RFID Hacking Tools

[Guilherme Peraçoli]

Hacking com Ardu�no, clonagem de cart�es.

Compartilhando o post que vi em uma outra lista
http://www.bishopfox.com/resources/tools/rfid-hacking/attack-tools/

[]s

[Guilherme Peraçoli]

[Thiago Salgado]

Sim. Eu postei no área 31
-----Mensagem original-----
De: Guilherme Peraçoli
Enviado: 21/01/2014, 16:04
Para: "hacker...@googlegroups.com"
Assunt.: [GaroaHC] RFID Hacking Tools


Hacking com Arduíno, clonagem de cartões.

Compartilhando o post que vi em uma outra lista
http://www.bishopfox.com/resources/tools/rfid-hacking/attack-tools/

[]s

--
.--. .- .-. .- .--. --- ... - .- .-. . ... -.-. .-. . ...- .- .--. .- .-. .- .... .- -.-. -.- . .-. ... .--. .- -.-. . ... .--. .- - --. --- --- --. .-.. . --. .-. --- ..- .--. ... -.. --- - -.-. --- --
Regras da Lista: http://garoa.net.br/wiki/Lista:LeiaAntesDeClicarNoSend
Para mais informações sobre o Garoa Hacker Clube acesse http://garoa.net.br
Maiores opções sobre o Google Groups, visite: http://groups.google.com/group/hackerspacesp
.--. .- .-. .- -- .- .. ... .. -. ..-. --- .-. -- .- . ... .- -.-. . ... ... . --- .-- .. -.- ..
Epoch 0 <=> Fundação: 1298244863 s ~ 2.408064*10^52 tP (tempos de Planck)

[Rodrigo Madera]

Uma pena que não funcione para o Mifare (estilo SPtrans).

Mx

2014/1/21 Thiago Salgado <scrimf...@gmail.com>

[Mauro Risonho de Paula Assumpção]

RFID Paper que mandei para Nullcon e não pude ir palestrar:

http://pt.slideshare.net/firebits/nullcon-2011-rfid-no-enviado-ao-evento-11550958

@firebitsbr

[Rodrigo Madera]

Mauro,

Atualmente, como estamos com a força bruta pra ler setores com senha no Mifare?

Mx

2014/1/21 Mauro Risonho de Paula Assumpção <mauro....@gmail.com>

[Mauro Risonho de Paula Assumpção]

Na verdade, eu parei minhas pesquisas sobre RFID, conversava muito com o Alberto Fabiano (ele me apoiava muito nos estudos, era muito humilde e de uma sabedoria grande), chegamos até ganhar uma leitora de um brother LSITEC (Omminpd) algo assim, mas como nem eu e nem ele, se interessamos mais nesse seguinte, paramos a pesquisa.

Hardware MIFARE, não tenho ainda (gravadora/leitora), se alguém da lista, tiver e poder doar, retomo as pesquisas. (fazia muito por free for fun, mesmo) :)

Conversava muito por emails, IM, mas não chegamos nada mais concreto à sua pergunta, na época.

@firebitsbr

[Rodrigo Madera]

Uma pena...

Eu tenho uma leitora. Mas até agora, o único jeito é força bruta. E não é viável...

Pesquisei muito também há uns anos. Era fixação, e até trabalhei num projeto com Mifare pra bilhetagem. Mas parou por ai, pois o Mifare tem suas falhas, mas requer de muito tempo pra explorar.

Quem sabe mais pra frente... mas por agora, nada feito... =(

Mx

[Pedro Scursel]

Cara, estou embasbacado hahaha

Parabéns pelo post!

[Mauro Risonho de Paula Assumpção]

@Rodrigo Madera, numa pesquisa rápida achei isso:

http://www.doc.ic.ac.uk/~mgv98/MIFARE_files/report.pdf
http://sar.informatik.hu-berlin.de/research/publications/SAR-PR-2008-21/SAR-PR-2008-21_.pdf
http://www.cs.ru.nl/~flaviog/publications/Dismantling.Mifare.pdf
http://prezi.com/kcyesaiftdhf/exploiting-rfid-vulnerabilities-using-your-nfc-phone/
http://penturalabs.wordpress.com/2013/06/17/access-control-part-1-magstripes-revisited/
http://penturalabs.wordpress.com/2013/07/15/access-control-part-2-mifare-attacks/
http://code.google.com/p/mfcuk/
http://www.nicolascourtois.com/MifareClassicHack.pdf
http://www.proxmark.org/documents/mifare_weakness.pdf

Bora, pesquisar??? :)

@firebitsbr

[Rodrigo Madera]

Mauro,

Quem dera tivesse tempo. Mas ainda quero voltar.

