1
00:00:00,399 --> 00:00:09,410
Vorspannmusik
2
00:00:09,410 --> 00:00:13,219
Herald: RFID-Transponder...
sind etwas
3
00:00:13,219 --> 00:00:18,699
sie werden sehr verbreitet eingesetzt.
Ich denke fast jeder von Euch
4
00:00:18,699 --> 00:00:22,949
nutzt für das ein oder andere
solche Transponder
5
00:00:22,949 --> 00:00:28,650
und besonders beliebt sind sie ja
auch gerne mal als Zugangssystem.
6
00:00:28,650 --> 00:00:32,430
Wir hören jetzt einen
Vortrag über den Hitag S,
7
00:00:32,430 --> 00:00:36,300
der eigentlich eingesetzt werden
soll für unkritische Systeme
8
00:00:36,300 --> 00:00:40,930
wie Logistik oder
Wäscherei-Automatisierung.
9
00:00:40,930 --> 00:00:45,970
Spannende Themen. Aber der ein oder
andere, wie das so gerne ist, denkt sich:
10
00:00:45,970 --> 00:00:49,680
Ach was dafür super funktioniert, ey dafür
mach‘ ich auch mein Zugriffskontrollsystem
11
00:00:49,680 --> 00:00:54,210
oder Zutrittskontrollsystem,
dass Leute in meine Räume können.
12
00:00:54,210 --> 00:00:56,960
Das ist natürlich ein bisschen mutig.
13
00:00:56,960 --> 00:01:01,310
Und was unsere Speaker
(Sprecher) hier gemacht haben,
14
00:01:01,310 --> 00:01:04,569
ist mal zu gucken, ob sie nicht auch
diese Systeme angreifen können;
15
00:01:04,569 --> 00:01:07,830
von bereits geknackten
Systemen das mal übertragen
16
00:01:07,830 --> 00:01:12,100
und das werden sie uns heute zeigen
und erklären, was sie gemacht haben.
17
00:01:12,100 --> 00:01:15,269
Und dass es vielleicht
doch nicht so eine gute Idee ist,
18
00:01:15,269 --> 00:01:20,910
den Hitag S
für das Zugriffssystem zu benutzen.
19
00:01:20,910 --> 00:01:26,480
Also heißt sie willkommen
mit einem schönen Applaus,
20
00:01:26,480 --> 00:01:31,950
unsere Speaker Ralf Spenneberg
und Oguzhan Cicek!
21
00:01:31,950 --> 00:01:38,960
Applaus
22
00:01:38,960 --> 00:01:42,510
Ralf: Ja hallo,
ich freu‘ mich hier sein zu dürfen.
23
00:01:42,510 --> 00:01:43,900
Mein Name ist Ralf Spenneberg.
24
00:01:43,900 --> 00:01:47,170
Das ist Oguzhan, der dritte der hier
auf der Folie steht, ist leider erkrankt
25
00:01:47,170 --> 00:01:51,200
und konnte deswegen nicht mitkommen.
Aber mit dreien hier auf der Bühne
26
00:01:51,200 --> 00:01:54,740
wär‘s vielleicht auch ein wenig lächerlich
gewesen bei nur 30 Minuten...
27
00:01:54,740 --> 00:01:58,909
Aber wir hätten uns dann irgendwie
aufgeteilt; aber schauen wir mal.
28
00:01:58,909 --> 00:02:02,050
Was machen wir?
Wir machen Widerstandsanalysen etc.,
29
00:02:02,050 --> 00:02:04,400
das ist die einzige Folie
zur Werbung.
30
00:02:04,400 --> 00:02:08,539
Ansonsten haben wir uns halt
mit RFID-Systemen beschäftigt.
31
00:02:08,539 --> 00:02:11,510
Warum mit RFID-Systemen?
Was gibt‘s an RFID-Systemen?
32
00:02:11,510 --> 00:02:15,530
Vielleicht kurz ein,
zwei Sachen zum Hintergrund.
33
00:02:15,530 --> 00:02:17,739
Die von euch,
die eben diese Transponder kennen
34
00:02:17,739 --> 00:02:21,319
die man so am Schlüsselbund teilweise hat,
oder die in der Mensa damit bezahlen
35
00:02:21,319 --> 00:02:28,450
mit solchen Scheckkarten,
die also drahtlos bezahlen,
36
00:02:28,450 --> 00:02:31,930
die verwenden üblicherweise immer
irgendeine Art von Transpondertechnologie.
37
00:02:31,930 --> 00:02:37,150
Es gibt dort in Abhängigkeit von der
Frequenz die diese Transponder sprechen
38
00:02:37,150 --> 00:02:40,060
drei Bereiche, die
üblicherweise eingesetzt werden.
39
00:02:40,060 --> 00:02:43,489
Es gibt die Low-Frequency-Transponder,
die High-Frequency-Transponder und
40
00:02:43,489 --> 00:02:45,489
und die Ultra-High-
Frequency-Transponder.
41
00:02:45,489 --> 00:02:48,730
Wir beschäftigen uns hier nur mit
den Low-Frequency-Transpondern.
42
00:02:48,730 --> 00:02:54,890
Die Low-Frequency-Transponder werden
eingesetzt in erster Linie eben,
43
00:02:54,890 --> 00:02:58,690
wo ich einen sehr engen Kontakt
herstellen kann
44
00:02:58,690 --> 00:03:01,829
oder auch herstellen möchte
oder herstellen muss.
45
00:03:01,829 --> 00:03:04,840
Ihre Reichweite ist relativ gering.
Darüber hinaus
46
00:03:04,840 --> 00:03:08,919
können sie leider Gottes auch häufig
nur sehr wenig Energie transferieren.
47
00:03:08,919 --> 00:03:10,499
Wenn ich also einen
passiven Transponder einsetze,
48
00:03:10,499 --> 00:03:16,339
kann er nur recht gering angeregt werden
und kann damit keine
49
00:03:16,339 --> 00:03:19,089
großartigen mathematischen
Operationen durchführen,
50
00:03:19,089 --> 00:03:22,099
was bei den High-Frequency-
Transpondern ein wenig anders ist.
51
00:03:22,099 --> 00:03:24,729
Bei den Low-Frequency-Transpondern
kann man das letzte Problem
52
00:03:24,729 --> 00:03:27,639
eigentlich nur dadurch beheben,
dass ich einen aktiven Transponder verwende,
53
00:03:27,639 --> 00:03:31,729
der über eine eigene
Batterie verfügt.
54
00:03:31,729 --> 00:03:34,230
Low- und High-Frequency- werden
eingesetzt in Schließanlagen,
55
00:03:34,230 --> 00:03:38,009
da werde ich am Ende nochmal
wieder darauf zurückkommen.
56
00:03:38,009 --> 00:03:41,229
Ultra-High-Frequency wird verwendet
vor allem in der Logistik,
57
00:03:41,229 --> 00:03:44,159
wo ich noch größere Reichweiten brauche,
wenn ich also eine Palette
58
00:03:44,159 --> 00:03:46,349
aus einer größeren Entfernung auslesen möchte.
59
00:03:46,349 --> 00:03:48,509
Ansonsten werden Low- und
High-Frequency-Transponder
60
00:03:48,509 --> 00:03:55,709
eben für alles Mögliche eingesetzt, in Büchereien,
in Wäschereien, allgemein Logistik, etc.
61
00:03:55,709 --> 00:03:58,379
Der Hitag S ist ein 125kHz-Transponder.
