Eduardo Melo - edumelo@ocamaleao.com.

br

Ttulo

RFID Uma viso de Segurana parte 2

Autor
Data

Eduardo Melo
24/02/2012

ENTENDENDO O FUNCIONAMENTO parte 2

Antes de sairmos falando mais sobre as e-tags, cabe um pequeno esclarecimento
adicional ao entendimento construdo sobre o campo magntico se propagando no ter (nome
bonito para dizer espao vazio). Na situao comentada na primeira parte deste artigo, onde
no tnhamos mais um ncleo ferromagntico para concentrar o fluxo magntico, o campo
magntico varivel se dispersava no ar formando uma abstrao matemtica/grfica chamada
linha de fora, lembram?

Fonte: http://blog.blankabout.com.br/?p=1338

Fig. 1 Como funciona o RFID

Pois bem, s que no somente o campo magntico que vai se propagando pelo
espao. O princpio comentado dizia que quando temos um campo magntico variando no
espao, surge um campo eltrico proporcional e ortogonal ao campo magntico (e vice-versa).
Sendo assim, o campo magntico pendurado na extremidade interrompida do ncleo
provoca o surgimento de um campo eltrico varivel.

Eduardo Melo - edumelo@ocamaleao.com.br

E o campo eltrico varivel faz surgir um campo magntico... e assim vai nossa onda
eletromagntica se propagando pelo ter (olha o nome a de novo!) como um monte de
campos Eltricos e Magnticos se cruzando e realimentando...

Fig. 2 Campo Eletromagntico

O nosso primitivo transformador acabou virando um transmissor, concordam? Este
campo eletromagntico se propagando e acaba por induzir na bobina do secundrio (ou seja: o
e-tag) uma corrente induzida que vamos utilizar no nosso dispositivo RFID.
Resolvi acrescentar mais essas linhas de tortura terica acima, s pra no ficar a ideia
de que com tanto transmissores espalhados por a estaramos imersos em um grande campo
magntico... o mais correto pensar que estamos imersos em milhes de campos
eletromagnticos. Agora sim! Ou clareou a ideia do leitor ou escureceu de vez...

OBS: Existem ainda outras etiquetas que utilizam acoplamento capacitivo, muito mais
complexo para se implementar (e de hackear tambm) e que no objeto deste artigo. Se um
dia algum se interessar, me escreva que eu tento explicar o seu funcionamento e suas
vulnerabilidades. Mas j aviso: a teoria necessria vai ser um pouco mais trabalhosa de se
entender.

Eduardo Melo - edumelo@ocamaleao.com.br

ESCUTA MAGNTICA
Bom... pra que isso tudo? Por que estudar a teoria eletromagntica de transmisso
para falar de Segurana dos dispositivos RFID?
Se formos observar nos conceitos da Segurana da Informao, perceberemos que
podemos proteger (ou roubar, se for esta a inteno) a informao no LOCAL onde ela est
armazenada ou no MEIO por onde ela circula. No caso dos RFID, um cidado mal intencionado
ou invade o chip da e-tag e os sistemas receptores (LOCAL) ou tenta se apoderar do meio por
onde a informao trafega (MEIO).
Por questes prticas e at mesmo fsicas, invadir um microchip dentro de uma
etiqueta eletrnica algo demasiadamente complexo. possvel, mas o esforo muito
grande. Por outro lado invadir os sistemas e banco de dados que receberam a transao das etags, no difere do ataque computacional tradicional.
O que diferente neste caso, e que est se tornando muito comum, a interceptao
do fluxo de informaes enquanto ela trafega entre o receptor e o transmissor. J deu pra
perceber que vamos estudar uma variao do ataque man-in-the-middle, mas usando escuta
eletromagntica... mas para isso precisamos mais um pouco de teoria... coisa leve agora.