O Mifare tem N falhas. Mas do jeito que implementaram na SPtrans (e outras no mundo), você acaba usando uma senha diferente a cada uso do cartão, tornando o ataque um pouco mais complicado.

Possível, porém demorado. Isso tomando em conta os ataques que conheci na época, e inclusive os novos apresentados agora no evento que teve (não lembro o nome) que até postaram aqui os slides.

Mas se eu voltar a ter tempo, já sei quem chamar pra brincar de passe livre, rs. ;-)

Mx

[Guilherme Peraçoli]

@firebitsbr, parabéns por esse material/slides! Um ótimo trabalho.

[]s , Guilherme

[Rodrigo Madera]

Ah! Complementando: Na época, o que era mais viável para "driblar" o sistema público de São Paulo, era a emulação de cartão Mifare.

Isso é possível até com alguns celulares, e na época procurei. Mas existiam limitações de firmware exatamente para dificultar este tipo de (mal)uso.

Está ai uma boa tentativa, pra quem quiser pesquisar: a emulação de cartões. Muuuito mais eficiente do que ataques, AFAIK.

Mx

2014/1/21 Rodrigo Madera <rodrigo...@gmail.com>

[Mauro Risonho de Paula Assumpção]

Esses caras de uma empresa ai, qualquer pegaram uma vulnerabilidade extramente antiga e disseram "é nóis que descobril..."...rss, pior que SPTrans abraçou o kibe deles e foi...

@lammerzada.com

Foi foda isso.

Até eu que estava pesquisando isso, beeeeeeeem mais tarde, sendo que o Alberto Fabiano e outros brothers hackudos do bem, já sabiam há anos e sempre citaram as referências dessas vulnerabilidades.

Há muitas vulnerabilidades que tem caras descobriram há décadas e chega no Brasil, como se fosse "Hot", numa galera @lammerzada.com, já os hackudos do bem, sempre na humildade compartilha e troca idéias na boa:)

Fiquei puto na época, mas...Braziiiilllllllllllll!

@firebitsbr

[Gutem]

Mauro,

o seu paper me lembrou um paper que comecei a escrever, que mandei para a Shot The Sheriff 2011 (o que aconteceu em 2011 para ter esse foco em RFID?), mas me vetaram.

O tema era focado na implementação do Mifare pela SPTrans (empresas 3ª, na verdade), o processo de bruteforcing, analise da Estrutura da Memoria do Cartão e como funciona o processo de Leitura e Escrita, tanto para carregar como para descontar os Créditos.

"Esses caras de uma empresa qualquer aí"[0] que cita, creio que seja a Pontosec. Empresa do Vinícius Camacho, a.k.a. K-max, "famoso" por explorar SQLi na página da Telefônica.

Rodrigo,
A implementação da SPTrans usa senhas padrões, você sabendo uma das senhas você consegue adivinhar, com algum tempo, a outra senha.

Lembro que a primeira vez que fiz o teste, levei por volta de 15min entre a quebra das senhas e o dump total do cartão em um Core 2 Duo usando um leitor touchatag no Ubuntu.

Pelo menos no cartão que usei como teste. Não sei se o padrão mudou em outros cartões.

Na época que estava brincando com isso, me correspondi bastante com um hacker holandês, que tinha escrito um paper sobre a implementação holandesa. Ambos são o Mifare Classic, mas aqui é o 1k e lá é o 4k.

Aprendi bastante com ele, mas logo mais acabei deixando meio de lado os esforços por alguns motivos pessoais.

Ele tinha escrito um programa para recarregar em casa a versão holandesa do cartão e estava começando a "brincar" com a implementação em Passaportes do RFID.

A apresentação do Karsten Nohl e Henryk Plötzsobre sobre a Eng. Reversa do Mifare, na 24C3, é fora de série! [1]

[0] http://g1.globo.com/sao-paulo/noticia/2012/02/falha-no-bilhete-unico-de-sp-permite-recarregar-o-saldo-infinitamente.html
[1] https://www.youtube.com/watch?v=QJyxUvMGLr0

Att,
- Gutem

-------------------------------------------------------------------------------------------
Registered Linux User: 562142

[Rodrigo Madera]

Ouvi falar de um grupo que falou que "hackearam" o mifare da SPtrans, mas depois na hora não conseguiram demonstrar, ou algo assim. Mas naquelas, ouvi falar... queria um link sobre o assunto.

Mauro,

Nas tuas pesquisas você usava genérico, ou fazia target específico pra SPt?

Eles usam um componente interessante, o tal do SAM, que calculava as novas senhas a cada escrita, usando o número de série do cartão Mifare.