62
00:03:58,379 --> 00:04:03,519
Es gibt ihn in 3 verschiedenen Varianten.
Die Varianten mit 256 bit und 2048 bit
63
00:04:03,519 --> 00:04:06,799
verfügen über einen eingebauten
Authentifizierungsmechanismus.
64
00:04:06,799 --> 00:04:11,609
Dieser Authentifizierungsmechanismus
verwendet einen 48bit-Schlüssel,
65
00:04:11,609 --> 00:04:15,169
d.h. grundsätzlich ist er
per Brute Force brechbar,
66
00:04:15,169 --> 00:04:18,680
das ist im Grunde inzwischen trivial geworden.
Er hat darüber hinaus
67
00:04:18,680 --> 00:04:22,370
noch ein 24bit-Passwort, was in dem
Transponder gespeichert wird,
68
00:04:22,370 --> 00:04:26,120
mit dem der Transponder sich dann
selbst wieder authentifizieren kann,
69
00:04:26,120 --> 00:04:29,590
dazu gleich mehr, und verwendet dabei
einen bisher nicht dokumentierten
70
00:04:29,590 --> 00:04:34,620
Verschlüsselungs-Cypher.
Das heißt der Hitag S gilt offiziell
71
00:04:34,620 --> 00:04:39,240
bis heute als ungebrochen
oder als sicher.
72
00:04:39,240 --> 00:04:41,280
Es sind weitere Transponder
aus der Hitag-Familie
73
00:04:41,280 --> 00:04:45,150
in der Vergangenheit gebrochen worden
und wir haben uns eben angeschaut,
74
00:04:45,150 --> 00:04:48,720
ob man nicht diese Angriffe tatsächlich auf
den Hitag S übertragen kann, denn...
75
00:04:48,720 --> 00:04:52,270
Warum machen wir das Ganze überhaupt?
76
00:04:52,270 --> 00:04:54,929
Wir haben bei uns
in unserem eigenen Gebäude
77
00:04:54,929 --> 00:04:58,920
eine RFID-basierte Schließanlage.
Die habe ich irgendwann mal
78
00:04:58,920 --> 00:05:03,590
2007 eingeführt und ich hatte
immer ein ungutes Gefühl dabei.
79
00:05:03,590 --> 00:05:05,969
Und wir haben uns mit dieser
Schließanlage beschäftigt,
80
00:05:05,969 --> 00:05:09,789
wir haben diese Schließanlage
ziemlich böse gebrochen.
81
00:05:09,789 --> 00:05:11,670
Wir haben Kontakt zum Hersteller aufgenommen,
82
00:05:11,670 --> 00:05:17,199
der Hersteller hat es inzwischen gefixt,
und zum 01.01.2016 werden wir
83
00:05:17,199 --> 00:05:20,680
das entsprechende Advisory veröffentlichen
in dem dann nachlesbar ist,
84
00:05:20,680 --> 00:05:25,060
was alles kaputt war und dass man eben entsprechend
seine Firmware updaten muss.
85
00:05:25,060 --> 00:05:28,189
Von daher kann ich da jetzt noch nichts
drüber sagen, weil ich mich dem Hersteller
86
00:05:28,189 --> 00:05:31,810
gegenüber verpflichtet habe, tatsächlich
bis zum 01.01. zu warten.
87
00:05:31,810 --> 00:05:34,419
Wir haben dann nach einer Alternative gesucht
und wir haben uns Demosysteme
88
00:05:34,419 --> 00:05:39,129
verschiedener Hersteller zeigen lassen,
u.a. ein System was den Hitag S verwendete.
89
00:05:39,129 --> 00:05:42,430
Ich hätte es besser wissen müssen, aber
der Hersteller hat eben unter anderem
90
00:05:42,430 --> 00:05:46,389
die Tatsache, dass der Hitag S
als noch nicht gebrochen gilt
91
00:05:46,389 --> 00:05:49,439
als eine besondere Eigenschaft beworben.
Und dann haben wir uns den Hitag S
92
00:05:49,439 --> 00:05:52,360
ein wenig genauer angeschaut.
Ganz kurz zu Schließanlagen:
93
00:05:52,360 --> 00:05:57,539
Schließanlagen gibt es in 2 Varianten: es
gibt Schließanlagen die online arbeiten.
94
00:05:57,539 --> 00:06:00,949
D.h. ihr haltet euren
Transponder an ein Lesegerät,
95
00:06:00,949 --> 00:06:03,719
das Lesegerät kommuniziert irgendwo
mit einem zentralen Server,
96
00:06:03,719 --> 00:06:08,430
der zentrale Server sagt, ob dieser
Transponder die Berechtigung aufweist,
97
00:06:08,430 --> 00:06:10,030
die Tür zu öffnen oder nicht
zu öffnen.
98
00:06:10,030 --> 00:06:13,620
In solchen Fällen
wird üblicherweise
99
00:06:13,620 --> 00:06:16,280
nur die Identifikation
des Transponders ausgelesen.
100
00:06:16,280 --> 00:06:19,400
D.h. in dem Moment wo ich den
Transponder emulieren kann, oder
101
00:06:19,400 --> 00:06:22,900
in dem Moment wo ich einen Transponder
kaufen kann, dessen Identifikationsnummer
102
00:06:22,900 --> 00:06:26,090
– die wird üblicherweise vom Hersteller
reingeschrieben, ist üblicherweise
103
00:06:26,090 --> 00:06:29,750
eindeutig vom Hersteller garantiert – in
dem Moment wo ich einen Transponder
104
00:06:29,750 --> 00:06:33,110
bauen kann indem ich diese
Identifikationsnummer ändern kann,
105
00:06:33,110 --> 00:06:37,899
habe ich einen Schlüsselklon und verfüge
über genau dieselben Schließberechtigungen.
106
00:06:37,899 --> 00:06:40,219
Teilweise gibt es dort aber auch
inzwischen Schließanlagen,
107
00:06:40,219 --> 00:06:44,560
gerade bei den High-Frequency-
Transpondern, wenn sie die verwenden
108
00:06:44,560 --> 00:06:48,949
die dann auch zusätzlich noch die Authentifizierung
des Transponders mitbenutzen und dann
109
00:06:48,949 --> 00:06:53,729
z.B. einen Mifare, Desfire
oder ähnliches einsetzen.
110
00:06:53,729 --> 00:06:57,900
Offline-Schließanlagen – das sind die,
die wir bei uns z.B. haben und die
111
00:06:57,900 --> 00:07:02,080
jetzt auch in diesem Fall eingesetzt
wurde, die wir uns angeschaut haben –
112
00:07:02,080 --> 00:07:04,729
speichern die Schließberechtigung
auf dem Transponder selbst drauf.
113
00:07:04,729 --> 00:07:10,389
D.h. wenn ich in der Lage bin,
den Transponder auszulesen,
114
00:07:10,389 --> 00:07:12,919
möglicherweise selbst zu
beschreiben und die Informationen,
115
00:07:12,919 --> 00:07:16,919
die Schließberechtigungen, nicht besonders
gesichert sind gegen Manipulation,
116
00:07:16,919 --> 00:07:20,529
bin ich sogar in der Lage, die
Schließberechtigungen zu ändern.
117
00:07:20,529 --> 00:07:23,319
Ist bei vielen Schließanlagen
tatsächlich der Fall.
