Pruebas y chanchullos con RFID

Iniciado por Codename!!, 7 Agosto 2009, 23:46 PM

0 Miembros y 2 Visitantes están viendo este tema.

Baquinjam Palas

Cita de: srwik en  7 Febrero 2010, 17:16 PM
Bueno las skidata que usan para los forfaits llevan su propia tecnología cumpliendo el estándar ISO 15693...claro está que no podemos fiarnos si solo respetan el estándar de normativa de potencia y el de seguridad no... así que habrá que probarla en un lector que soporte ISO 15693 y con un poco de suerte que usen I-CODE.

Ya os contaré

I-Code seguro que no son. Eso es como no usar nada.

Mira en Marin.

Saludos.

srwik

Sacado de la web de Marin:

Standard Compliant IC

13.56MHz:
EM4033, ISO 15693, 13.56MHz read only transponder IC
EM4233, ISO 15693, ISO 18000-3, 13.56MHz CRYPTO read write (2kb) transponder IC
EM4133, ISO 15693, ISO 18000-3, 13.56MHz read write (512b) transponder IC
EM4094, ISO 14443 A&B, ISO 15693, reader IC for 13.56MHz
EM4294, ISO 14443 A&B, ISO 15693, 13.56MHz Crypto Analogue Front End Circuit for High Secure RFID communication

Baquinjam Palas

Pues de esas yo apostaria por la 4133; no creo que usen una tj. criptografica para eso.

Buscate el datasheet y mira que seguridad tiene.

Saludos.


Baquinjam Palas

32 bits password

Eso quiere decir que tiene un codigo de acceso de 4 bytes y sin el no podras acceder a la memoria. Lo que no pone ( o por lo menos no he visto ) es si tiene un numero limitado de intentos, que no seria de extrañar.

Si es esa, solo lo podras averiguarlo logeando, pero igual tienes suerte y es algun modelo mas antiguo.

Agenciate algun lector que soporte 15693 y prueba.

Tambien hay que dejar algo en manos de la suerte.

Saludos.


elpit

buenas,,,llevo unos dias siguiendo este hilo,,,buscando info ,,etc,,,,y encontre un documento bastante interesante sobre el funcionamiento del sistema en las estaciones del grupo A%ra*m*o*n....

http://upcommons.upc.edu/pfc/bitstream/2099.1/2718/2/36246-2.pdf

por lo que leo  en el,,,,el unico nexo entre el sistema de taquillas y el sistema de tornos,,,que usan bases de datos completamente distintas e incompatibles son las tarjetas,,,,,en la taquilla escriben la tarjeta y en el momento que pasas por el torno el sistema de los tornos coge la info de la tarjeta y la pasa a la base de datos....

eso me ha hace pensar.....si se puediera clonar una tarjeta, que tubiese dias cargados....guardamos la tarjeta clonada y usamos la original hasta gastar los dias.....cuando nos hemos quedado a cero de dias recuperamos nuestra tarjeta clonada,,,la pasamos por los tornos, el sistema volveria a cargar los dias en la base de datos,,,,,acto seguido volvemos a pasar con la tarjeta original,,,y como el sistema ya tiene esos dias en la base de datos los volveria a pasar a la tarjeta.....

bueno todo eso son conjeturas,,,,pero leyendo el documento lo veo bastante viable,,,,hecharle un vistacillo....

srwik

Buenisimo el aporte, buscaba algo así.

Leyendo esto:
La información almacenada en el chip es la siguiente:
DATOS FORFAIT
----------------------------------------------------
CHIP ID: 29 NUMERO DE SERIE : 16147115512940867674
VALIDO PARA COMPAÑIA: FOMENTO Y DESARROLLO DEL VALLE DE BENASQUE S.A. (1372)
(TIPO APLICACION: 21)
MASCARA: 50 ** DIAS CONSECUTIVOS **
COD. DERECHO: 155451369
COD. IZQUIERDO: 155451358
NOMBRE PRODUCTO: 5 DIAS CONSECUTIVOS ADULTO (CERLER)
FECHA EXPIRACION: 12/4/2005 0:0
TIEMPO DISTRIBUCION: 0
TEMPORADA: 04/05
VALIDO PARA: MAÑANA TARDE NOCHE
----------------------------------------------------
BLOQUEO: 0/0 0:0
GRUPO TORNOS: 0
CONTADOR: 0
----------------------------------------------------
TAQUILLA VENTA: 6
Nº TICKET: 0
VIP: 0


