacht haben.
0:01:12.100,0:01:15.269
Und dass es vielleicht[br]doch nicht so eine gute Idee ist,
0:01:15.269,0:01:20.910
den Hitag S[br]für das Zugriffssystem zu benutzen.
0:01:20.910,0:01:26.480
Also heißt sie willkommen[br]mit einem schönen Applaus,
0:01:26.480,0:01:31.950
unsere Speaker Ralf Spenneberg[br]und Oguzhan Cicek!
0:01:31.950,0:01:38.960
Applaus
0:01:38.960,0:01:42.510
Ralf: Ja hallo,[br]ich freu‘ mich hier sein zu dürfen.
0:01:42.510,0:01:43.900
Mein Name ist Ralf Spenneberg.
0:01:43.900,0:01:47.170
Das ist Oguzhan, der dritte der hier[br]auf der Folie steht, ist leider erkrankt
0:01:47.170,0:01:51.200
und konnte deswegen nicht mitkommen.[br]Aber mit dreien hier auf der Bühne
0:01:51.200,0:01:54.740
wär‘s vielleicht auch ein wenig lächerlich[br]gewesen bei nur 30 Minuten...
0:01:54.740,0:01:58.909
Aber wir hätten uns dann irgendwie[br]aufgeteilt; aber schauen wir mal.
0:01:58.909,0:02:02.050
Was machen wir?[br]Wir machen Widerstandsanalysen etc.,
0:02:02.050,0:02:04.400
das ist die einzige Folie[br]zur Werbung.
0:02:04.400,0:02:08.539
Ansonsten haben wir uns halt[br]mit RFID-Systemen beschäftigt.
0:02:08.539,0:02:11.510
Warum mit RFID-Systemen?[br]Was gibt‘s an RFID-Systemen?
0:02:11.510,0:02:15.530
Vielleicht kurz ein,[br]zwei Sachen zum Hintergrund.
0:02:15.530,0:02:17.739
Die von euch,[br]die eben diese Transponder kennen
0:02:17.739,0:02:21.319
die man so am Schlüsselbund teilweise hat,[br]oder die in der Mensa damit bezahlen
0:02:21.319,0:02:28.450
mit solchen Scheckkarten,[br]die also drahtlos bezahlen,
0:02:28.450,0:02:31.930
die verwenden üblicherweise immer[br]irgendeine Art von Transpondertechnologie.
0:02:31.930,0:02:37.150
Es gibt dort in Abhängigkeit von der[br]Frequenz die diese Transponder sprechen
0:02:37.150,0:02:40.060
drei Bereiche, die[br]üblicherweise eingesetzt werden.
0:02:40.060,0:02:43.489
Es gibt die Low-Frequency-Transponder,[br]die High-Frequency-Transponder und
0:02:43.489,0:02:45.489
und die Ultra-High-[br]Frequency-Transponder.
0:02:45.489,0:02:48.730
Wir beschäftigen uns hier nur mit[br]den Low-Frequency-Transpondern.
0:02:48.730,0:02:54.890
Die Low-Frequency-Transponder werden[br]eingesetzt in erster Linie eben,
0:02:54.890,0:02:58.690
wo ich einen sehr engen Kontakt[br]herstellen kann
0:02:58.690,0:03:01.829
oder auch herstellen möchte[br]oder herstellen muss.
0:03:01.829,0:03:04.840
Ihre Reichweite ist relativ gering.[br]Darüber hinaus
0:03:04.840,0:03:08.919
können sie leider Gottes auch häufig[br]nur sehr wenig Energie transferieren.
0:03:08.919,0:03:10.499
Wenn ich also einen[br]passiven Transponder einsetze,
0:03:10.499,0:03:16.339
kann er nur recht gering angeregt werden[br]und kann damit keine
0:03:16.339,0:03:19.089
großartigen mathematischen[br]Operationen durchführen,
0:03:19.089,0:03:22.099
was bei den High-Frequency-[br]Transpondern ein wenig anders ist.
0:03:22.099,0:03:24.729
Bei den Low-Frequency-Transpondern[br]kann man das letzte Problem
0:03:24.729,0:03:27.639
eigentlich nur dadurch beheben,[br]dass ich einen aktiven Transponder verwende,
0:03:27.639,0:03:31.729
der über eine eigene[br]Batterie verfügt.
0:03:31.729,0:03:34.230
Low- und High-Frequency- werden[br]eingesetzt in Schließanlagen,
0:03:34.230,0:03:38.009
da werde ich am Ende nochmal[br]wieder darauf zurückkommen.
0:03:38.009,0:03:41.229
Ultra-High-Frequency wird verwendet[br]vor allem in der Logistik,
0:03:41.229,0:03:44.159
wo ich noch größere Reichweiten brauche,[br]wenn ich also eine Palette
0:03:44.159,0:03:46.349
aus einer größeren Entfernung auslesen möchte.
0:03:46.349,0:03:48.509
Ansonsten werden Low- und[br]High-Frequency-Transponder
0:03:48.509,0:03:55.709
eben für alles Mögliche eingesetzt, in Büchereien,[br]in Wäschereien, allgemein Logistik, etc.
0:03:55.709,0:03:58.379
Der Hitag S ist ein 125kHz-Transponder.
0:03:58.379,0:04:03.519
Es gibt ihn in 3 verschiedenen Varianten.[br]Die Varianten mit 256 bit und 2048 bit
0:04:03.519,0:04:06.799
verfügen über einen eingebauten[br]Authentifizierungsmechanismus.
0:04:06.799,0:04:11.609
Dieser Authentifizierungsmechanismus[br]verwendet einen 48bit-Schlüssel,
0:04:11.609,0:04:15.169
d.h. grundsätzlich ist er[br]per Brute Force brechbar,
0:04:15.169,0:04:18.680
das ist im Grunde inzwischen trivial geworden.[br]Er hat darüber hinaus
0:04:18.680,0:04:22.370
noch ein 24bit-Passwort, was in dem[br]Transponder gespeichert wird,
0:04:22.370,0:04:26.120
mit dem der Transponder sich dann[br]selbst wieder authentifizieren kann,
0:04:26.120,0:04:29.590
dazu gleich mehr, und verwendet dabei[br]einen bisher nicht dokumentierten
0:04:29.590,0:04:34.620
Verschlüsselungs-Cypher.[br]Das heißt der Hitag S gilt offiziell
0:04:34.620,0:04:39.240
bis heute als ungebrochen[br]oder als sicher.
0:04:39.240,0:04:41.280
Es sind weitere Transponder[br]aus der Hitag-Familie
0:04:41.280,0:04:45.150
in der Vergangenheit gebrochen worden[br]und wir haben uns eben angeschaut,
0:04:45.150,0:04:48.720
ob man nicht diese Angriffe tatsächlich auf[br]den Hitag S übertragen kann, denn...