118
00:07:23,319 --> 00:07:26,780
Dort sind ganz grobe Schnitzer
gemacht worden teilweise
119
00:07:26,780 --> 00:07:31,139
in der Art und Weise, wie die Daten drauf
gespeichert werden. Wie gesagt, am 01.01.
120
00:07:31,139 --> 00:07:35,620
gibt‘s ein Advisory dazu. In einigen
Fällen wird aber zusätzlich auch noch
121
00:07:35,620 --> 00:07:39,199
eine Authentifizierung durchgeführt und
das ist eben beim Hitag S auch der Fall.
122
00:07:39,199 --> 00:07:43,939
In dem Moment, wo ich einen derartigen
Transponder aber auslesen kann
123
00:07:43,939 --> 00:07:49,710
und emulieren kann, habe ich
eine Schlüsselkopie hergestellt.
124
00:07:49,710 --> 00:07:54,090
Und jetzt ist das Problem bei den
Transpondern, dass das ja häufig einfach
125
00:07:54,090 --> 00:07:58,370
im Vorbeigehen passieren kann. Ich
sitze in der Straßenbahn, habe meinen
126
00:07:58,370 --> 00:08:02,840
Transponder in der Tasche, habe nicht
so ein RFID-Shield wie man‘s hier kaufen
127
00:08:02,840 --> 00:08:07,639
kann auf dem C3 und jemand setzt sich
neben mich mit ‘nem Rucksack und liest aus
128
00:08:07,639 --> 00:08:13,510
30cm Entfernung meinen Transponder aus.
Und hat dann eine Schlüsselkopie.
129
00:08:13,510 --> 00:08:16,659
Und das sollte so ein
Transponder verhindern
130
00:08:16,659 --> 00:08:20,529
und das haben wir uns halt ein wenig
angeschaut. Und jetzt übergebe ich
131
00:08:20,529 --> 00:08:23,120
an Oguzhan der ein bisschen was zu
den technischen Details erzählen wird.
132
00:08:23,120 --> 00:08:27,199
Oguzhan: Ja, danke Ralf. Das erste was wir
gemacht haben ist: wir haben uns mal
133
00:08:27,199 --> 00:08:29,639
die Authentifizierung angeguckt. Wie wird
zwischen dem Lese-Schreibe-Gerät
134
00:08:29,639 --> 00:08:33,650
und dem Transponder authentifiziert?
Das sieht so aus, dass als erstes
135
00:08:33,650 --> 00:08:40,039
allen Transpondern in der Reichweite die
UID abgefragt wird.
136
00:08:40,039 --> 00:08:45,480
Daraufhin antworten alle Transponder
mit ihrer eindeutigen 32 bit UID,
137
00:08:45,480 --> 00:08:48,200
dann schickt das Lese-Schreibe-Gerät
einen sogenannten Select-Befehl
138
00:08:48,200 --> 00:08:52,020
und wählt einen dieser Transponder aus,
mit dem es kommunizieren möchte.
139
00:08:52,020 --> 00:08:56,640
Dieser ausgewählte Transponder schickt
dann seine Konfiguration Byte 0..2
140
00:08:56,640 --> 00:08:59,910
dem Lese-Schreibe-Gerät; und aus diesen
Bytes kann man alles über den Transponder
141
00:08:59,910 --> 00:09:04,080
entnehmen, was man benötigt. Also: welche
Speichergröße hat dieser Transponder,
142
00:09:04,080 --> 00:09:07,490
möchte der sich überhaupt authentifizieren,
welche Seiten darf ich überhaupt lesen,
143
00:09:07,490 --> 00:09:11,040
welche darf ich beschreiben. Dann kommt
noch hinzu: welche Modulation muss ich
144
00:09:11,040 --> 00:09:14,160
verwenden, mit welchen Geschwindigkeiten.
Dies kann ich alles aus diesen
145
00:09:14,160 --> 00:09:17,020
Konfigurations-Bytes herausnehmen.
146
00:09:17,020 --> 00:09:20,460
Falls jetzt gelesen wurde „es
möchte sich authentifizieren“,
147
00:09:20,460 --> 00:09:24,730
dann geht das Lese-Schreibe-Gerät hin
und bestimmt ‘ne 32bit-Zufallszahl.
148
00:09:24,730 --> 00:09:29,550
Mit dieser Zufallszahl wird sogenannte
Secret-Data berechnet, 32bit lang.
149
00:09:29,550 --> 00:09:33,450
Und diese Kombination dieser, auch
„Challenge“ genannt, dem Transponder
150
00:09:33,450 --> 00:09:37,920
übermittelt. Wenn der Transponder nun
auch auf dieselbe Secret-Data schließt,
151
00:09:37,920 --> 00:09:41,630
wird impliziert, dass das Lese-Schreibe-
Gerät diesen geheimen Key kennen muss.
152
00:09:41,630 --> 00:09:45,730
Jetzt geht der Transponder hin und
verschlüsselt seine 3 Passwort-Bytes
153
00:09:45,730 --> 00:09:49,920
und ein Byte der Konfiguration und
schickt‘s dem Lese-Schreibe-Gerät.
154
00:09:49,920 --> 00:09:54,760
Wenn der diese entschlüsselt und
das richtige Passwort ausliest,
155
00:09:54,760 --> 00:09:58,980
sind beide gegenseitig authentifiziert.
Danach kann die unverschlüsselte
156
00:09:58,980 --> 00:10:03,990
Datenübertragung zwischen
diesen Komponenten stattfinden.
157
00:10:03,990 --> 00:10:07,680
Die nächste Frage ist natürlich: womit
wurde da diese Secret-Data berechnet
158
00:10:07,680 --> 00:10:11,080
und wie wird verschlüsselt
und entschlüsselt.
159
00:10:11,080 --> 00:10:14,000
Wenn man sich das Memory-Layout vom
Hitag S mal genauer anschaut und es
160
00:10:14,000 --> 00:10:18,530
mit dem bereits gebrochenen Transponder
vom Hitag 2 mal vergleicht,
161
00:10:18,530 --> 00:10:21,690
dann erkennt man sehr große
Unterschiede, insbesondere da, wo die
162
00:10:21,690 --> 00:10:25,970
Konfigurations-Bytes sich befinden und wo
der Key und das Passwort gespeichert sind.
163
00:10:25,970 --> 00:10:30,520
Zudem wird im Datenblatt erwähnt,
dass ein Lese-Schreibe-Gerät, das sich
164
00:10:30,520 --> 00:10:33,990
authentifizieren möchte, einen ganz be-
stimmten Co-Prozessor implementieren muss.
165
00:10:33,990 --> 00:10:38,900
Und zwar den Philips HT RC130. Dieser wird
von allen Transpondern der Hitag-Familie
166
00:10:38,900 --> 00:10:46,070
verwendet und wir haben uns diesen mal
genauer angeschaut, und zwar das Kommando-
167
00:10:46,070 --> 00:10:50,500
Interface; welche Kommandos kann man da
überhaupt senden, auf diesen Co-Prozessor.
168
00:10:50,500 --> 00:10:54,150
Und da erkennt man ziemlich schnell, es
gibt spezifische Kommandos, um das
169
00:10:54,150 --> 00:10:58,520
Hitag 1, 2 und S Verschlüsselung
anzustoßen. Aber es gibt keine
170
00:10:58,520 --> 00:11:03,120
Hitag-S-spezifischen Kommandos um
die Daten ins EPROM zu speichern.
171
00:11:03,120 --> 00:11:06,540
Daraus kann man schließen, dass dort
ähnliche Parameter verwendet wurden
172
00:11:06,540 --> 00:11:08,040
wie bei den anderen Transpondern.