E outro aspecto muito forte da SPt é o back office, que faz uma inteligência bacana toda madrugada, processando as transações e populando as famigeradas listas negras, para transações marcadas como fraudulentas. Caso conseguissem clonar eficazmente um cartão, ele seria invalidado no dia seguinte por meio dele.

É um assunto muito bacana mesmo. Acho demais!

Mx

[Rodrigo Madera]

Gutem, bacana teu email!

Mas isso de ter senhas padrão não é verdade. Sei de pessoas que trabalharam para uma empresa que licenciava o SAM da SPtrans para fazer transações de recarga. E acredite. Não tem senha padrão. Tem algoritmo secreto.

Me explico: usam um chip (SAM) para digerir o número de série, e possivelmente outros parâmetros (não sei) e cospe uma nova senha, que os validadores (e carregadores de cartão) calculavam a partir das variáveis (SN+...) para ler os blocos.

Esse cara Holandês foi o pioneiro de ataque ao Mifare, não foi?

Mx

2014/1/21 Gutem <gut...@gmail.com>

[Mauro Risonho de Paula Assumpção]

Na verdade eu queria mesmo é só aprender e aprofundar os estudos "free for fun" e caso tivesse que fazer algum testes durante algum pentest ou algo assim.

Desanimei...

Meu amigo Google, no Adwords(Anúncios) já me rastreando, sugeriu isso:

RFID Reader/Writer TWN4
http://www.elatec-rfid.com/supported-transponder?gclid=CJqRoZKWkLwCFUUV7AodE2MAQQ

@firebitsbr

[Rodrigo Madera]

Está ai um workshop interessante pro Garoa, hein?

Cada um fala o que sabe, e no final pode dar um bom caldo.

Da pra demonstrar o ataque na força bruta que eu conheço, e dai pode evoluir.

Mx

2014/1/21 Mauro Risonho de Paula Assumpção <mauro....@gmail.com>

[Gutem]

Rodrigo,

não sei se ele foi O pioneiro, mas ele é old school nesse rolê... rs

O Holandês que você tá falando deve ser o Roel Verdult, que escreveu um paper sobre bruteforcing no Mifare.

O cara que me correspondi usava um pseudônimo, e não fui mal educado de perguntar se ele era o Roel... rs

Como disse, usei um cartão BEM antiguinho e lembro que ele usou uma das Chaves padrões.

Cometi um equivoco acima e usei "senha" ao invés de "chave". Aqui é BEM importante não confundir Chave com Senha!

O que a SPt usou foram chaves padrões. Tanto na Chave A como na Chave B, se não me engano.
Com uma das Chaves, você descobre a outra por bruteforcing. Com as duas Chaves você descobre a Senha. [0]

O problema estava ali, você podia usar uma Senha forte, mas sabendo as chaves, é questão de tempo para crackear.

O Roel fez um post com 10 Chaves padrões no Forum da Libnfc [1].

Acho que são 16 chaves ao total.

As chaves ficam armazenadas no Setor 0, onde, teoricamente, é Read Only.

Você até consegue escrever no Setor 0, mas vai inutilizar o Cartão, pois ele faz check das informações em outras 3 áreas do Cartão.

Para acessar essas 3 áreas, ele faz uso de um anti collision, usando o Id do cartão [2]

Como os valores serão diferentes, ele não conseguirá lê nada.

Bem, posso estar falando muita merda, pois além de fazer mais de 3 anos que não mexo com nada disso, tudo que aprendi foi interpretando o que conseguia com Eng. Reversa, então minha interpretação pode ter falhado.

[0] http://gelvaos.blogspot.de/2011/01/how-to-calculate-mifare-password.html
[1] http://www.libnfc.org/community/post/372/#p372
[2] http://www.gorferay.com/initialization-and-anticollision-iso-iec-14433-3/

Att,
- Gutem

-------------------------------------------------------------------------------------------
Registered Linux User: 562142

Em 21 de janeiro de 2014 18:54, Rodrigo Madera <rodrigo...@gmail.com> escreveu:

[Noilson Caio]

Teve também um estudo realizado na Austrália por Edward Farrell e apresentado no Ruxcon – The leading technical security conference in Australia, em 2010. Foram analisadas dezoito implementações RFID na Austrália. Quinze estavam de alguma forma, sobre o padrão ISO14443. Seis estavam com senhas padrões de fábrica em seus dispositivos de armazenamento de memória e duas tinham mecanismos de segurança fracos. Gostaria muito de testar um Proxmark III, alguém já trabalhou com este device ?

