Black Hat Europa 1 day briefings (II)

Continuando con la crónica de la BH Europa, un magistral Christopher Tarnovsky vino a presentarnos Hacking Smartcards, un trabajo de más de seis meses que ha comenzado a dar sus frutos durante este último mes y que ha expuesto en exclusiva para la Black Hat.

Para que todos nos hagamos una idea sobre que ha versado su trabajo o su impacto, comentar que en nuestra vida diaria vivimos con Smartcarts: monederos electrónicos, gestiones bancarias, soporte para albergar el certificado del DNI-e. Una Smartcard era uno de los dispositivos más seguros y donde fabricantes de tarjetas y entidades bancarias depositaban su confianza. Pues bien, este “monstruo” pensó lo que es obvio, en algún punto de la circuitería interna del chip existe un bus de datos donde la información viaja en claro antes de pasar al módulo de cifrado. Esta frase, que resulta muy fácil decir, es una tarea faraónica dado los millones y millones de transistores, puertas lógicas y buses que puede tener el integrado.

En el mundo existen prácticamente 3 fabricantes de estos tipos de tarjetas que implementan una unidad de proceso 6805 (ST), 8051 (NXP) o AVR (ATMEL). Su estudio ha sido orientado al fabricante INFINEON, aunque como él comentaba el ataque puede ser extendido a otros modelos. Las fases que ha seguido Christopher para llevar a cabo el Hack son:

  • Decapsular el integrado, eliminando la primera capa de sustrato del dispositivo mediante acetonas o acido nítrico.
  • Examinación inicial. El chip contiene 4 capas en forma de malla donde el conexionado viaja en todas direcciones, es decir, entre capas también.
  • Tener claro el reto: encontrar el bus indicado.
  • Comenzar el recovery. En la primera capa nos encontramos con un mallado muy denso donde tan solo se pueden identificar los contactos de GND, CLK, DATOS, etc.:

Al eliminar la segunda capa, tirando de microscopio electrónico, nos encontramos con “algo” que empieza a tomar forma:

A la vista de un mortal, lo único que se puede observar es una amalgama de cables y módulos sin ningún sentido aparente. Christopher Tarnovsky ha conseguido identificar la funcionalidad de cada una de las zonas y sobretodo la más interesante, la CPU, donde reside el módulo de cifrado. De esta manera y tras 6 meses de trabajo el ansiado bus de datos es el que se muestra en la siguiente foto coloreado en rojo:

Pues bien, pinchando tan solo dos cables a ese bus, más finos que un pelo (recordar que estamos en el orden de los micrómetros) es posible obtener las instrucciones que se van ejecutando en el procesador. Pero, y ¿donde está el Hack?, preguntó un espectador. Pues bien el Hack para él era evidente: la información que por ahí viaje será dependiente de la aplicación programada en el integrado. Me quito el sombrero ante un autentico trabajo de “chinos” realizado totalmente a mano sin la ayuda de robots o máquinas de precisión.

Comments

  1. Francisco Benet says

    Superior. El Hack, el post y la madre que lo hizo a este pedazo de curro.

  2. Si este tio es un monstruo,pero… ¿que opina su mujer de todo esto?

  3. Maite Moreno says

    Pero…. tiene mujer???….juas….ese trabajo requiere 6 meses pero 6 meses de muuuuuuuchas horas…..pero bueno, el tio tiene experiencia en ésto…y si no échadle un vistazo a su blog….. http://www.flylogic.net/blog/ , no tiene desperdicio.

Trackbacks