173
00:11:08,040 --> 00:11:11,610
Zudem kommt noch die Tatsache hinzu,
dass ein Co-Prozessor, der bei drei
174
00:11:11,610 --> 00:11:15,730
verschiedenen Transpondern verwendet
wird, sehr unwahrscheinlich drei komplett
175
00:11:15,730 --> 00:11:17,680
verschiedene Cypher implementiert.
176
00:11:17,680 --> 00:11:22,240
Unter diesen Annahmen haben wir einfach
behauptet, die Annahme getroffen,
177
00:11:22,240 --> 00:11:26,860
dass dieser Cypher vom Hitag S
ähnlich oder gleich des Hitag 2 ist.
178
00:11:26,860 --> 00:11:31,820
Der Hitag-2-Cypher ist schon seit knapp 10
Jahren bekannt, den hat der Herr C. Wiener
179
00:11:31,820 --> 00:11:35,830
reverse-engineered und publiziert.
Der sieht so aus.
180
00:11:35,830 --> 00:11:40,950
Der besteht im Grunde aus 2 Dingen:
Einer nichtlinearen, zweistufigen
181
00:11:40,950 --> 00:11:46,050
Überführungsfunktion f() und
einem 48bit-Schieberegister.
182
00:11:46,050 --> 00:11:49,950
Eine Eigenschaft dieses Cyphers werden
wir für die folgenden Angriffe benötigen.
183
00:11:49,950 --> 00:11:56,770
Und zwar: wenn man sich die
Initialisierung dieses Cyphers anschaut,
184
00:11:56,770 --> 00:12:01,730
dann erkennt man, dass die OUT-Bits
erst verwendet werden können,
185
00:12:01,730 --> 00:12:05,020
wenn dieser Cypher initialisiert wurde.
Also wir müssen in diesem 48bit-
186
00:12:05,020 --> 00:12:08,670
Schieberegister einen sogenannten
Initial-Zustand erreichen.
187
00:12:08,670 --> 00:12:15,340
Das wird so gemacht, dass dort die
32bit-UID des Transponders und die
188
00:12:15,340 --> 00:12:19,870
hinteren 16bit des Keys genommen werden,
und damit wird der Cypher initialisiert.
189
00:12:19,870 --> 00:12:22,340
Erstmal. Also das Schieberegister
wird damit initialisiert.
190
00:12:22,340 --> 00:12:26,900
Dieses wird nun 32mal ge-shifted, und beim
Shiften wird die Neustelle ganz rechts
191
00:12:26,900 --> 00:12:34,740
immer aufgefüllt. Und wenn ich 16bit des
Keys in ein 48bit Schieberegister stecke,
192
00:12:34,740 --> 00:12:38,360
und dann 32mal shifte, dann fallen diese
ja nicht raus, in diesem Initialzustand.
193
00:12:38,360 --> 00:12:40,810
Sondern die befinden sich
weiterhin in der ersten Position.
194
00:12:40,810 --> 00:12:44,190
Was wir jetzt mit diesem Cypher gemacht
haben, ist: wir haben den Proxmark
195
00:12:44,190 --> 00:12:47,440
genommen – das ist ein RFID-Tool, darauf
komme ich gleich noch zu sprechen –
196
00:12:47,440 --> 00:12:53,080
und haben das Hitag-S-Cypher implementiert
mit diesem Cypher des Hitag 2.
197
00:12:53,080 --> 00:12:57,310
Und damit haben wir erstmal einen Hitag-S-
Transponder in den Authentifizierungsmodus
198
00:12:57,310 --> 00:13:02,210
versetzt mit einem uns bekannten Key.
Und damit war es tatsächlich möglich,
199
00:13:02,210 --> 00:13:06,560
bei dem Hitag S sich zu authentifizieren.
Damit ist die Annahme erstmal bestätigt
200
00:13:06,560 --> 00:13:10,480
worden, dass dort derselbe Cypher
verwendet wurde den Sie hier sehen können.
201
00:13:10,480 --> 00:13:14,430
Der wird zwar nicht exakt für das gleiche
verwendet, der Cypher an sich, ist aber
202
00:13:14,430 --> 00:13:18,710
derselbe. Bevor wir jetzt mit den
Angriffen starten, brauchen wir erstmal
203
00:13:18,710 --> 00:13:21,610
ein bisschen Hardware und Software. Als
Hardware haben wir den sogenannten
204
00:13:21,610 --> 00:13:25,100
Proxmark – wie gesagt – genommen.
Das ist ein General-Purpose-RFID-Tool.
205
00:13:25,100 --> 00:13:28,440
Der kann eben sowohl im Low- als auch im
High-Frequency-Bereich alle möglichen
206
00:13:28,440 --> 00:13:33,610
Daten empfangen und senden. Da haben
wir einige Software dazu geschrieben,
207
00:13:33,610 --> 00:13:36,860
z.B. ein Lese- und Schreibe-Gerät, um
für den Transponder zu lesen und zu
208
00:13:36,860 --> 00:13:40,300
beschreiben natürlich. Und einen Emulator,
um anschließend, wenn ich diesen Key
209
00:13:40,300 --> 00:13:43,810
erstmal gebrochen habe, auch mal so
einen Transponder emulieren zu können.
210
00:13:43,810 --> 00:13:46,780
Jetzt bevor wir überhaupt zu den
komplizierteren Angriffen kommen, erstmal
211
00:13:46,780 --> 00:13:49,880
die einfachen. Und zwar ein Replay-Angriff
ist möglich. Vielleicht hat‘s der eine
212
00:13:49,880 --> 00:13:57,020
oder andere schon gesehen: und zwar in
der Authentifizierung haben wir nur eine
213
00:13:57,020 --> 00:14:01,900
einzige Zufallsvariable und die wird
vom Lese-Schreibe-Gerät bestimmt.
214
00:14:01,900 --> 00:14:05,660
Wenn ein Angreifer also diese komplette
Kommunikation mitschneidet, z.B. mit
215
00:14:05,660 --> 00:14:10,410
dem Proxmark, dann kann er diese
Challenge-Nachricht erneut dem Transponder
216
00:14:10,410 --> 00:14:14,640
schicken. Und das einzige was dem
übrigbleibt, ist, zu implizieren, dass ich
217
00:14:14,640 --> 00:14:19,710
den Key kennen muss. Weil ich kann ja
natürlich als Angreifer seine Antwort
218
00:14:19,710 --> 00:14:21,920
darauf nicht entschlüsseln, um
seine Passwort-Bytes auszulesen.
219
00:14:21,920 --> 00:14:25,690
Aber die interessieren mich ja nicht.
Weil ich kann hiernach, also nach
220
00:14:25,690 --> 00:14:28,070
einem einfachen Replay-Angriff,
dieselben Befehle ausführen
221
00:14:28,070 --> 00:14:30,060
wie ein echtes Lese-Schreibe-Gerät.
222
00:14:34,640 --> 00:14:37,190
Dann hat der Ralf das schon kurz erwähnt:
223
00:14:37,190 --> 00:14:48,070
Brute-Force-Angriffe. Ist nur 48bit-Key,
der Cypher ist nicht wirklich komplex.
224
00:14:48,070 --> 00:14:52,770
Wenn man da paar Server nimmt, kann man
den Key bereits in einigen Wochen brechen.
225
00:14:52,770 --> 00:14:54,770
Dann gibt‘s einen weiteren Angriff.