Supongo que todos esos datos estarán cifrados no? No tengo mucha idea de esto ya que me estoy iniciando en el tema y acabo de entrar a la carrera. Pero, si se puede llegar a editar el contenido, debería de ser suficiente. Ya que actúan de forma independiente. Ahora si llevan cifrado...ya será clonando y a saber con que lector.  :-\

elpit

#127
compatibilidad con iso 15693
capacidad de almacenamiento de datos   2048
concepto de multiaplicacion                         si
numero de serie individual no modificable     si (32)
velocidad de transmision                              26,7 kBd
bloqueo de segmentos de memoria               si



Al definir los diferentes tipos de forfaits en el Editor de SkiData se generan unos
códigos identificativos de cada producto. En el sistema de venta se necesita
configurar el producto de nuevo con los mismos códigos para que los dispositivos lo
reconozcan. Al emitir un forfait la información del producto reside en el chip de la
tarjeta.
El sistema de gestión de tornos no tiene conocimiento de la existencia de ese
producto hasta que no es utilizado y pasa por un remonte. Al pasar la tarjeta por
cualquiera de los tornos de la estación el lector reconoce los códigos y registra los
pasos y todos los datos de esa tarjeta (número de serie, tipo de producto, tipo de
cliente, fecha de expiración, etc.).


edit::  añado un poco mas de info sobre el tema  http://www.hackforums.net/showthread.php?tid=176024&page=1

jnavarro

Cita de: Baquinjam Palas en 16 Febrero 2010, 17:50 PM
32 bits password

Eso quiere decir que tiene un codigo de acceso de 4 bytes y sin el no podras acceder a la memoria. Lo que no pone ( o por lo menos no he visto ) es si tiene un numero limitado de intentos, que no seria de extrañar.

Si es esa, solo lo podras averiguarlo logeando, pero igual tienes suerte y es algun modelo mas antiguo.

Agenciate algun lector que soporte 15693 y prueba.

Tambien hay que dejar algo en manos de la suerte.

Saludos.



Hola Baquinjam Palas, segun lei en otro post las tajetas tenian 2 contraseñas por sector con 16 sectores, y que en principio solo usaban una contraseña por sector no?, pero ahora dices que tienen una contraseña de 4 bytes (4*8bits=32bits) en principio una contraseña de 32bits por fuerza bruta se podria mirar, hay que averiguar si solo utilizan hexadecimal que recortariamos el de 256 caracteres por byte a solo 16 caracteres, o si solo utilizan el abecedario y numeros, si el abecedario suele ser en mayusculas nos ahorramos las minisculas...

En el mejor de los casos que escriban solo hexadecimal seria esto:
16+E4=65536 posibles contraseñas.

En el mismo caso de contraseña hex pero con 6 bytes
16+E6=16777216

una contraseña de 32bits, si no tiene numeros de intentos y no le afecta a la tag los 65k intentos de identificacion, todo dependeria de la velocidad con la que se pudiera intentar la identificacion, eso siempre que solo usen hexadecimal, si es por abcedario + numerico nos podemos olvidar.

Yo estoy terminando un atake diccionario a una red wap con mas de 250millones de pass (mas de 2gb), se que no va a funcionar pero por intentarlo, pero hay va mi ordenadorcillo a su ritmo, deberia haber usado airolib o cowpatty pero el unico ordenador medio decente en el que puede hacer algo lo uso yo, en fin que esto es otro tema.


Baquinjam Palas

A ver, estas mezclando caracteristicas de dos tjs. distintas. Mira los datasheets de las dos y veras las caracteristicas de cada una.

Las mifare1k - 16 sectores con 4 bloques en cada sector de 16 bytes por bloque. La autentificacion se hace para cada sector y cada uno tiene dos claves de acceso de 6 bytes cada una.

Las em4133 - 512 bytes (si no recuerdo mal) de memoria, cuyo acceso esta protegido por un codigo de 4 bytes. Para cuatro bytes si que es viable un ataque por fuerza bruta, pero el problema es que suelen llevar un contador de intentos y a la tercera o cuarta vez que le mandes mal el codigo de acceso, la tj. se queda bloqueada para siempre y es imposible recuperarla.

Las claves son en hex; nada de diccionarios.

Saludos.