0:04:48.720,0:04:52.270
Warum machen wir das Ganze überhaupt?
0:04:52.270,0:04:54.929
Wir haben bei uns[br]in unserem eigenen Gebäude
0:04:54.929,0:04:58.920
eine RFID-basierte Schließanlage.[br]Die habe ich irgendwann mal
0:04:58.920,0:05:03.590
2007 eingeführt und ich hatte[br]immer ein ungutes Gefühl dabei.
0:05:03.590,0:05:05.969
Und wir haben uns mit dieser[br]Schließanlage beschäftigt,
0:05:05.969,0:05:09.789
wir haben diese Schließanlage[br]ziemlich böse gebrochen.
0:05:09.789,0:05:11.670
Wir haben Kontakt zum Hersteller aufgenommen,
0:05:11.670,0:05:17.199
der Hersteller hat es inzwischen gefixt,[br]und zum 01.01.2016 werden wir
0:05:17.199,0:05:20.680
das entsprechende Advisory veröffentlichen[br]in dem dann nachlesbar ist,
0:05:20.680,0:05:25.060
was alles kaputt war und dass man eben entsprechend[br]seine Firmware updaten muss.
0:05:25.060,0:05:28.189
Von daher kann ich da jetzt noch nichts[br]drüber sagen, weil ich mich dem Hersteller
0:05:28.189,0:05:31.810
gegenüber verpflichtet habe, tatsächlich[br]bis zum 01.01. zu warten.
0:05:31.810,0:05:34.419
Wir haben dann nach einer Alternative gesucht[br]und wir haben uns Demosysteme
0:05:34.419,0:05:39.129
verschiedener Hersteller zeigen lassen,[br]u.a. ein System was den Hitag S verwendete.
0:05:39.129,0:05:42.430
Ich hätte es besser wissen müssen, aber[br]der Hersteller hat eben unter anderem
0:05:42.430,0:05:46.389
die Tatsache, dass der Hitag S[br]als noch nicht gebrochen gilt
0:05:46.389,0:05:49.439
als eine besondere Eigenschaft beworben.[br]Und dann haben wir uns den Hitag S
0:05:49.439,0:05:52.360
ein wenig genauer angeschaut.[br]Ganz kurz zu Schließanlagen:
0:05:52.360,0:05:57.539
Schließanlagen gibt es in 2 Varianten: es[br]gibt Schließanlagen die online arbeiten.
0:05:57.539,0:06:00.949
D.h. ihr haltet euren[br]Transponder an ein Lesegerät,
0:06:00.949,0:06:03.719
das Lesegerät kommuniziert irgendwo[br]mit einem zentralen Server,
0:06:03.719,0:06:08.430
der zentrale Server sagt, ob dieser[br]Transponder die Berechtigung aufweist,
0:06:08.430,0:06:10.030
die Tür zu öffnen oder nicht[br]zu öffnen.
0:06:10.030,0:06:13.620
In solchen Fällen[br]wird üblicherweise
0:06:13.620,0:06:16.280
nur die Identifikation[br]des Transponders ausgelesen.
0:06:16.280,0:06:19.400
D.h. in dem Moment wo ich den[br]Transponder emulieren kann, oder
0:06:19.400,0:06:22.900
in dem Moment wo ich einen Transponder[br]kaufen kann, dessen Identifikationsnummer
0:06:22.900,0:06:26.090
– die wird üblicherweise vom Hersteller[br]reingeschrieben, ist üblicherweise
0:06:26.090,0:06:29.750
eindeutig vom Hersteller garantiert – in[br]dem Moment wo ich einen Transponder
0:06:29.750,0:06:33.110
bauen kann indem ich diese[br]Identifikationsnummer ändern kann,
0:06:33.110,0:06:37.899
habe ich einen Schlüsselklon und verfüge[br]über genau dieselben Schließberechtigungen.
0:06:37.899,0:06:40.219
Teilweise gibt es dort aber auch[br]inzwischen Schließanlagen,
0:06:40.219,0:06:44.560
gerade bei den High-Frequency-[br]Transpondern, wenn sie die verwenden
0:06:44.560,0:06:48.949
die dann auch zusätzlich noch die Authentifizierung[br]des Transponders mitbenutzen und dann
0:06:48.949,0:06:53.729
z.B. einen Mifare, Desfire[br]oder ähnliches einsetzen.
0:06:53.729,0:06:57.900
Offline-Schließanlagen – das sind die,[br]die wir bei uns z.B. haben und die
0:06:57.900,0:07:02.080
jetzt auch in diesem Fall eingesetzt[br]wurde, die wir uns angeschaut haben –
0:07:02.080,0:07:04.729
speichern die Schließberechtigung[br]auf dem Transponder selbst drauf.
0:07:04.729,0:07:10.389
D.h. wenn ich in der Lage bin,[br]den Transponder auszulesen,
0:07:10.389,0:07:12.919
möglicherweise selbst zu[br]beschreiben und die Informationen,
0:07:12.919,0:07:16.919
die Schließberechtigungen, nicht besonders[br]gesichert sind gegen Manipulation,
0:07:16.919,0:07:20.529
bin ich sogar in der Lage, die[br]Schließberechtigungen zu ändern.
0:07:20.529,0:07:23.319
Ist bei vielen Schließanlagen[br]tatsächlich der Fall.
0:07:23.319,0:07:26.780
Dort sind ganz grobe Schnitzer[br]gemacht worden teilweise
0:07:26.780,0:07:31.139
in der Art und Weise, wie die Daten drauf[br]gespeichert werden. Wie gesagt, am 01.01.
0:07:31.139,0:07:35.620
gibt‘s ein Advisory dazu. In einigen[br]Fällen wird aber zusätzlich auch noch
0:07:35.620,0:07:39.199
eine Authentifizierung durchgeführt und[br]das ist eben beim Hitag S auch der Fall.
0:07:39.199,0:07:43.939
In dem Moment, wo ich einen derartigen[br]Transponder aber auslesen kann
0:07:43.939,0:07:49.710
und emulieren kann, habe ich[br]eine Schlüsselkopie hergestellt.
0:07:49.710,0:07:54.090
Und jetzt ist das Problem bei den[br]Transpondern, dass das ja häufig einfach
0:07:54.090,0:07:58.370
im Vorbeigehen passieren kann. Ich[br]sitze in der Straßenbahn, habe meinen
0:07:58.370,0:08:02.840
Transponder in der Tasche, habe nicht[br]so ein RFID-Shield wie man‘s hier kaufen
0:08:02.840,0:08:07.639
kann auf dem C3 und jemand setzt sich[br]neben mich mit ‘nem Rucksack und liest aus
0:08:07.639,0:08:13.510
30cm Entfernung meinen Transponder aus.[br]Und hat dann eine Schlüsselkopie.