226
00:14:54,770 --> 00:14:57,860
Und zwar das ist ein Angriff gegen den
Hitag 2, der wurde vor knapp 4 Jahren
227
00:14:57,860 --> 00:15:02,290
veröffentlicht. In dem Paper „Gone
in 360 seconds“ auf der Usenix.
228
00:15:02,290 --> 00:15:07,210
Der benötigt 150 Challenges, also 150
verschiedene Authentifizierungen.
229
00:15:07,210 --> 00:15:10,870
Und wenn ich die aber erstmal habe,
brauche ich für diesen Angriff
230
00:15:10,870 --> 00:15:13,660
nur 5 Minuten. Das ist ein rein
mathematischer Angriff, der eine andere
231
00:15:13,660 --> 00:15:18,690
Schwachstelle des Cyphers ausnutzt auf die
wir jetzt nicht weiter eingehen werden.
232
00:15:18,690 --> 00:15:22,460
Dann gibt‘s noch ‘nen
– das ist eher ein
233
00:15:22,460 --> 00:15:24,750
Design-Fehler von ihrer Seite – und zwar
234
00:15:24,750 --> 00:15:28,270
wenn man sich die Konfigurations-Bits
mal anschaut, dann gibt‘s 3 Bits, die
235
00:15:28,270 --> 00:15:31,670
interessieren uns besonders. Das
OUT-Bit – wenn das gesetzt ist, möchte
236
00:15:31,670 --> 00:15:36,250
der Transponder sich authentifizieren.
Wenn das LCON-Bit gesetzt ist, dann kann
237
00:15:36,250 --> 00:15:38,170
ich die Konfiguration
nicht mehr bearbeiten,
238
00:15:38,170 --> 00:15:42,320
und das „Locked Key and Password“ schützt
meinen Key und mein Passwort vor lesenden
239
00:15:42,320 --> 00:15:45,940
und schreibenden Zugriffen. Das Problem
hier ist, ich kann die getrennt setzen.
240
00:15:45,940 --> 00:15:48,690
Also die sind komplett unabhängig.
Ich kann also Transponder verkaufen, die
241
00:15:48,690 --> 00:15:53,310
sich authentifizieren wollen, und die auch
die richtigen Speicherbereiche schützen,
242
00:15:53,310 --> 00:15:55,850
aber wo ich einfach die Konfiguration
wieder neu schreiben kann.
243
00:15:55,850 --> 00:16:02,470
Davor ist der Transponder leider nicht
geschützt. Ein weiterer Angriff,
244
00:16:02,470 --> 00:16:05,660
der besonders effektiv ist, ist ein
sogenannter SAT-Solver.
245
00:16:05,660 --> 00:16:10,470
Was ist ein SAT-Solver? Ja, SAT-Solver wie
der MiniSat oder der CryptoMiniSat 4 sind
246
00:16:10,470 --> 00:16:15,320
mathematisch optimierte Algorithmen,
die versuchen, Formeln zu lösen.
247
00:16:15,320 --> 00:16:18,600
Also die Erfüllbarkeit zu beweisen.
Die Formeln sind meistens in der
248
00:16:18,600 --> 00:16:21,810
Konjugierten Normalform und bei diesen
Beispielen hier, die Sie hier sehen können
249
00:16:21,810 --> 00:16:25,180
würden SAT-Solver jetzt versuchen,
eine Belegung für A, B und C zu finden,
250
00:16:25,180 --> 00:16:28,260
so dass das Ganze den
Wahrheitswert TRUE ergibt.
251
00:16:28,260 --> 00:16:31,490
SAT-Solver kommen ursprünglich eigentlich
aus der Elektrotechnik, wo ich eine
252
00:16:31,490 --> 00:16:35,180
logische Schaltung verifizieren möchte.
Aber ich kann damit jedes Problem lösen,
253
00:16:35,180 --> 00:16:37,590
wenn ich das Problem in eine
Formel umwandeln kann.
254
00:16:37,590 --> 00:16:39,550
Und genau das möchten wir machen.
255
00:16:39,550 --> 00:16:42,630
Wir wollen sagen: so sieht der Cypher
aus, diese Bits habe ich als Angreifer
256
00:16:42,630 --> 00:16:46,530
mitgelesen, baue mir bitte
eine Formel und löse das.
257
00:16:46,530 --> 00:16:52,170
Bevor wir diese Formel erstmal aufbauen,
brauchen wir erstmal die Keystream-Bits.
258
00:16:52,170 --> 00:16:56,850
Wie kommen wir an die Keystream-Bits ran?
Ja, ganz einfach: dieses Secret Data, das
259
00:16:56,850 --> 00:17:00,850
sind die ersten 32 bit, und zwar negiert.
Wenn ich die also zurück-negiere,
260
00:17:00,850 --> 00:17:03,280
erhalte ich die ersten 32bit.
261
00:17:03,280 --> 00:17:06,300
Dann – es kommen 2 Bit, einmal
verschlüsselt, einmal nicht verschlüsselt
262
00:17:06,300 --> 00:17:11,069
geschickt. Wenn ich die also wieder XOR
rechne, habe ich die nächsten 8 Bits.
263
00:17:11,069 --> 00:17:15,190
Das bedeutet ich kann pro Authentifizierung
genau 40 Keystream-Bits herausbekommen.
264
00:17:15,190 --> 00:17:19,810
Das ist ein Problem. Weil ich suche ja
einen Initialzustand, einen 48bit-
265
00:17:19,810 --> 00:17:23,750
Initialzustand, womit ich diese Bits
berechnen kann.
266
00:17:23,750 --> 00:17:27,069
Und je weniger Bits ich habe, desto höher
ist die Wahrscheinlichkeit, dass dieser
267
00:17:27,069 --> 00:17:29,970
Initialzustand falsch ist. Und bei 40 Bits
tritt das leider schon auf.
268
00:17:29,970 --> 00:17:33,570
Beim Hitag 2 hat man dieses Problem nicht.
Weil beim Hitag 2 wird auch die
269
00:17:33,570 --> 00:17:37,780
Datenübertragung verschlüsselt, also da
komme ich an viel mehr als 40 Bits ran.
270
00:17:37,780 --> 00:17:43,720
Wie lösen wir das beim Hitag S? Wir nehmen
2 Cypher, also 2 verschiedene
271
00:17:43,720 --> 00:17:48,840
Verschlüsselungen und lesen dort die
Keystream-Bits aus. Wie oben beschrieben.
272
00:17:48,840 --> 00:17:52,390
Sozusagen finden wir einen Initialzustand
dafür und einen Initialzustand dafür.
273
00:17:52,390 --> 00:17:56,090
Und dann verwenden wir die Eigenschaft von
der Folie vorher, wo wir gesagt haben,
274
00:17:56,090 --> 00:18:01,440
der Initialzustand ist ja in den ersten
16 Bit... die ersten 16 Bit vom Key, und
275
00:18:01,440 --> 00:18:03,740
der ändert sich ja nicht, wenn ich mich
zweimal authentifiziere.
276
00:18:03,740 --> 00:18:07,320
Also füge ich die Nebenbedingung hinzu:
Diese 2 Initialzustände, die du suchen
277
00:18:07,320 --> 00:18:11,030
sollst, sollen in den
ersten 16 Bit gleich sein.
