Złamane zabezpieczenia kart chipowych

Najważniejsze systemy komputerowe są często chronione za pomocą kart inteligentnych. Cyberprzestępcy znaleźli sposób na przełamanie i tego zabezpieczenia.

Karty inteligentne są stosowane w firmach do ochrony najważniejszych systemów komputerowych. Użytkownik wkłada kartę z mikroukładem do czytnika podłączonego przez USB i korzystając z klawiatury komputera lub czytnika (jeśli jest w nie wyposażony), podaje PIN. Teoretycznie jest to system bezpieczny, bo potencjalny włamywacz potrzebuje nie tylko hasła PIN, ale także samej karty. Jednak specjaliści do spraw bezpieczeństwa obserwowali już przypadki przejęcia kontroli nad dołączanymi do komputerów kartami inteligentnymi. Teraz badaczom udało się wyjaśnić mechanizm przełamywania tych zabezpieczeń.

Paul Rascagneres, konsultant do spraw bezpieczeństwa w firmie Itrust Consulting z Luksemburga, rozpoczął prace nad analizą działania złośliwego oprogramowania, które mogłoby udostępnić kartę inteligentną przez internet w niezauważony dla użytkownika sposób. Takie oprogramowanie udało się napisać, a zatem istnieje techniczna możliwość zdalnego wykorzystania karty inteligentnej do fałszywego uwierzytelnienia. Informacje na ten temat mają zostać opublikowane na stronie malware.lu, a sam mechanizm ataku będzie zaprezentowany 24 listopada na indyjskiej konferencji MalCon w New Delhi [artykuł powstawał kilka dni przed tymi wydarzeniami - red.].

Włamywacz korzysta z oryginalnej karty

Kluczowym elementem ataku polegającego na zdalnym uwierzytelnieniu za pomocą przejętego komputera i włożonej do niego karty jest instalacja odpowiedniego oprogramowania. Narzędzie to składa się ze specjalnego sterownika, który umożliwi współdzielenie czytnika karty USB w surowy sposób w połączeniu TCP/IP. Podobna funkcjonalność jest wykorzystywana przy przekierowaniu urządzeń USB w połączeniu terminalowym, gdy użytkownik może skorzystać z urządzeń dołączonych do lokalnego komputera wewnątrz sesji terminalowej, uruchomionej na serwerze.

Poprzednie ataki zakładały wywołanie API oprogramowania dostawcy karty inteligentnej, by dokonać uwierzytelnienia, ale nowy atak idzie znacznie dalej. Przekierowanie połączeń do czytnika przez specjalny sterownik odbywa się w inny sposób, przekazując surowe dane przez TCP/IP, a zatem czytnik jest widoczny tak, jakby był dołączony lokalnie. Zainstalowane na komputerze napastnika middleware dostarczane przez producenta kart inteligentnych zachowuje się tak samo, jakby karta była dołączona do lokalnego komputera. Do odbierania danych potrzebny jest inny sterownik, będący częścią opracowanego rozwiązania. Teoretycznie tak opracowane złośliwe oprogramowanie powinno działać z każdym czytnikiem USB na rynku i każdą kartą inteligentną do niego włożoną.

Integralną częścią paczki złośliwego oprogramowania jest sterownik przekazujący komunikację USB przez internet oraz rejestrujący wpisy na klawiaturze komputera keylogger, potrzebny, by pozyskać kod PIN lub hasło do odblokowania karty.

Jak przebiega atak

Atak obchodzi wykorzystywane dotąd metody zabezpieczenia, a najważniejszy element, jakim jest specjalizowany mikroprocesor karty inteligentnej, pozostaje nienaruszony. Napastnik uruchamia oryginalne oprogramowanie dostarczone przez dostawcę karty, które przez internet łączy się z czytnikiem USB. Kod PIN lub hasło pozyskał za pomocą keyloggera, a oprogramowanie, korzystając z dostępu do oryginalnej karty i podanego poprawnego PIN-u, wykona to, zlecone przez napastnika operacje i uwierzytelni cyberprzestępcę skradzioną w cyfrową tożsamością.

Sterownik USB stosowany przez badaczy nie został podpisany cyfrowym certyfikatem, a zatem nie może być zainstalowany w 64-bitowym systemie Windows 7 bez dodatkowych działań. W prawdziwym ataku byłby podpisany skradzionym certyfikatem albo złodzieje wykorzystaliby złośliwe oprogramowanie, które wyłączyłoby sprawdzanie podpisu cyfrowego (to potrafi na przykład TDL4) za pomocą rootkita przejmującego kontrolę podczas uruchamiania Windows.

Taki atak można przeprowadzić nie tylko w celu podpisania dokumentu, może posłużyć także do uwierzytelnienia zdalnego dostępu.

Test z belgijskim dowodem

Rascagneres razem z badaczami z malware.lu zamierza przetestować ten wariant ataku z narodowym mechanizmem uwierzytelnienia za pomocą belgijskiego elektronicznego dowodu osobistego (eID), używanego także przez niektóre banki. Belgijski dowód osobisty umożliwia opłacenie podatków online, podpisywanie dokumentów podpisem elektronicznym, składanie skarg do organów ścigania i tak dalej. Wnioski zostaną zaprezentowane na konferencji MalCon.

Metody obrony

Omawiany atak jest niewidoczny dla użytkownika. Jedyną aktywnością, jaką może on zauważyć, jest miganie diody oznaczające aktywność czytnika. Według badaczy, przed takim atakiem można się uchronić przez wykorzystywanie czytników kart inteligentnych wyposażonych w klawiaturę do wpisywania kodu PIN. Ponieważ kod PIN nie opuszcza wtedy urządzenia, nie można go wykraść za pomocą keyloggera. Ochroną może być wkładanie karty do czytnika tylko na chwilę podpisywania dokumentów, co skraca czas, w którym napastnik może przeprowadzić atak.

Zupełnie innego znaczenia nabiera ochrona przed złośliwym oprogramowaniem w systemach Microsoft Windows - do niedawna ataki omijające uwierzytelnienie kartą inteligentną były rzadkie i kosztowne. Teraz takie oprogramowanie może zostać udostępnione na podziemnym rynku, co oznacza, że każdy będzie mógł je kupić za niewielką kwotę. Ochrona antywirusowa w tym przypadku wiele nie pomoże, gdyż ataki polegające na kradzieży cyfrowej tożsamości będą wykorzystywane także w atakach klasy militarnej przeciw szczególnie chronionym systemom, a więc będą wykorzystywać narzędzia, których antywirus nie wykryje.

Złamane zabezpieczenia kart chipowych
W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200