0:08:13.510,0:08:16.659
Und das sollte so ein[br]Transponder verhindern
0:08:16.659,0:08:20.529
und das haben wir uns halt ein wenig[br]angeschaut. Und jetzt übergebe ich
0:08:20.529,0:08:23.120
an Oguzhan der ein bisschen was zu[br]den technischen Details erzählen wird.
0:08:23.120,0:08:27.199
Oguzhan: Ja, danke Ralf. Das erste was wir[br]gemacht haben ist: wir haben uns mal
0:08:27.199,0:08:29.639
die Authentifizierung angeguckt. Wie wird[br]zwischen dem Lese-Schreibe-Gerät
0:08:29.639,0:08:33.650
und dem Transponder authentifiziert?[br]Das sieht so aus, dass als erstes
0:08:33.650,0:08:40.039
allen Transpondern in der Reichweite die[br]UID abgefragt wird.
0:08:40.039,0:08:45.480
Daraufhin antworten alle Transponder[br]mit ihrer eindeutigen 32 bit UID,
0:08:45.480,0:08:48.200
dann schickt das Lese-Schreibe-Gerät[br]einen sogenannten Select-Befehl
0:08:48.200,0:08:52.020
und wählt einen dieser Transponder aus,[br]mit dem es kommunizieren möchte.
0:08:52.020,0:08:56.640
Dieser ausgewählte Transponder schickt[br]dann seine Konfiguration Byte 0..2
0:08:56.640,0:08:59.910
dem Lese-Schreibe-Gerät; und aus diesen[br]Bytes kann man alles über den Transponder
0:08:59.910,0:09:04.080
entnehmen, was man benötigt. Also: welche[br]Speichergröße hat dieser Transponder,
0:09:04.080,0:09:07.490
möchte der sich überhaupt authentifizieren,[br]welche Seiten darf ich überhaupt lesen,
0:09:07.490,0:09:11.040
welche darf ich beschreiben. Dann kommt[br]noch hinzu: welche Modulation muss ich
0:09:11.040,0:09:14.160
verwenden, mit welchen Geschwindigkeiten.[br]Dies kann ich alles aus diesen
0:09:14.160,0:09:17.020
Konfigurations-Bytes herausnehmen.
0:09:17.020,0:09:20.460
Falls jetzt gelesen wurde „es[br]möchte sich authentifizieren“,
0:09:20.460,0:09:24.730
dann geht das Lese-Schreibe-Gerät hin[br]und bestimmt ‘ne 32bit-Zufallszahl.
0:09:24.730,0:09:29.550
Mit dieser Zufallszahl wird sogenannte[br]Secret-Data berechnet, 32bit lang.
0:09:29.550,0:09:33.450
Und diese Kombination dieser, auch[br]„Challenge“ genannt, dem Transponder
0:09:33.450,0:09:37.920
übermittelt. Wenn der Transponder nun[br]auch auf dieselbe Secret-Data schließt,
0:09:37.920,0:09:41.630
wird impliziert, dass das Lese-Schreibe-[br]Gerät diesen geheimen Key kennen muss.
0:09:41.630,0:09:45.730
Jetzt geht der Transponder hin und[br]verschlüsselt seine 3 Passwort-Bytes
0:09:45.730,0:09:49.920
und ein Byte der Konfiguration und[br]schickt‘s dem Lese-Schreibe-Gerät.
0:09:49.920,0:09:54.760
Wenn der diese entschlüsselt und[br]das richtige Passwort ausliest,
0:09:54.760,0:09:58.980
sind beide gegenseitig authentifiziert.[br]Danach kann die unverschlüsselte
0:09:58.980,0:10:03.990
Datenübertragung zwischen[br]diesen Komponenten stattfinden.
0:10:03.990,0:10:07.680
Die nächste Frage ist natürlich: womit[br]wurde da diese Secret-Data berechnet
0:10:07.680,0:10:11.080
und wie wird verschlüsselt[br]und entschlüsselt.
0:10:11.080,0:10:14.000
Wenn man sich das Memory-Layout vom[br]Hitag S mal genauer anschaut und es
0:10:14.000,0:10:18.530
mit dem bereits gebrochenen Transponder[br]vom Hitag 2 mal vergleicht,
0:10:18.530,0:10:21.690
dann erkennt man sehr große[br]Unterschiede, insbesondere da, wo die
0:10:21.690,0:10:25.970
Konfigurations-Bytes sich befinden und wo[br]der Key und das Passwort gespeichert sind.
0:10:25.970,0:10:30.520
Zudem wird im Datenblatt erwähnt,[br]dass ein Lese-Schreibe-Gerät, das sich
0:10:30.520,0:10:33.990
authentifizieren möchte, einen ganz be-[br]stimmten Co-Prozessor implementieren muss.
0:10:33.990,0:10:38.900
Und zwar den Philips HT RC130. Dieser wird[br]von allen Transpondern der Hitag-Familie
0:10:38.900,0:10:46.070
verwendet und wir haben uns diesen mal[br]genauer angeschaut, und zwar das Kommando-
0:10:46.070,0:10:50.500
Interface; welche Kommandos kann man da[br]überhaupt senden, auf diesen Co-Prozessor.
0:10:50.500,0:10:54.150
Und da erkennt man ziemlich schnell, es[br]gibt spezifische Kommandos, um das
0:10:54.150,0:10:58.520
Hitag 1, 2 und S Verschlüsselung[br]anzustoßen. Aber es gibt keine
0:10:58.520,0:11:03.120
Hitag-S-spezifischen Kommandos um[br]die Daten ins EPROM zu speichern.
0:11:03.120,0:11:06.540
Daraus kann man schließen, dass dort[br]ähnliche Parameter verwendet wurden
0:11:06.540,0:11:08.040
wie bei den anderen Transpondern.
0:11:08.040,0:11:11.610
Zudem kommt noch die Tatsache hinzu,[br]dass ein Co-Prozessor, der bei drei
0:11:11.610,0:11:15.730
verschiedenen Transpondern verwendet[br]wird, sehr unwahrscheinlich drei komplett
0:11:15.730,0:11:17.680
verschiedene Cypher implementiert.
0:11:17.680,0:11:22.240
Unter diesen Annahmen haben wir einfach[br]behauptet, die Annahme getroffen,
0:11:22.240,0:11:26.860
dass dieser Cypher vom Hitag S[br]ähnlich oder gleich des Hitag 2 ist.
0:11:26.860,0:11:31.820
Der Hitag-2-Cypher ist schon seit knapp 10[br]Jahren bekannt, den hat der Herr C. Wiener
0:11:31.820,0:11:35.830
reverse-engineered und publiziert.[br]Der sieht so aus.
0:11:35.830,0:11:40.950
Der besteht im Grunde aus 2 Dingen:[br]Einer nichtlinearen, zweistufigen
0:11:40.950,0:11:46.050
Überführungsfunktion f() und[br]einem 48bit-Schieberegister.