278
00:18:11,030 --> 00:18:14,880
Diese Formel erstelle ich mir dann, die
wird dann mit den SAT-Solvern innerhalb
279
00:18:14,880 --> 00:18:20,210
von, ja unter 5 Tagen meistens, gelöst
und das Ergebnis ist ein Initialzustand.
280
00:18:20,210 --> 00:18:26,280
Das bedeutet 16 Bit vom Key. Ja, wie komme
ich an die restlichen Daten ran?
281
00:18:26,280 --> 00:18:30,360
Also, der Key ist ja 48bit lang und ich
habe ja erst 16.
282
00:18:30,360 --> 00:18:33,370
Natürlich: brute-forcen, weil die
restlichen 32bit ist keine große Zahl,
283
00:18:33,370 --> 00:18:35,610
das muss ich keinem jetzt, glaube ich,
erwähnen.
284
00:18:35,610 --> 00:18:39,720
Und ich kann einen sogenannten Rollback
ausführen. Was ist ein Rollback?
285
00:18:39,720 --> 00:18:44,680
Ja, der Initialzustand ist ja quasi
das Ergebnis der Initialisierung.
286
00:18:44,680 --> 00:18:50,510
Und in die Initialisierung fließen 3
Parameter ein: Die Zufallszahl, die UID
287
00:18:50,510 --> 00:18:54,760
und der Key. Ich kenne das Ergebnis, den
Initialzustand, die UID und die Zufallszahl
288
00:18:54,760 --> 00:18:58,830
aus der Authentifizierung. Dann kann ich
die einzige Unbekannte natürlich mit einer
289
00:18:58,830 --> 00:19:02,640
XOR-Operation wieder herausrechnen. Das
bedeutet ich rechne Schritt-für-Schritt
290
00:19:02,640 --> 00:19:07,440
den vorigen Zustand hervor – also von dem
aktuellen Zustand zu dem vorigen und
291
00:19:07,440 --> 00:19:12,270
bekomme immer einen weiteren Key. Das
geht so fort, das sind nur 32 Operationen.
292
00:19:12,270 --> 00:19:16,150
Und wenn ich den Key erstmal habe, das
heißt noch nicht direkt, dass ich den
293
00:19:16,150 --> 00:19:19,820
kompletten Transponder lesen kann.
Weil, wie gesagt, da gibt‘s ein LKP-Bit,
294
00:19:19,820 --> 00:19:24,750
der schützt Key und Passwort. Den Key
kenne ich und das Passwort, das wurde ja
295
00:19:24,750 --> 00:19:27,430
verschlüsselt in der Authentifizierung
übertragen. Das kann ich wieder
296
00:19:27,430 --> 00:19:30,650
entschlüsseln. Weil ich jetzt ein
Angreifer bin, der den Cypher
297
00:19:30,650 --> 00:19:35,190
und den Key kennt. Wenn ich natürlich
jetzt den kompletten Inhalt
298
00:19:35,190 --> 00:19:38,120
des Transponders habe und ich weiß wie
der Cypher aussieht, wie das Protokoll
299
00:19:38,120 --> 00:19:40,920
aussieht, kann ich so einen Transponder
auch natürlich emulieren.
300
00:19:40,920 --> 00:19:45,680
Was kann man als Hardware nehmen?
Wie wir, den Proxmark oder RFIDler, oder
301
00:19:45,680 --> 00:19:49,110
in dem Frequenzbereich kann man auch sich
selber was zusammenbauen, ist relativ
302
00:19:49,110 --> 00:19:52,920
einfach. Der Angriff besteht aus drei
Teilen. Also einmal die Trace, also die
303
00:19:52,920 --> 00:19:56,790
Authentifizierung zu sammeln und den
Key zu brechen. Das ist abhängig davon,
304
00:19:56,790 --> 00:20:00,940
welchen Angriff man nimmt. Krypto-
analytischer Angriff oder SAT-Solver
305
00:20:00,940 --> 00:20:05,440
um den Transponder komplett auszulesen
und die Emulation zu starten.
306
00:20:05,440 --> 00:20:08,170
Das geht sofort.
307
00:20:08,170 --> 00:20:14,030
Ralf: Gut. D.h. wenn ich jetzt eine
Schließanlage habe, die den Hitag-S-
308
00:20:14,030 --> 00:20:17,030
Transponder einsetzt – und ich komme
gleich noch einmal dazu, wo es sowas
309
00:20:17,030 --> 00:20:24,020
möglicherweise geben kann – dann besteht
tatsächlich die Gefahr, dass jemand
310
00:20:24,020 --> 00:20:28,470
während ich z.B. den Schlüssel ins Schloss
reinstecke oder während ich meinen
311
00:20:28,470 --> 00:20:32,880
Transponder davorhalte, mit einer
entsprechenden Antenne diese
312
00:20:32,880 --> 00:20:37,800
Authentifizierungsvorgänge mitliest. Ich
brauche von einem Schlüssel, wie wir
313
00:20:37,800 --> 00:20:42,100
gesehen haben, beim SAT-Solver 2
Challenges, also 2 Austausche des
314
00:20:42,100 --> 00:20:46,290
Schlüssels mit dem Schloss bzw. wenn ich
einen krypto-analytischen Angriff fahren
315
00:20:46,290 --> 00:20:51,590
möchte, 150, das ist sicherlich ein wenig
schwieriger so irgendwie zu machen.
316
00:20:51,590 --> 00:20:54,920
Dafür müsste ich schon kurzzeitig Zugang
zu dem Schlüssel haben, ich müsste ihn in
317
00:20:54,920 --> 00:20:58,600
meine eigene Gewalt bringen, dann dahin
gehen, um diese 150 Challenges auszulesen.
318
00:20:58,600 --> 00:21:03,150
Und kann damit den Key brechen, der
von diesem Schlüssel verwendet wird und
319
00:21:03,150 --> 00:21:07,490
anschließend eben auch sämtliche andere
Daten, die dieser Schlüssel besitzt,
320
00:21:07,490 --> 00:21:13,370
auslesen bzw. ableiten. D.h. ich bin in der
Lage, tatsächlich einen Klon herzustellen.
321
00:21:13,370 --> 00:21:16,990
Wenn darüber hinaus möglicherweise bei der
einen oder anderen Schließanlage die Daten
322
00:21:16,990 --> 00:21:20,620
auf dem Schlüssel nicht richtig gesichert
sind, kann ich vielleicht sogar
323
00:21:20,620 --> 00:21:24,150
die Schließberechtigungen erweitern. D.h.
ich kann aus den Schließberechtigungen
324
00:21:24,150 --> 00:21:27,700
eines Praktikanten die Schließberechtigungen
des Geschäftsführers machen.
325
00:21:27,700 --> 00:21:31,160
Auch das haben wir tatsächlich bei einer
gewissen Anlage gesehen. Das war aber
326
00:21:31,160 --> 00:21:35,770
nicht eine Anlage die auf Hitag S
basierte. Wir haben uns dann umgeschaut
327
00:21:35,770 --> 00:21:38,790
und haben geschaut, was gibt es sonst
noch an Low-Frequency-Transpondern.
328
00:21:38,790 --> 00:21:40,870
Und alle anderen Low-Frequency-
Transponder, die wir gefunden haben,
329
00:21:40,870 --> 00:21:46,650
waren entweder schon gebrochen oder
verwenden Verfahren, die wahrscheinlich
330
00:21:46,650 --> 00:21:51,640
genauso einfach zu brechen sind wie
jetzt dieses Verfahren vom Hitag S. D.h.