2014/1/21 Gutem <gut...@gmail.com>

--

Noilson Caio Teixeira de Araújo
https://ncaio.wordpress.com
https://br.linkedin.com/in/ncaio

https://twitter.com/noilsoncaio

[Mauro Risonho de Paula Assumpção]

Seria legal fazer worshop no GaroaHC sim.

@firebitsbr

[Eduardo.]

bem interessante essa matéria..
parabéns..!!!

Att.
Eduardo

[diego brito]

Guten, a chaves mudaram, não são mais as padrões, mas os cartões antigos continuam válidos. E os ids dos cartões novos podem ser copiados pra cartões
chineses com setor 0 do bloco 0 editável.
Com o citado acima e um pouco de analise do layout do cartão, dá pra "carregar"
o saldo pelas ferramentas que usam a libnfc.

[Acassio Silva]

Ola Senhores, boa tarde. 

Estudo RFID a um bom tempo e vamos dizer que tenho um bom conhecimento, porem nunca cheguei a testar nada nos cartões da SPT (Apenas em projetos em outros países.) 

Alguém já chegou a fazer um Dump (utilizando as novas chaves, antigamente era padrões) e utilizar o cartão, e depois carregar novamente o Dump no cartão para confirmar se ele cai na Black-List ?

Gostaria de tentar este processo com os cartões originais (ou tentar clonar modificando os ID). 

Alguém já tem pelo menos uma das chave nova ? estava pensando em recuperar pelo mfcuk, mas iria me economizar tempo. 

Abs. 

Akalink. 

Em terça-feira, 21 de janeiro de 2014 16h04min14s UTC-2, G escreveu:

Hacking com Ardu�no, clonagem de cart�es.

[Eduardo Henrique]

Boa noite, alguém ainda fazendo testes?
Alguém conseguiu algumas chaves novas dos bilhetes?

[JØAØ Neto]

Bilhete de Vale Transporte?

Send from my Gram Bell

---

De: Eduardo Henrique
Enviada em: ‎22/‎05/‎2019 18:46
Para: Garoa Hacker Clube
Assunto: [GaroaHC] Re: RFID Hacking Tools

--
-... . . -..- -.-. . .-.. .-.. . -. - - --- . .- -.-. .... --- - .... . .-.
Regras da Lista: https://garoa.net.br/wiki/Lista:LeiaAntesDeClicarNoSend
Para mais informações sobre o Garoa Hacker Clube acesse  https://garoa.net.br
Mais opções do Google Groups, visite: https://groups.google.com/group/hackerspacesp

.--. .- .-. .- -- .- .. ... .. -. ..-. --- .-. -- .- . ... .- -.-. . ... ... . --- .-- .. -.- ..
Epoch 0 <=> Fundação: 1298244863 s ~ 2.408064*10^52 tP  (tempos de Planck)

---
Você está recebendo esta mensagem porque se inscreveu no grupo "Garoa Hacker Clube" dos Grupos do Google.
Para cancelar inscrição nesse grupo e parar de receber e-mails dele, envie um e-mail para hackerspaces...@googlegroups.com.
Para ver esta discussão na web, acesse https://groups.google.com/d/msgid/hackerspacesp/1385ad31-36ab-4b1b-92a2-21fa3f70c0f9%40googlegroups.com.

[Oscar Marques]

Em alguns países eles tem aplicativos móveis e fazendo engenharia reversa você encontra a chave lá. 

Você recebeu essa mensagem porque está inscrito no grupo "Garoa Hacker Clube" dos Grupos do Google.

Para cancelar inscrição nesse grupo e parar de receber e-mails dele, envie um e-mail para hackerspaces...@googlegroups.com.

Para ver essa discussão na Web, acesse https://groups.google.com/d/msgid/hackerspacesp/CP2P215MB0114AB7385134177885AEF2DA3010%40CP2P215MB0114.LAMP215.PROD.OUTLOOK.COM.

[JØAØ Neto]

Se alguem conseguir achar ou fazer a engenharia reversa do BU(bilhete unico) me ajuda ai a pelo menos ter como procurar emprego,visto que a 2 anos não trabalho e nao tenho RENDA DE NADA...Kevin Mitnick agradece!Eu tbm....haha

Send from my Gram Bell

---

De: Oscar Marques
Enviada em: ‎23/‎05/‎2019 13:06
Para: hacker...@googlegroups.com
Assunto: Re: [GaroaHC] Re: RFID Hacking Tools

Para ver essa discussão na Web, acesse https://groups.google.com/d/msgid/hackerspacesp/CAF2NWbacNOgMGiS5Yw1C1upv4S-bQkNBEcu5yDfUEyLYvoALfQ%40mail.gmail.com.