0:11:46.050,0:11:49.950
Eine Eigenschaft dieses Cyphers werden[br]wir für die folgenden Angriffe benötigen.
0:11:49.950,0:11:56.770
Und zwar: wenn man sich die[br]Initialisierung dieses Cyphers anschaut,
0:11:56.770,0:12:01.730
dann erkennt man, dass die OUT-Bits[br]erst verwendet werden können,
0:12:01.730,0:12:05.020
wenn dieser Cypher initialisiert wurde.[br]Also wir müssen in diesem 48bit-
0:12:05.020,0:12:08.670
Schieberegister einen sogenannten[br]Initial-Zustand erreichen.
0:12:08.670,0:12:15.340
Das wird so gemacht, dass dort die[br]32bit-UID des Transponders und die
0:12:15.340,0:12:19.870
hinteren 16bit des Keys genommen werden,[br]und damit wird der Cypher initialisiert.
0:12:19.870,0:12:22.340
Erstmal. Also das Schieberegister[br]wird damit initialisiert.
0:12:22.340,0:12:26.900
Dieses wird nun 32mal ge-shifted, und beim[br]Shiften wird die Neustelle ganz rechts
0:12:26.900,0:12:34.740
immer aufgefüllt. Und wenn ich 16bit des[br]Keys in ein 48bit Schieberegister stecke,
0:12:34.740,0:12:38.360
und dann 32mal shifte, dann fallen diese[br]ja nicht raus, in diesem Initialzustand.
0:12:38.360,0:12:40.810
Sondern die befinden sich[br]weiterhin in der ersten Position.
0:12:40.810,0:12:44.190
Was wir jetzt mit diesem Cypher gemacht[br]haben, ist: wir haben den Proxmark
0:12:44.190,0:12:47.440
genommen – das ist ein RFID-Tool, darauf[br]komme ich gleich noch zu sprechen –
0:12:47.440,0:12:53.080
und haben das Hitag-S-Cypher implementiert[br]mit diesem Cypher des Hitag 2.
0:12:53.080,0:12:57.310
Und damit haben wir erstmal einen Hitag-S-[br]Transponder in den Authentifizierungsmodus
0:12:57.310,0:13:02.210
versetzt mit einem uns bekannten Key.[br]Und damit war es tatsächlich möglich,
0:13:02.210,0:13:06.560
bei dem Hitag S sich zu authentifizieren.[br]Damit ist die Annahme erstmal bestätigt
0:13:06.560,0:13:10.480
worden, dass dort derselbe Cypher[br]verwendet wurde den Sie hier sehen können.
0:13:10.480,0:13:14.430
Der wird zwar nicht exakt für das gleiche[br]verwendet, der Cypher an sich, ist aber
0:13:14.430,0:13:18.710
derselbe. Bevor wir jetzt mit den[br]Angriffen starten, brauchen wir erstmal
0:13:18.710,0:13:21.610
ein bisschen Hardware und Software. Als[br]Hardware haben wir den sogenannten
0:13:21.610,0:13:25.100
Proxmark – wie gesagt – genommen.[br]Das ist ein General-Purpose-RFID-Tool.
0:13:25.100,0:13:28.440
Der kann eben sowohl im Low- als auch im[br]High-Frequency-Bereich alle möglichen
0:13:28.440,0:13:33.610
Daten empfangen und senden. Da haben[br]wir einige Software dazu geschrieben,
0:13:33.610,0:13:36.860
z.B. ein Lese- und Schreibe-Gerät, um[br]für den Transponder zu lesen und zu
0:13:36.860,0:13:40.300
beschreiben natürlich. Und einen Emulator,[br]um anschließend, wenn ich diesen Key
0:13:40.300,0:13:43.810
erstmal gebrochen habe, auch mal so[br]einen Transponder emulieren zu können.
0:13:43.810,0:13:46.780
Jetzt bevor wir überhaupt zu den[br]komplizierteren Angriffen kommen, erstmal
0:13:46.780,0:13:49.880
die einfachen. Und zwar ein Replay-Angriff[br]ist möglich. Vielleicht hat‘s der eine
0:13:49.880,0:13:57.020
oder andere schon gesehen: und zwar in[br]der Authentifizierung haben wir nur eine
0:13:57.020,0:14:01.900
einzige Zufallsvariable und die wird[br]vom Lese-Schreibe-Gerät bestimmt.
0:14:01.900,0:14:05.660
Wenn ein Angreifer also diese komplette[br]Kommunikation mitschneidet, z.B. mit
0:14:05.660,0:14:10.410
dem Proxmark, dann kann er diese[br]Challenge-Nachricht erneut dem Transponder
0:14:10.410,0:14:14.640
schicken. Und das einzige was dem[br]übrigbleibt, ist, zu implizieren, dass ich
0:14:14.640,0:14:19.710
den Key kennen muss. Weil ich kann ja[br]natürlich als Angreifer seine Antwort
0:14:19.710,0:14:21.920
darauf nicht entschlüsseln, um[br]seine Passwort-Bytes auszulesen.
0:14:21.920,0:14:25.690
Aber die interessieren mich ja nicht.[br]Weil ich kann hiernach, also nach
0:14:25.690,0:14:28.070
einem einfachen Replay-Angriff,[br]dieselben Befehle ausführen
0:14:28.070,0:14:30.060
wie ein echtes Lese-Schreibe-Gerät.
0:14:34.640,0:14:37.190
Dann hat der Ralf das schon kurz erwähnt:
0:14:37.190,0:14:48.070
Brute-Force-Angriffe. Ist nur 48bit-Key,[br]der Cypher ist nicht wirklich komplex.
0:14:48.070,0:14:52.770
Wenn man da paar Server nimmt, kann man[br]den Key bereits in einigen Wochen brechen.
0:14:52.770,0:14:54.770
Dann gibt‘s einen weiteren Angriff.
0:14:54.770,0:14:57.860
Und zwar das ist ein Angriff gegen den[br]Hitag 2, der wurde vor knapp 4 Jahren
0:14:57.860,0:15:02.290
veröffentlicht. In dem Paper „Gone[br]in 360 seconds“ auf der Usenix.
0:15:02.290,0:15:07.210
Der benötigt 150 Challenges, also 150[br]verschiedene Authentifizierungen.
0:15:07.210,0:15:10.870
Und wenn ich die aber erstmal habe,[br]brauche ich für diesen Angriff
0:15:10.870,0:15:13.660
nur 5 Minuten. Das ist ein rein[br]mathematischer Angriff, der eine andere
0:15:13.660,0:15:18.690
Schwachstelle des Cyphers ausnutzt auf die[br]wir jetzt nicht weiter eingehen werden.