Eduardo Melo - edumelo@ocamaleao.com.br

TIPOS DE RFID
A constituio bsica destas etiquetas eletrnicas uma bobina e um microchip. A
Bobina, pelo que estudamos, uma antena e seu papel idntico ao enrolamento secundrio
que mostrei no artigo anterior: transformar a variao do campo eletromagntico que
atravessa suas espiras (espiras=voltas de fio que formam a bobina) em corrente eltrica.
Pois bem, sabendo que uma das partes do e-tag um microchip, de se esperar que
este tenha uma fonte de alimentao eltrica para que possa desempenhar seu papel. Ento
temos basicamente 3 tipos de e-tags, conforme a fonte desta energia:

a)
RFID Passiva: A prpria corrente induzida na antena aproveitada para
alimentar o chip. A e-tag assim construda barata e duradoura, pois no tem uma
bateria interna que gasta com o tempo. Porm a energia fornecida (corrente induzida)
baixssima e vai dar um trabalho para o chip fazer o que ele precisa fazer com to
pouca energia. Mais frente vamos ver o que ele faz...
b)
RFID Ativa: Alm da antena e do microchip, acompanha uma bateria na
prpria etiqueta e o microchip fica o tempo todo emitindo sinal. Obviamente o custo
maior a durabilidade menor (a bateria acaba!), mas temos mais energia na etiqueta
para as peripcias do microchip;
c)
RFID semi-passiva: Possui bateria, porm a e-tag no fica transmitindo o sinal
todo o tempo. Ela s gasta mais energia da bateria quando a e-tag percebe que
est imersa em um campo eletromagntico com determinadas caractersticas.

Fig. 3 Exemplos de e-Tags (RFID tags)

Mas qual o papel do chip? Essa fcil: manter, receber e transmitir os dados que esto
em sua memria.

Eduardo Melo - edumelo@ocamaleao.com.br

Conforme a natureza do que eles podem fazer com os dados ainda podem se dividir
em:
a)
Write Once Read-Many: Ou seja, escreve-se uma vez (geralmente na fbrica)
e se pode ler muitas vezes. a verso mais simples da e-tag e a mais fcil de ser
copiada/clonada. quase um cdigo de barras grando. Pode ter a informao
criptografada na sua memria e negociar uma chave na hora da transmisso, mas por
seu custo e complexidade, ainda existem as etiquetas que so meros repositrios de
informao e trafegam a texto limpo os dados armazenados;
b)
Read/Write: Como nome diz, permite que se leia e escreva na memria da etag. Pode manter um nvel considervel de segurana na transao, usar criptografia e
outros mtodos para deixar o processo mais seguro.
Quem quiser pesquisar na web vai at encontrar diversos usos para o RFID tag e outras
variaes/divises, mas deixo isso pra quem quiser ir mais a fundo, j que nosso foco
tecnolgico.
Independente do tipo do RFID, o interessante para nosso estudo saber que o trnsito
da informao se d atravs do fluxo de ondas eletromagnticas entre o Receptor e o e-tag.
No tem jeito: A informao, seja ela criptografada ou em texto claro, vai passar por este
meio. E a que entra as tcnicas de interceptao que vamos abordar. Como o meio no
dedicado (o espao entre a etiqueta e a antena transmissora) relativamente fcil interceptar
a conversa entre TX e RX, memorizar o que cada um falou, levar pra casa e estudar a
preciosa informao coletada.
fato que precisaramos de um artefato tambm com uma antena. Note a semelhana
com uma placa de rede no modo promscuo usada em captura de trfego ethernet: a antena
apenas perceberia as variaes de fluxo, traduzira em informao binria e armazenaria para
posterior estudo (usando um Wireshark para eletromagnetismo! s um exemplo. No
com o Wireshark que analisamos este tipo de dado).
Tem um pessoal, que movido pela nobre causa estudantil, disponibiliza para fins
educacionais estes dispositivos sensores que funcionam como man-in-the-middle para os
RFIDs. um verdadeiro negcio da China, para quem me entende.

Fig. 4 RFID Reader

Eduardo Melo - edumelo@ocamaleao.com.br

Para escrever este artigo, conversei com um interessante pesquisador do assunto e ele
me falou que trabalha com dois modelos bsicos: Os RFID Readers que apenas l o e-tag e
grava um novo e-tag com as informaes que conseguiu ler (se tiver criptografia o processo
pode no funcionar, pois o reader no sabe a chave para iniciar a negociao). Um outro
modelo o RFID Reader KIT que aprende os dados trafegados, armazena para estudo e s
depois grava um novo e-tag que imita o campo magntico do original. Esse ltimo do
mal... e vamos saber porqu.
Vamos levar para o lado prtico: imagine um e-tag destes usados em passe-livre de
automveis. No incio eram utilizados chips do tipo Write-once-Read-many (e tem
concessionrias que ainda usam!). O funcionamento seria assim:
a)