331
00:21:51,640 --> 00:21:56,460
die Low-Frequency-Transponder verfügen
grundsätzlich nicht über genügend Energie
332
00:21:56,460 --> 00:22:00,230
– unserer Ansicht nach – um
sichere Verfahren wie ein AES-Verfahren
333
00:22:00,230 --> 00:22:04,750
oder etwas ähnliches einzusetzen.
D.h. ich brauche tatsächlich, wenn ich
334
00:22:04,750 --> 00:22:07,740
Schließanlagen sicher implementieren
möchte, Zutritts-Kontroll-Systeme
335
00:22:07,740 --> 00:22:10,810
sicher implementieren
möchte, High-Frequency-Transponder.
336
00:22:10,810 --> 00:22:13,010
High-Frequency-Transponder
heißt aber jetzt nicht grundsätzlich,
337
00:22:13,010 --> 00:22:16,270
meine Schließanlage ist sicher, weil
auch dort gibt es z.B. auch Sachen wie
338
00:22:16,270 --> 00:22:19,510
den Mifare Classic. Und dass der Mifare
Classic gebrochen ist, weiß glaube ich
339
00:22:19,510 --> 00:22:22,840
inzwischen jeder. Wenn man sich die
Hersteller anschaut, die dann eben z.B.
340
00:22:22,840 --> 00:22:27,030
auch den Desfire unterstützen, stellt man
fest, dass ich in deren Schließanlagen
341
00:22:27,030 --> 00:22:30,130
aber ohne weiteres auch weiterhin ein
Mifare Classic verwenden kann.
342
00:22:30,130 --> 00:22:34,370
D.h. die Schließanlagen sind rückwärts
kompatibel. Und wenn die Schließanlage
343
00:22:34,370 --> 00:22:37,809
vielleicht auch schon 5, 6, 7, 8 Jahre
im Einsatz ist, besteht auch
344
00:22:37,809 --> 00:22:40,100
eine große Gefahr, dass möglicherweise
noch so ein klassischer
345
00:22:40,100 --> 00:22:43,370
Mifare-Classic-Transponder irgendwo im
Einsatz ist. Weil man den damals
346
00:22:43,370 --> 00:22:46,940
gekauft hat und vielleicht nicht ersetzt
hat. D.h. die moderneren Verfahren
347
00:22:46,940 --> 00:22:48,730
können sicher sein, müssen
aber nicht sicher sein.
348
00:22:48,730 --> 00:22:53,250
Wir haben dann einfach mal geschaut,
welche Hersteller tatsächlich
349
00:22:53,250 --> 00:22:56,820
Low-Frequency-Transponder einsetzen,
oder sogar den Hitag S einsetzen.
350
00:22:56,820 --> 00:23:01,090
Und es gibt eine Vielzahl von Schließ-
Systemen. Das heißt jetzt nicht
351
00:23:01,090 --> 00:23:04,040
automatisch, dass wenn Ihr Hersteller
auf dieser Liste ist, Ihr Schließsystem
352
00:23:04,040 --> 00:23:09,790
kaputt ist. Weil einige Hersteller
haben eben auch Alternativen dazu.
353
00:23:09,790 --> 00:23:16,150
D.h. z.B. bei Uhlmann & Zacher, dort
wird eben auch die Schließanlage mit
354
00:23:16,150 --> 00:23:22,260
High-Frequency-Transpondern angeboten. Und
ich kann dort auch den Desfire einsetzen.
355
00:23:22,260 --> 00:23:27,220
Wenn Sie aber eine Low-Frequency-Anlage
gekauft haben, können Sie dort nur
356
00:23:27,220 --> 00:23:32,220
den Hitag – ich glaube der Hitag 1
ist es dort, oder war es der Hitag 2 –
357
00:23:32,220 --> 00:23:37,820
und irgendwie einen EM4450,
der noch weniger Schutz bietet
358
00:23:37,820 --> 00:23:45,420
und bei dem tatsächlich das Klonen dieser
Transponder dann trivialst einfach ist.
359
00:23:45,420 --> 00:23:50,200
Sie müssen sich im Grunde nur ein Stück
Hardware bauen für vielleicht 20..30 Euro
360
00:23:50,200 --> 00:23:53,330
und Sie haben eine Kopie des
Schlüssels, der sich genauso verhält
361
00:23:53,330 --> 00:23:56,090
wie der Originalschlüssel. Und
wenn dann eben nachts um 3 Uhr
362
00:23:56,090 --> 00:23:59,300
eingebrochen wird und Sie schauen in Ihrer
Schließanlage nach – das ist ja einer der
363
00:23:59,300 --> 00:24:01,220
großen Vorteile dieser Schließanlagen,
sie protokollieren ja genau, wer die Tür
364
00:24:01,220 --> 00:24:04,010
geöffnet hat – dann sehen Sie dass der
Geschäftsführer die Tür nachts um 3 Uhr
365
00:24:04,010 --> 00:24:09,390
geöffnet hat. Und es ist keine Möglichkeit
nachzuvollziehen, wer es wirklich war.
366
00:24:09,390 --> 00:24:13,559
Wenn man dann die Hersteller konfrontiert
– das vielleicht noch so zum Abschluss –
367
00:24:13,559 --> 00:24:18,450
und sie fragt, wie sie denn so ein
Schließsystem verkaufen können,
368
00:24:18,450 --> 00:24:23,620
dann wird einem entweder geantwortet,
„Ja das war vor 7 Jahren state-of-the-art“
369
00:24:23,620 --> 00:24:27,880
oder „Wir sehen keinen Grund, den Kunden
zu informieren, dass das vielleicht heute
370
00:24:27,880 --> 00:24:33,720
nicht mehr der Fall ist“ oder man kriegt
als Antwort „Wir haben nie behauptet,
371
00:24:33,720 --> 00:24:37,489
dass das sicher ist!“ – „Wir machen
keine Sicherheitssysteme, wir machen
372
00:24:37,489 --> 00:24:40,719
Zutrittskontroll- oder
Zutrittsorganisations-Systeme!“
373
00:24:40,719 --> 00:24:44,530
Und dann geht man hin und sucht auf der
Web-Seite des Herstellers nach dem Wort
374
00:24:44,530 --> 00:24:50,229
„Sicherheit“, und es taucht zumindest
in dem Bereich nicht einmal auf.
375
00:24:50,229 --> 00:24:53,570
Und dann fragt man sich, ob der Hersteller
das nicht vielleicht schon lange weiß,
376
00:24:53,570 --> 00:24:58,260
und einen die ganze Zeit für dumm
verkaufen will. Weil...
377
00:24:58,260 --> 00:25:03,740
wo überall sind diese Systeme?
Krankenhäuser, Behörden etc.
378
00:25:03,740 --> 00:25:08,760
Damit möchte ich schließen,...
Fragen?
379
00:25:08,760 --> 00:25:18,240
Und danke für die Aufmerksamkeit!
Applaus
380
00:25:18,240 --> 00:25:21,520
Herald: Vielen Dank! Also ich hab‘ gelernt
ich werde jetzt auf jeden Fall genauer auf
381
00:25:21,520 --> 00:25:25,990
Herstellerseiten lesen, wenn ich damit zu
tun habe. Was da so steht und was nicht.