0:15:18.690,0:15:22.460
Dann gibt‘s noch ‘nen[br]– das ist eher ein
0:15:22.460,0:15:24.750
Design-Fehler von ihrer Seite – und zwar
0:15:24.750,0:15:28.270
wenn man sich die Konfigurations-Bits[br]mal anschaut, dann gibt‘s 3 Bits, die
0:15:28.270,0:15:31.670
interessieren uns besonders. Das[br]OUT-Bit – wenn das gesetzt ist, möchte
0:15:31.670,0:15:36.250
der Transponder sich authentifizieren.[br]Wenn das LCON-Bit gesetzt ist, dann kann
0:15:36.250,0:15:38.170
ich die Konfiguration[br]nicht mehr bearbeiten,
0:15:38.170,0:15:42.320
und das „Locked Key and Password“ schützt[br]meinen Key und mein Passwort vor lesenden
0:15:42.320,0:15:45.940
und schreibenden Zugriffen. Das Problem[br]hier ist, ich kann die getrennt setzen.
0:15:45.940,0:15:48.690
Also die sind komplett unabhängig.[br]Ich kann also Transponder verkaufen, die
0:15:48.690,0:15:53.310
sich authentifizieren wollen, und die auch[br]die richtigen Speicherbereiche schützen,
0:15:53.310,0:15:55.850
aber wo ich einfach die Konfiguration[br]wieder neu schreiben kann.
0:15:55.850,0:16:02.470
Davor ist der Transponder leider nicht[br]geschützt. Ein weiterer Angriff,
0:16:02.470,0:16:05.660
der besonders effektiv ist, ist ein[br]sogenannter SAT-Solver.
0:16:05.660,0:16:10.470
Was ist ein SAT-Solver? Ja, SAT-Solver wie[br]der MiniSat oder der CryptoMiniSat 4 sind
0:16:10.470,0:16:15.320
mathematisch optimierte Algorithmen,[br]die versuchen, Formeln zu lösen.
0:16:15.320,0:16:18.600
Also die Erfüllbarkeit zu beweisen.[br]Die Formeln sind meistens in der
0:16:18.600,0:16:21.810
Konjugierten Normalform und bei diesen[br]Beispielen hier, die Sie hier sehen können
0:16:21.810,0:16:25.180
würden SAT-Solver jetzt versuchen,[br]eine Belegung für A, B und C zu finden,
0:16:25.180,0:16:28.260
so dass das Ganze den[br]Wahrheitswert TRUE ergibt.
0:16:28.260,0:16:31.490
SAT-Solver kommen ursprünglich eigentlich[br]aus der Elektrotechnik, wo ich eine
0:16:31.490,0:16:35.180
logische Schaltung verifizieren möchte.[br]Aber ich kann damit jedes Problem lösen,
0:16:35.180,0:16:37.590
wenn ich das Problem in eine[br]Formel umwandeln kann.
0:16:37.590,0:16:39.550
Und genau das möchten wir machen.
0:16:39.550,0:16:42.630
Wir wollen sagen: so sieht der Cypher[br]aus, diese Bits habe ich als Angreifer
0:16:42.630,0:16:46.530
mitgelesen, baue mir bitte[br]eine Formel und löse das.
0:16:46.530,0:16:52.170
Bevor wir diese Formel erstmal aufbauen,[br]brauchen wir erstmal die Keystream-Bits.
0:16:52.170,0:16:56.850
Wie kommen wir an die Keystream-Bits ran?[br]Ja, ganz einfach: dieses Secret Data, das
0:16:56.850,0:17:00.850
sind die ersten 32 bit, und zwar negiert.[br]Wenn ich die also zurück-negiere,
0:17:00.850,0:17:03.280
erhalte ich die ersten 32bit.
0:17:03.280,0:17:06.300
Dann – es kommen 2 Bit, einmal[br]verschlüsselt, einmal nicht verschlüsselt
0:17:06.300,0:17:11.069
geschickt. Wenn ich die also wieder XOR[br]rechne, habe ich die nächsten 8 Bits.
0:17:11.069,0:17:15.190
Das bedeutet ich kann pro Authentifizierung[br]genau 40 Keystream-Bits herausbekommen.
0:17:15.190,0:17:19.810
Das ist ein Problem. Weil ich suche ja[br]einen Initialzustand, einen 48bit-
0:17:19.810,0:17:23.750
Initialzustand, womit ich diese Bits[br]berechnen kann.
0:17:23.750,0:17:27.069
Und je weniger Bits ich habe, desto höher[br]ist die Wahrscheinlichkeit, dass dieser
0:17:27.069,0:17:29.970
Initialzustand falsch ist. Und bei 40 Bits[br]tritt das leider schon auf.
0:17:29.970,0:17:33.570
Beim Hitag 2 hat man dieses Problem nicht.[br]Weil beim Hitag 2 wird auch die
0:17:33.570,0:17:37.780
Datenübertragung verschlüsselt, also da[br]komme ich an viel mehr als 40 Bits ran.
0:17:37.780,0:17:43.720
Wie lösen wir das beim Hitag S? Wir nehmen[br]2 Cypher, also 2 verschiedene
0:17:43.720,0:17:48.840
Verschlüsselungen und lesen dort die[br]Keystream-Bits aus. Wie oben beschrieben.
0:17:48.840,0:17:52.390
Sozusagen finden wir einen Initialzustand[br]dafür und einen Initialzustand dafür.
0:17:52.390,0:17:56.090
Und dann verwenden wir die Eigenschaft von[br]der Folie vorher, wo wir gesagt haben,
0:17:56.090,0:18:01.440
der Initialzustand ist ja in den ersten[br]16 Bit... die ersten 16 Bit vom Key, und
0:18:01.440,0:18:03.740
der ändert sich ja nicht, wenn ich mich[br]zweimal authentifiziere.
0:18:03.740,0:18:07.320
Also füge ich die Nebenbedingung hinzu:[br]Diese 2 Initialzustände, die du suchen
0:18:07.320,0:18:11.030
sollst, sollen in den[br]ersten 16 Bit gleich sein.
0:18:11.030,0:18:14.880
Diese Formel erstelle ich mir dann, die[br]wird dann mit den SAT-Solvern innerhalb
0:18:14.880,0:18:20.210
von, ja unter 5 Tagen meistens, gelöst[br]und das Ergebnis ist ein Initialzustand.
0:18:20.210,0:18:26.280
Das bedeutet 16 Bit vom Key. Ja, wie komme[br]ich an die restlichen Daten ran?
0:18:26.280,0:18:30.360
Also, der Key ist ja 48bit lang und ich[br]habe ja erst 16.
0:18:30.360,0:18:33.370
Natürlich: brute-forcen, weil die[br]restlichen 32bit ist keine große Zahl,
0:18:33.370,0:18:35.610
das muss ich keinem jetzt, glaube ich,[br]erwähnen.
0:18:35.610,0:18:39.720
Und ich kann einen sogenannten Rollback[br]ausführen. Was ist ein Rollback?
0:18:39.720,0:18:44.680
Ja, der Initialzustand ist ja quasi[br]das Ergebnis der Initialisierung.
0:18:44.680,0:18:50.510
Und in die Initialisierung fließen 3[br]Parameter ein: Die Zufallszahl, die UID
0:18:50.510,0:18:54.760
und der Key. Ich kenne das Ergebnis, den[br]Initialzustand, die UID und die Zufallszahl
0:18:54.760,0:18:58.830
aus der Authentifizierung. Dann kann ich[br]die einzige Unbekannte natürlich mit einer
0:18:58.830,0:19:02.640
XOR-Operation wieder herausrechnen. Das[br]bedeutet ich rechne Schritt-für-Schritt
0:19:02.640,0:19:07.440
den vorigen Zustand hervor – also von dem[br]aktuellen Zustand zu dem vorigen und
0:19:07.440,0:19:12.270
bekomme immer einen weiteren Key. Das[br]geht so fort, das sind nur 32 Operationen.
0:19:12.270,0:19:16.150
Und wenn ich den Key erstmal habe, das[br]heißt noch nicht direkt, dass ich den
0:19:16.150,0:19:19.820
kompletten Transponder lesen kann.[br]Weil, wie gesagt, da gibt‘s ein LKP-Bit,
0:19:19.820,0:19:24.750
der schützt Key und Passwort. Den Key[br]kenne ich und das Passwort, das wurde ja
0:19:24.750,0:19:27.430
verschlüsselt in der Authentifizierung[br]übertragen. Das kann ich wieder
0:19:27.430,0:19:30.650
entschlüsseln. Weil ich jetzt ein[br]Angreifer bin, der den Cypher
0:19:30.650,0:19:35.190
und den Key kennt. Wenn ich natürlich[br]jetzt den kompletten Inhalt
0:19:35.190,0:19:38.120
des Transponders habe und ich weiß wie[br]der Cypher aussieht, wie das Protokoll
0:19:38.120,0:19:40.920
aussieht, kann ich so einen Transponder[br]auch natürlich emulieren.
0:19:40.920,0:19:45.680
Was kann man als Hardware nehmen?[br]Wie wir, den Proxmark oder RFIDler, oder
0:19:45.680,0:19:49.110
in dem Frequenzbereich kann man auch sich[br]selber was zusammenbauen, ist relativ
0:19:49.110,0:19:52.920
einfach. Der Angriff besteht aus drei[br]Teilen. Also einmal die Trace, also die
0:19:52.920,0:19:56.790
Authentifizierung zu sammeln und den[br]Key zu brechen. Das ist abhängig davon,
0:19:56.790,0:20:00.940
welchen Angriff man nimmt. Krypto-[br]analytischer Angriff oder SAT-Solver
0:20:00.940,0:20:05.440
um den Transponder komplett auszulesen[br]und die Emulation zu starten.
0:20:05.440,0:20:08.170
Das geht sofort.
0:20:08.170,0:20:14.030
Ralf: Gut. D.h. wenn ich jetzt eine[br]Schließanlage habe, die den Hitag-S-
0:20:14.030,0:20:17.030
Transponder einsetzt – und ich komme[br]gleich noch einmal dazu, wo es sowas
0:20:17.030,0:20:24.020
möglicherweise geben kann – dann besteht[br]tatsächlich die Gefahr, dass jemand
0:20:24.020,0:20:28.470
während ich z.B. den Schlüssel ins Schloss[br]reinstecke oder während ich meinen
0:20:28.470,0:20:32.880
Transponder davorhalte, mit einer[br]entsprechenden Antenne diese
0:20:32.880,0:20:37.800
Authentifizierungsvorgänge mitliest. Ich[br]brauche von einem Schlüssel, wie wir
0:20:37.800,0:20:42.100
gesehen haben, beim SAT-Solver 2[br]Challenges, also 2 Austausche des
0:20:42.100,0:20:46.290
Schlüssels mit dem Schloss bzw. wenn ich[br]einen krypto-analytischen Angriff fahren
0:20:46.290,0:20:51.590
möchte, 150, das ist sicherlich ein wenig[br]schwieriger so irgendwie zu machen.
0:20:51.590,0:20:54.920
Dafür müsste ich schon kurzzeitig Zugang[br]zu dem Schlüssel haben, ich müsste ihn in
0:20:54.920,0:20:58.600
meine eigene Gewalt bringen, dann dahin[br]gehen, um diese 150 Challenges auszulesen.
0:20:58.600,0:21:03.150
Und kann damit den Key brechen, der[br]von diesem Schlüssel verwendet wird und
0:21:03.150,0:21:07.490
anschließend eben auch sämtliche andere[br]Daten, die dieser Schlüssel besitzt,
0:21:07.490,0:21:13.370
auslesen bzw. ableiten. D.h. ich bin in der[br]Lage, tatsächlich einen Klon herzustellen.
0:21:13.370,0:21:16.990
Wenn darüber hinaus möglicherweise bei der[br]einen oder anderen Schließanlage die Daten
0:21:16.990,0:21:20.620
auf dem Schlüssel nicht richtig gesichert[br]sind, kann ich vielleicht sogar
0:21:20.620,0:21:24.150
die Schließberechtigungen erweitern. D.h.[br]ich kann aus den Schließberechtigungen
0:21:24.150,0:21:27.700
eines Praktikanten die Schließberechtigungen[br]des Geschäftsführers machen.
0:21:27.700,0:21:31.160
Auch das haben wir tatsächlich bei einer[br]gewissen Anlage gesehen. Das war aber
0:21:31.160,0:21:35.770
nicht eine Anlage die auf Hitag S[br]basierte. Wir haben uns dann umgeschaut
0:21:35.770,0:21:38.790
und haben geschaut, was gibt es sonst[br]noch an Low-Frequency-Transpondern.
0:21:38.790,0:21:40.870
Und alle anderen Low-Frequency-[br]Transponder, die wir gefunden haben,
0:21:40.870,0:21:46.650
waren entweder schon gebrochen oder[br]verwenden Verfahren, die wahrscheinlich
0:21:46.650,0:21:51.640
genauso einfach zu brechen sind wie[br]jetzt dieses Verfahren vom Hitag S. D.h.
0:21:51.640,0:21:56.460
die Low-Frequency-Transponder verfügen[br]grundsätzlich nicht über genügend Energie
0:21:56.460,0:22:00.230
– unserer Ansicht nach – um[br]sichere Verfahren wie ein AES-Verfahren
0:22:00.230,0:22:04.750
oder etwas ähnliches einzusetzen.[br]D.h. ich brauche tatsächlich, wenn ich
0:22:04.750,0:22:07.740
Schließanlagen sicher implementieren[br]möchte, Zutritts-Kontroll-Systeme
0:22:07.740,0:22:10.810
sicher implementieren[br]möchte, High-Frequency-Transponder.