O veculo com o e-tag no para-brisa se aproxima do pedgio;

b)
O e-tag deste exemplo do tipo passivo. Ou seja: sem o campo
eletromagntico adequado no h energia no chip da etiqueta e as informaes esto
armazenadas na memria no voltil do tag;
c)
A cabine do pedgio possui uma antena (lembra do primrio do transformador
do exemplo?) irradiando um campo eletromagntico com potncia suficiente para
atingir e-tags que entre no seu raio de ao (tipicamente 6 metros);
d)
O sinal que est constantemente sendo transmitido pela antena da cabine
carrega uma importante informao na forma de modulao: informa uma sequncia
binria que indica quais as operadoras de passe livre so aceitas naquela cabine. No
vou discutir o processo de modulao, mas imagine a variao dos campos formando
sequncia de 0 e 1 que se lidos traduzem a operadora. Um ciclo completo de todas
as operadoras demora poucos milissegundos para ser repetido;
e)
Quando o e-tag entra na rea de cobertura do campo da receptora a induo
eletromagntica faz surgir uma corrente na antena do e-tag que alimenta o microchip;
f)
O microchip passa a perceber as variaes do campo eletromagntico e faz
comparaes com a sequncia de bits em busca do cdigo que represente sua
operadora (algo como analisar a assinatura do sinal);
g)
Achada a sequncia, o microchip sabe que pode comear a transmitir seu
cdigo de identificao. Ele usa a mesma antena para passar a emitir sinais de
radiofrequncia (eletromagnticos) codificados com sua palavra digital
representando o cdigo do usurio;
h)
A antena da cabine percebe a recepo e rapidamente transfere para os
sistemas de background que faro uma consulta na base de usurios para decidir: se
houver crdito, libera a cancela, caso contrrio, acende a luz vermelha e o cidado vai
ter que desembolsar o pedgio;

OBS: Isso tudo acontece em milissegundos. Claro que uma verso bem simplificada.
6

Eduardo Melo - edumelo@ocamaleao.com.br

Agora imagine se prendermos no para-brisa do carro, fisicamente ao redor do e-tag,

um RFID Reader KIT que escuta o que a cabine transmitiu, o que o e-tag transmitiu,
armazena isso tudo em um notebook para estudarmos o comportamento das assinaturas e
palavras digitais trocadas. Se fizermos isso algumas vezes, analisando diversas situaes
(consumo sucessivo de crdito no mesmo dia, dias alternados, com crdito insuficiente, etc.)
teremos uma base de dados interessante para estudarmos e entendermos o que se passa
nessa conversa entre e-tag e cabine.
O prprio kit possui vrias ferramentas para esta anlise. Depois de concludo, basta
criar seu prprio RFID como cpia de segurana inclusive programando o microchip para um
comportamento igual ao original (o kit usa Engenharia Reversa para analisar os algoritmos e
clonar o chip). claro que no to fcil assim nos sistemas mais modernos, mas tudo
questo de tempo at que se consiga decifrar algoritmos e chaves neste processo de troca de
crditos. Ainda mais se o e-tag for read-only.

CONCLUSO
O que eu gostaria de ter compartilhado com vocs que leram este artigo que o
conceito de Segurana da Informao est presente em diversos planos da tecnologia. No
somente nos tradicionais dispositivos tipicamente de TI, como servidores, Banco de Dados,
que se faz e pensa em segurana. Tenham em mente de que onde as informaes estiverem
(em trnsito ou armazenadas), estaro as vulnerabilidades.
O profissional que conhecer profundamente certos nichos de tecnologia e aliar a isto
slidos conhecimentos de Segurana da Informao ser uma mosca branca no Mercado. E
como tal, ganhar respeito e credibilidade, no exatamente pela sua especializao, mas sim
pela sua raridade.
At Breve.

Referncias:
http://electronics.howstuffworks.com/gadgets/high-tech-gadgets/rfid.htm
http://www.wirelessbrasil.org/wirelessbr/colaboradores/sandra_santana/rfid_02.html
Sobre o autor: