RFID - Parte 2

Eduardo Melo - [email protected]

1

Título RFID – Uma visão de Segurança – parte 2 Autor Eduardo Melo

Data 24/02/2012

ENTENDENDO O FUNCIONAMENTO – parte 2

Antes de sairmos falando mais sobre as e-tags, cabe um pequeno esclarecimento

adicional ao entendimento construído sobre o campo magnético se propagando no éter (nome

bonito para dizer espaço vazio). Na situação comentada na primeira parte deste artigo, onde

não tínhamos mais um núcleo ferromagnético para concentrar o fluxo magnético, o campo

magnético variável se dispersava no ar formando uma abstração matemática/gráfica chamada

“linha de força”, lembram?

Fonte: http://blog.blankabout.com.br/?p=1338

Fig. 1 – Como funciona o RFID

Pois bem, só que não é somente o campo magnético que vai se propagando pelo

espaço. O princípio comentado dizia que quando temos um campo magnético variando no

espaço, surge um campo elétrico proporcional e ortogonal ao campo magnético (e vice-versa).

Sendo assim, o campo magnético “pendurado” na extremidade interrompida do núcleo

provoca o surgimento de um campo elétrico variável.


2

E o campo elétrico variável faz surgir um campo magnético... e assim vai nossa onda

eletromagnética se propagando pelo éter (olha o nome aí de novo!) como um monte de

campos Elétricos e Magnéticos se cruzando e realimentando...

Fig. 2 – Campo Eletromagnético

O nosso primitivo transformador acabou virando um transmissor, concordam? Este

campo eletromagnético se propagando e acaba por induzir na bobina do secundário (ou seja: o

e-tag) uma corrente induzida que vamos utilizar no nosso dispositivo RFID.

Resolvi acrescentar mais essas linhas de tortura teórica acima, só pra não ficar a ideia

de que com tanto transmissores espalhados por aí estaríamos imersos em um grande campo

magnético... o mais correto é pensar que estamos imersos em milhões de campos

eletromagnéticos. Agora sim! Ou clareou a ideia do leitor ou escureceu de vez...

OBS: Existem ainda outras etiquetas que utilizam acoplamento capacitivo, muito mais

complexo para se implementar (e de hackear também) e que não é objeto deste artigo. Se um

dia alguém se interessar, me escreva que eu tento explicar o seu funcionamento e suas

vulnerabilidades. Mas já aviso: a teoria necessária vai ser um pouco mais trabalhosa de se

entender.


3

ESCUTA MAGNÉTICA

Bom... pra que isso tudo? Por que estudar a teoria eletromagnética de transmissão

para falar de Segurança dos dispositivos RFID?

Se formos observar nos conceitos da Segurança da Informação, perceberemos que

podemos proteger (ou roubar, se for esta a intenção) a informação no LOCAL onde ela está

armazenada ou no MEIO por onde ela circula. No caso dos RFID, um cidadão mal intencionado

ou invade o chip da e-tag e os sistemas receptores (LOCAL) ou tenta se apoderar do meio por

onde a informação trafega (MEIO).

Por questões práticas e até mesmo físicas, invadir um microchip dentro de uma

etiqueta eletrônica é algo demasiadamente complexo. É possível, mas o esforço é muito

grande. Por outro lado invadir os sistemas e banco de dados que receberam a transação das e-

tags, não difere do ataque computacional tradicional.

O que é diferente neste caso, e que está se tornando muito comum, é a interceptação

do fluxo de informações enquanto ela trafega entre o receptor e o transmissor. Já deu pra

perceber que vamos estudar uma variação do ataque “man-in-the-middle”, mas usando escuta

eletromagnética... mas para isso precisamos mais um pouco de teoria... coisa leve agora.


4

TIPOS DE RFID

A constituição básica destas etiquetas eletrônicas é uma bobina e um microchip. A

Bobina, pelo que estudamos, é uma antena e seu papel é idêntico ao enrolamento secundário

que mostrei no artigo anterior: transformar a variação do campo eletromagnético que

atravessa suas espiras (espiras=voltas de fio que formam a bobina) em corrente elétrica.

Pois bem, sabendo que uma das partes do e-tag é um microchip, é de se esperar que

este tenha uma fonte de alimentação elétrica para que possa desempenhar seu papel. Então

temos basicamente 3 tipos de e-tags, conforme a fonte desta energia:

a) RFID Passiva: A própria corrente induzida na antena é aproveitada para

alimentar o chip. A e-tag assim construída é barata e duradoura, pois não tem uma

bateria interna que gasta com o tempo. Porém a energia fornecida (corrente induzida)

é baixíssima e vai dar um trabalhão para o chip fazer o que ele precisa fazer com tão

pouca energia. Mais à frente vamos ver o que ele faz...

b) RFID Ativa: Além da antena e do microchip, acompanha uma bateria na

própria etiqueta e o microchip fica o tempo todo emitindo sinal. Obviamente o custo é

maior a durabilidade é menor (a bateria acaba!), mas temos mais energia na etiqueta

para as peripécias do microchip;

c) RFID semi-passiva: Possui bateria, porém a e-tag não fica transmitindo o sinal

todo o tempo. Ela só “gasta” mais energia da bateria quando a e-tag “percebe” que

está imersa em um campo eletromagnético com determinadas características.

Fig. 3 – Exemplos de e-Tags (RFID tags)

Mas qual o papel do chip? Essa é fácil: manter, receber e transmitir os dados que estão

em sua memória.


5

Conforme a natureza do que eles podem fazer com os dados ainda podem se dividir

em:

a) Write Once – Read-Many: Ou seja, escreve-se uma vez (geralmente na fábrica)

e se pode ler muitas vezes. É a versão mais simples da e-tag e a mais fácil de ser

copiada/clonada. É quase um código de barras grandão. Pode ter a informação

criptografada na sua memória e negociar uma chave na hora da transmissão, mas por

seu custo e complexidade, ainda existem as etiquetas que são meros repositórios de

informação e trafegam a “texto limpo” os dados armazenados;

b) Read/Write: Como nome diz, permite que se leia e escreva na memória da e-

tag. Pode manter um nível considerável de segurança na transação, usar criptografia e

outros métodos para deixar o processo mais seguro.

Quem quiser pesquisar na web vai até encontrar diversos usos para o RFID tag e outras

variações/divisões, mas deixo isso pra quem quiser ir mais a fundo, já que nosso foco é

tecnológico.

Independente do tipo do RFID, o interessante para nosso estudo é saber que o trânsito

da informação se dá através do fluxo de ondas eletromagnéticas entre o Receptor e o e-tag.

Não tem jeito: A informação, seja ela criptografada ou em texto claro, vai passar por este

meio. E é aí que entra as técnicas de interceptação que vamos abordar. Como o meio não é

dedicado (o espaço entre a etiqueta e a antena transmissora) é relativamente fácil interceptar

a “conversa” entre TX e RX, memorizar o que cada um “falou”, levar pra casa e estudar a

preciosa informação coletada.

É fato que precisaríamos de um artefato também com uma antena. Note a semelhança

com uma placa de rede no modo “promíscuo” usada em captura de tráfego ethernet: a antena

apenas perceberia as variações de fluxo, traduzira em informação binária e armazenaria para

posterior estudo (usando um Wireshark para eletromagnetismo! – é só um exemplo. Não é

com o Wireshark que analisamos este tipo de dado).

Tem um pessoal, que movido pela nobre causa estudantil, disponibiliza para fins

educacionais estes dispositivos sensores que funcionam como man-in-the-middle para os

RFIDs. É um verdadeiro negócio da China, para quem me entende.

Fig. 4 – RFID Reader


6

Para escrever este artigo, conversei com um interessante pesquisador do assunto e ele

me falou que trabalha com dois modelos básicos: Os RFID Readers que apenas lê o e-tag e

grava um novo e-tag com as informações que conseguiu ler (se tiver criptografia o processo

pode não funcionar, pois o reader não sabe a chave para iniciar a negociação). Um outro

modelo é o RFID Reader KIT que “aprende” os dados trafegados, armazena para estudo e só

depois grava um novo e-tag que “imita” o campo magnético do original. Esse último é “do

mal”... e vamos saber porquê.