0:22:10.810,0:22:13.010
High-Frequency-Transponder[br]heißt aber jetzt nicht grundsätzlich,
0:22:13.010,0:22:16.270
meine Schließanlage ist sicher, weil[br]auch dort gibt es z.B. auch Sachen wie
0:22:16.270,0:22:19.510
den Mifare Classic. Und dass der Mifare[br]Classic gebrochen ist, weiß glaube ich
0:22:19.510,0:22:22.840
inzwischen jeder. Wenn man sich die[br]Hersteller anschaut, die dann eben z.B.
0:22:22.840,0:22:27.030
auch den Desfire unterstützen, stellt man[br]fest, dass ich in deren Schließanlagen
0:22:27.030,0:22:30.130
aber ohne weiteres auch weiterhin ein[br]Mifare Classic verwenden kann.
0:22:30.130,0:22:34.370
D.h. die Schließanlagen sind rückwärts[br]kompatibel. Und wenn die Schließanlage
0:22:34.370,0:22:37.809
vielleicht auch schon 5, 6, 7, 8 Jahre[br]im Einsatz ist, besteht auch
0:22:37.809,0:22:40.100
eine große Gefahr, dass möglicherweise[br]noch so ein klassischer
0:22:40.100,0:22:43.370
Mifare-Classic-Transponder irgendwo im[br]Einsatz ist. Weil man den damals
0:22:43.370,0:22:46.940
gekauft hat und vielleicht nicht ersetzt[br]hat. D.h. die moderneren Verfahren
0:22:46.940,0:22:48.730
können sicher sein, müssen[br]aber nicht sicher sein.
0:22:48.730,0:22:53.250
Wir haben dann einfach mal geschaut,[br]welche Hersteller tatsächlich
0:22:53.250,0:22:56.820
Low-Frequency-Transponder einsetzen,[br]oder sogar den Hitag S einsetzen.
0:22:56.820,0:23:01.090
Und es gibt eine Vielzahl von Schließ-[br]Systemen. Das heißt jetzt nicht
0:23:01.090,0:23:04.040
automatisch, dass wenn Ihr Hersteller[br]auf dieser Liste ist, Ihr Schließsystem
0:23:04.040,0:23:09.790
kaputt ist. Weil einige Hersteller[br]haben eben auch Alternativen dazu.
0:23:09.790,0:23:16.150
D.h. z.B. bei Uhlmann & Zacher, dort[br]wird eben auch die Schließanlage mit
0:23:16.150,0:23:22.260
High-Frequency-Transpondern angeboten. Und[br]ich kann dort auch den Desfire einsetzen.
0:23:22.260,0:23:27.220
Wenn Sie aber eine Low-Frequency-Anlage[br]gekauft haben, können Sie dort nur
0:23:27.220,0:23:32.220
den Hitag – ich glaube der Hitag 1[br]ist es dort, oder war es der Hitag 2 –
0:23:32.220,0:23:37.820
und irgendwie einen EM4450,[br]der noch weniger Schutz bietet
0:23:37.820,0:23:45.420
und bei dem tatsächlich das Klonen dieser[br]Transponder dann trivialst einfach ist.
0:23:45.420,0:23:50.200
Sie müssen sich im Grunde nur ein Stück[br]Hardware bauen für vielleicht 20..30 Euro
0:23:50.200,0:23:53.330
und Sie haben eine Kopie des[br]Schlüssels, der sich genauso verhält
0:23:53.330,0:23:56.090
wie der Originalschlüssel. Und[br]wenn dann eben nachts um 3 Uhr
0:23:56.090,0:23:59.300
eingebrochen wird und Sie schauen in Ihrer[br]Schließanlage nach – das ist ja einer der
0:23:59.300,0:24:01.220
großen Vorteile dieser Schließanlagen,[br]sie protokollieren ja genau, wer die Tür
0:24:01.220,0:24:04.010
geöffnet hat – dann sehen Sie dass der[br]Geschäftsführer die Tür nachts um 3 Uhr
0:24:04.010,0:24:09.390
geöffnet hat. Und es ist keine Möglichkeit[br]nachzuvollziehen, wer es wirklich war.
0:24:09.390,0:24:13.559
Wenn man dann die Hersteller konfrontiert[br]– das vielleicht noch so zum Abschluss –
0:24:13.559,0:24:18.450
und sie fragt, wie sie denn so ein[br]Schließsystem verkaufen können,
0:24:18.450,0:24:23.620
dann wird einem entweder geantwortet,[br]„Ja das war vor 7 Jahren state-of-the-art“
0:24:23.620,0:24:27.880
oder „Wir sehen keinen Grund, den Kunden[br]zu informieren, dass das vielleicht heute
0:24:27.880,0:24:33.720
nicht mehr der Fall ist“ oder man kriegt[br]als Antwort „Wir haben nie behauptet,
0:24:33.720,0:24:37.489
dass das sicher ist!“ – „Wir machen[br]keine Sicherheitssysteme, wir machen
0:24:37.489,0:24:40.719
Zutrittskontroll- oder[br]Zutrittsorganisations-Systeme!“
0:24:40.719,0:24:44.530
Und dann geht man hin und sucht auf der[br]Web-Seite des Herstellers nach dem Wort
0:24:44.530,0:24:50.229
„Sicherheit“, und es taucht zumindest[br]in dem Bereich nicht einmal auf.
0:24:50.229,0:24:53.570
Und dann fragt man sich, ob der Hersteller[br]das nicht vielleicht schon lange weiß,
0:24:53.570,0:24:58.260
und einen die ganze Zeit für dumm[br]verkaufen will. Weil...
0:24:58.260,0:25:03.740
wo überall sind diese Systeme?[br]Krankenhäuser, Behörden etc.
0:25:03.740,0:25:08.760
Damit möchte ich schließen,...[br]Fragen?
0:25:08.760,0:25:18.240
Und danke für die Aufmerksamkeit![br]Applaus
0:25:18.240,0:25:21.520
Herald: Vielen Dank! Also ich hab‘ gelernt[br]ich werde jetzt auf jeden Fall genauer auf
0:25:21.520,0:25:25.990
Herstellerseiten lesen, wenn ich damit zu[br]tun habe. Was da so steht und was nicht.
0:25:25.990,0:25:30.530
Wir haben noch 5 Minuten für Fragen. Wenn[br]ihr Fragen stellen möchtet, geht bitte
0:25:30.530,0:25:38.760
zu einem der 6 Mikrofone, die hier in den[br]Gängen stehen. Und natürlich auch an alle
0:25:38.760,0:25:43.429
die uns in den Streams folgen: es gibt die[br]Möglichkeit im IRC Fragen zu stellen,
0:25:43.429,0:25:48.060
die dann nette Engel hier[br]uns vor Ort vorlesen.