382
00:25:25,990 --> 00:25:30,530
Wir haben noch 5 Minuten für Fragen. Wenn
ihr Fragen stellen möchtet, geht bitte
383
00:25:30,530 --> 00:25:38,760
zu einem der 6 Mikrofone, die hier in den
Gängen stehen. Und natürlich auch an alle
384
00:25:38,760 --> 00:25:43,429
die uns in den Streams folgen: es gibt die
Möglichkeit im IRC Fragen zu stellen,
385
00:25:43,429 --> 00:25:48,060
die dann nette Engel hier
uns vor Ort vorlesen.
386
00:25:48,060 --> 00:25:51,960
An Mikrofon 3, sehe ich da ‘ne Frage?
387
00:25:51,960 --> 00:25:57,059
Frage: Ja, eine Frage: Kann man
dann ohne Besitz des Transponders
388
00:25:57,059 --> 00:26:01,740
Paare sammeln von Challenge und
vom Reader generierter Response,
389
00:26:01,740 --> 00:26:04,770
wenn man einfach zum Leser hingeht?
390
00:26:04,770 --> 00:26:11,270
Ralf: Nein. Der Punkt ist ja, ich brauche,
der Leser muss glauben, dass er mit
391
00:26:11,270 --> 00:26:15,040
dem Transponder spricht und muss dem
Transponder eben Daten schicken.
392
00:26:15,040 --> 00:26:21,040
Also was man machen kann, wenn du Zugang
hast zu dem Transponder, also die ID
393
00:26:21,040 --> 00:26:24,040
des Transponders irgendwie anders aus
größerer Entfernung auslesen kannst,
394
00:26:24,040 --> 00:26:27,850
kannst du natürlich einen Emulator bauen,
der erstmal behauptet, diese ID zu sein.
395
00:26:27,850 --> 00:26:31,260
Damit kannst du dann zu dem Lesegerät
hingehen. Das Lesegerät wird dir dann die
396
00:26:31,260 --> 00:26:37,220
Challenge schicken. Weil es ja diesen
Transponder aktivieren möchte.
397
00:26:37,220 --> 00:26:42,860
D.h. so ja, aber ich muss einmal
eine gültige ID ausgelesen haben.
398
00:26:42,860 --> 00:26:45,230
Wobei es kommt ein bisschen auf das
Schließsystem an. Wir haben auch
399
00:26:45,230 --> 00:26:52,830
ein Schließsystem gesehen, wo die Hardware
IDs nicht wirklich intern sich merkt.
400
00:26:52,830 --> 00:26:57,360
D.h. das arbeitet ein bisschen anders.
Also da kann man wahrscheinlich sogar
401
00:26:57,360 --> 00:26:59,690
mit einer beliebigen ID dahin gehen
und man bekommt ein Challenge
402
00:26:59,690 --> 00:27:03,200
von dem Lesegerät geschickt.
Frage: OK, danke.
403
00:27:03,200 --> 00:27:08,700
Herald: Gut, die nächste Frage von
Mikrofon Nr. 5 da hinten!
404
00:27:08,700 --> 00:27:12,460
Frage: Ich habe zuletzt c‘t gelesen,
da war so ein schöner Artikel
405
00:27:12,460 --> 00:27:17,090
über Mercedese die über
Relay-Angriffe geöffnet werden.
406
00:27:17,090 --> 00:27:21,260
Habt ihr sowas auch ausprobiert? Sprich,
einer fährt mit der Straßenbahn
407
00:27:21,260 --> 00:27:24,809
und dem Schlüsselhalter mit
und der andere steht an der Tür.
408
00:27:24,809 --> 00:27:30,060
Ralf: Wir haben‘s nicht direkt ausprobiert
aber trivial einfach mit dem Transponder.
409
00:27:30,060 --> 00:27:33,519
Frage: Also keine Timing-Geschichten?
Ralf: Nein.
410
00:27:33,519 --> 00:27:36,810
Herald: Gut. Mikrofon Nr. 4?
411
00:27:36,810 --> 00:27:41,520
Frage: Ja, meine Frage ist: Werden
Sie die Proxmark-Sourcen releasen?
412
00:27:41,520 --> 00:27:45,430
Ralf: Ich denke schon, ja. Also
zumindest Teile davon, ja.
413
00:27:45,430 --> 00:27:49,780
Frage: Okay.
Ralf: Also... ja.
414
00:27:49,780 --> 00:27:52,560
Ralf: Also... ja. Nee, NXP ist übrigens...
also NXP ist der Hersteller dahinter...
415
00:27:52,560 --> 00:27:57,070
ursprünglich hat Philips das Ding gebaut,
NXP ist kontaktiert worden von uns vor...
416
00:27:57,070 --> 00:28:00,520
das erste Mal vor 4 oder 5 Monaten, da
hatten wir keine Antwort. Dann nochmal
417
00:28:00,520 --> 00:28:07,980
vor irgendwie 60 Tagen, oder 45..50 Tagen,
NXP ist informiert und hat eben auch
418
00:28:07,980 --> 00:28:11,100
seine Kunden angeschrieben. Also wenn
hier ein Kunde drin sitzen sollte, der
419
00:28:11,100 --> 00:28:16,100
diese Transponder einsetzt, in eigenen
Applikationen: Verlassen Sie sich nicht,
420
00:28:16,100 --> 00:28:19,750
eben, mehr auf die Identität des
Transponders... also wenn die Identität
421
00:28:19,750 --> 00:28:22,730
des Transponders wichtig ist für die
Sicherheit Ihrer Applikation...
422
00:28:22,730 --> 00:28:30,930
sorry Ihrer Applikation, dann ist die
Applikation kaputt. Schließsysteme
423
00:28:30,930 --> 00:28:36,160
– nebenbei – bestehen häufig aus 500..1000
oder mehreren Schlössern und so
424
00:28:36,160 --> 00:28:45,340
10000 Transponder die ich da tauschen muss
in größeren Gebäuden. Schwer zu tauschen.
425
00:28:45,340 --> 00:28:48,670
Herald: Dann schließe ich noch mal mit...
Haben wir noch ‘ne Frage? Ah, hier kommt
426
00:28:48,670 --> 00:28:52,480
noch eine Frage aus dem Internet. Gut,
für eine haben wir noch Zeit. Bitte!
427
00:28:52,480 --> 00:28:57,809
Signal Angel: Könnte man, wenn man diese
Kommunikation aufzeichnen will bei 125kHz
428
00:28:57,809 --> 00:29:01,230
auch Soundkarten einsetzen dafür?
429
00:29:01,230 --> 00:29:07,330
Ralf: Gute Frage. Keine Ahnung. Haben wir
nicht gemacht, wir haben Oszilloskope
430
00:29:07,330 --> 00:29:14,060
eingesetzt um uns das anzuschauen, was da
übertragen wird. Aber wenn die Soundkarte
431
00:29:14,060 --> 00:29:19,929
die 125kHz auflösen kann, dann wäre das
wahrscheinlich sogar machbar...
432
00:29:19,929 --> 00:29:24,059
dort das zu machen. Man muss sich dann
eben ein wenig mit der Modulation
433
00:29:24,059 --> 00:29:29,250
und ähnlichem beschäftigen. Das ist nicht
ganz trivial bei den Transpondern.
434
00:29:29,250 --> 00:29:32,489
Herald: Gut, dann nochmal einen
herzlichen Applaus und vielen Dank
435
00:29:32,489 --> 00:29:36,760
für diesen wundervollen Talk!
Applaus
436
00:29:36,760 --> 00:29:40,530
Abspannmusik
437
00:29:40,530 --> 00:29:46,900
Untertitel erstellt von c3subtitles.de
im Jahr 2016. Unterstütze uns!