Vamos levar para o lado prático: imagine um e-tag destes usados em passe-livre de

automóveis. No início eram utilizados chips do tipo Write-once-Read-many (e tem

concessionárias que ainda usam!). O funcionamento seria assim:

a) O veículo com o e-tag no para-brisa se aproxima do pedágio;

b) O e-tag deste exemplo é do tipo passivo. Ou seja: sem o campo

eletromagnético adequado não há energia no chip da etiqueta e as informações estão

armazenadas na memória não volátil do tag;

c) A cabine do pedágio possui uma antena (lembra do primário do transformador

do exemplo?) irradiando um campo eletromagnético com potência suficiente para

atingir e-tags que entre no seu raio de ação (tipicamente 6 metros);

d) O sinal que está constantemente sendo transmitido pela antena da cabine

carrega uma importante informação na forma de modulação: informa uma sequência

binária que indica quais as operadoras de passe livre são aceitas naquela cabine. Não

vou discutir o processo de modulação, mas imagine a variação dos campos formando

sequência de “0” e “1” que se lidos traduzem a operadora. Um ciclo completo de todas

as operadoras demora poucos milissegundos para ser repetido;

e) Quando o e-tag entra na área de cobertura do campo da receptora a indução

eletromagnética faz surgir uma corrente na antena do e-tag que alimenta o microchip;

f) O microchip passa a perceber as variações do campo eletromagnético e faz

comparações com a sequência de bits em busca do código que represente sua

operadora (algo como analisar a assinatura do sinal);

g) Achada a sequência, o microchip sabe que pode começar a transmitir seu

código de identificação. Ele usa a mesma antena para passar a emitir sinais de

radiofrequência (eletromagnéticos) codificados com sua “palavra” digital

representando o código do usuário;

h) A antena da cabine percebe a recepção e rapidamente transfere para os

sistemas de background que farão uma consulta na base de usuários para decidir: se

houver crédito, libera a cancela, caso contrário, acende a luz vermelha e o cidadão vai

ter que desembolsar o pedágio;

OBS: Isso tudo acontece em milissegundos. Claro que é uma versão bem simplificada.


7

Agora imagine se prendermos no para-brisa do carro, fisicamente ao redor do e-tag,

um RFID Reader KIT que “escuta” o que a cabine transmitiu, o que o e-tag transmitiu,

armazena isso tudo em um notebook para estudarmos o comportamento das assinaturas e

palavras digitais trocadas. Se fizermos isso algumas vezes, analisando diversas situações

(consumo sucessivo de crédito no mesmo dia, dias alternados, com crédito insuficiente, etc.)

teremos uma base de dados interessante para estudarmos e entendermos o que se passa

nessa “conversa” entre e-tag e cabine.

O próprio “kit” possui várias ferramentas para esta análise. Depois de concluído, basta

criar seu próprio RFID como “cópia de segurança” inclusive programando o microchip para um

comportamento igual ao original (o kit usa Engenharia Reversa para analisar os algoritmos e

clonar o chip). É claro que não é tão fácil assim nos sistemas mais modernos, mas tudo é

questão de tempo até que se consiga decifrar algoritmos e chaves neste processo de troca de

créditos. Ainda mais se o e-tag for read-only.

CONCLUSÃO

O que eu gostaria de ter compartilhado com vocês que leram este artigo é que o

conceito de Segurança da Informação está presente em diversos planos da tecnologia. Não é

somente nos tradicionais dispositivos tipicamente de TI, como servidores, Banco de Dados,

que se faz e pensa em segurança. Tenham em mente de que onde as informações estiverem

(em trânsito ou armazenadas), estarão as vulnerabilidades.

O profissional que conhecer profundamente certos nichos de tecnologia e aliar a isto

sólidos conhecimentos de Segurança da Informação será uma “mosca branca”’ no Mercado. E

como tal, ganhará respeito e credibilidade, não exatamente pela sua especialização, mas sim

pela sua raridade.

Até Breve.

Referências:

http://electronics.howstuffworks.com/gadgets/high-tech-gadgets/rfid.htm

http://www.wirelessbrasil.org/wirelessbr/colaboradores/sandra_santana/rfid_02.html

Sobre o autor:

RFID - Parte 2

Documents

Transcript of RFID - Parte 2