0:25:48.060,0:25:51.960
An Mikrofon 3, sehe ich da ‘ne Frage?
0:25:51.960,0:25:57.059
Frage: Ja, eine Frage: Kann man[br]dann ohne Besitz des Transponders
0:25:57.059,0:26:01.740
Paare sammeln von Challenge und[br]vom Reader generierter Response,
0:26:01.740,0:26:04.770
wenn man einfach zum Leser hingeht?
0:26:04.770,0:26:11.270
Ralf: Nein. Der Punkt ist ja, ich brauche,[br]der Leser muss glauben, dass er mit
0:26:11.270,0:26:15.040
dem Transponder spricht und muss dem[br]Transponder eben Daten schicken.
0:26:15.040,0:26:21.040
Also was man machen kann, wenn du Zugang[br]hast zu dem Transponder, also die ID
0:26:21.040,0:26:24.040
des Transponders irgendwie anders aus[br]größerer Entfernung auslesen kannst,
0:26:24.040,0:26:27.850
kannst du natürlich einen Emulator bauen,[br]der erstmal behauptet, diese ID zu sein.
0:26:27.850,0:26:31.260
Damit kannst du dann zu dem Lesegerät[br]hingehen. Das Lesegerät wird dir dann die
0:26:31.260,0:26:37.220
Challenge schicken. Weil es ja diesen[br]Transponder aktivieren möchte.
0:26:37.220,0:26:42.860
D.h. so ja, aber ich muss einmal[br]eine gültige ID ausgelesen haben.
0:26:42.860,0:26:45.230
Wobei es kommt ein bisschen auf das[br]Schließsystem an. Wir haben auch
0:26:45.230,0:26:52.830
ein Schließsystem gesehen, wo die Hardware[br]IDs nicht wirklich intern sich merkt.
0:26:52.830,0:26:57.360
D.h. das arbeitet ein bisschen anders.[br]Also da kann man wahrscheinlich sogar
0:26:57.360,0:26:59.690
mit einer beliebigen ID dahin gehen[br]und man bekommt ein Challenge
0:26:59.690,0:27:03.200
von dem Lesegerät geschickt.[br]Frage: OK, danke.
0:27:03.200,0:27:08.700
Herald: Gut, die nächste Frage von[br]Mikrofon Nr. 5 da hinten!
0:27:08.700,0:27:12.460
Frage: Ich habe zuletzt c‘t gelesen,[br]da war so ein schöner Artikel
0:27:12.460,0:27:17.090
über Mercedese die über[br]Relay-Angriffe geöffnet werden.
0:27:17.090,0:27:21.260
Habt ihr sowas auch ausprobiert? Sprich,[br]einer fährt mit der Straßenbahn
0:27:21.260,0:27:24.809
und dem Schlüsselhalter mit[br]und der andere steht an der Tür.
0:27:24.809,0:27:30.060
Ralf: Wir haben‘s nicht direkt ausprobiert[br]aber trivial einfach mit dem Transponder.
0:27:30.060,0:27:33.519
Frage: Also keine Timing-Geschichten?[br]Ralf: Nein.
0:27:33.519,0:27:36.810
Herald: Gut. Mikrofon Nr. 4?
0:27:36.810,0:27:41.520
Frage: Ja, meine Frage ist: Werden[br]Sie die Proxmark-Sourcen releasen?
0:27:41.520,0:27:45.430
Ralf: Ich denke schon, ja. Also[br]zumindest Teile davon, ja.
0:27:45.430,0:27:49.780
Frage: Okay.[br]Ralf: Also... ja.
0:27:49.780,0:27:52.560
Ralf: Also... ja. Nee, NXP ist übrigens...[br]also NXP ist der Hersteller dahinter...
0:27:52.560,0:27:57.070
ursprünglich hat Philips das Ding gebaut,[br]NXP ist kontaktiert worden von uns vor...
0:27:57.070,0:28:00.520
das erste Mal vor 4 oder 5 Monaten, da[br]hatten wir keine Antwort. Dann nochmal
0:28:00.520,0:28:07.980
vor irgendwie 60 Tagen, oder 45..50 Tagen,[br]NXP ist informiert und hat eben auch
0:28:07.980,0:28:11.100
seine Kunden angeschrieben. Also wenn[br]hier ein Kunde drin sitzen sollte, der
0:28:11.100,0:28:16.100
diese Transponder einsetzt, in eigenen[br]Applikationen: Verlassen Sie sich nicht,
0:28:16.100,0:28:19.750
eben, mehr auf die Identität des[br]Transponders... also wenn die Identität
0:28:19.750,0:28:22.730
des Transponders wichtig ist für die[br]Sicherheit Ihrer Applikation...
0:28:22.730,0:28:30.930
sorry Ihrer Applikation, dann ist die[br]Applikation kaputt. Schließsysteme
0:28:30.930,0:28:36.160
– nebenbei – bestehen häufig aus 500..1000[br]oder mehreren Schlössern und so
0:28:36.160,0:28:45.340
10000 Transponder die ich da tauschen muss[br]in größeren Gebäuden. Schwer zu tauschen.
0:28:45.340,0:28:48.670
Herald: Dann schließe ich noch mal mit...[br]Haben wir noch ‘ne Frage? Ah, hier kommt
0:28:48.670,0:28:52.480
noch eine Frage aus dem Internet. Gut,[br]für eine haben wir noch Zeit. Bitte!
0:28:52.480,0:28:57.809
Signal Angel: Könnte man, wenn man diese[br]Kommunikation aufzeichnen will bei 125kHz
0:28:57.809,0:29:01.230
auch Soundkarten einsetzen dafür?
0:29:01.230,0:29:07.330
Ralf: Gute Frage. Keine Ahnung. Haben wir[br]nicht gemacht, wir haben Oszilloskope
0:29:07.330,0:29:14.060
eingesetzt um uns das anzuschauen, was da[br]übertragen wird. Aber wenn die Soundkarte
0:29:14.060,0:29:19.929
die 125kHz auflösen kann, dann wäre das[br]wahrscheinlich sogar machbar...
0:29:19.929,0:29:24.059
dort das zu machen. Man muss sich dann[br]eben ein wenig mit der Modulation
0:29:24.059,0:29:29.250
und ähnlichem beschäftigen. Das ist nicht[br]ganz trivial bei den Transpondern.
0:29:29.250,0:29:32.489
Herald: Gut, dann nochmal einen[br]herzlichen Applaus und vielen Dank
0:29:32.489,0:29:36.760
für diesen wundervollen Talk![br]Applaus
0:29:36.760,0:29:40.530
Abspannmusik
0:29:40.530,0:29:46.900
Untertitel erstellt von c3subtitles.de[br]im Jahr 2016. Unterstütze uns!