2. 2
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
whoami
Aladdin Gurbanov
• Si como en los cuentos!
• Si el de la lámpara mágica
– Threat Researcher and Analyst
– Actualmente
• Malware Researcher and Analyst en InnoTec System
3. 3
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Con que temario os cansare
Tipos de las tarjetas
– Tipos de almacenamiento
Dispositivos de lectura y escritura
Tipo de dato que se almacena
BlaBla Demo
Servicios que utilizan este tipo de autenticación
Posibles vectores de ataques y sus defensas
4. 4
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Tarjetas
SmartCards (CHIP)
– Puede ser
• De memoria
• De procesador
– Puede almacenar datos como
• Datos personales
• Balance
• etc.
– Almacenan datos de 1k hasta 32k
– Bandas magnéticas (con tacto)
5. 5
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Tarjetas
SmartCards (CHIP)
Interfaz
Serial I/O
EEPROM
Security Logic RAM
CPU
ROM
Test logic
Comunica con
el exterior
Realiza test sobre si
mismo
SO
Rutinas de testeo
De 16k a 64k
Esclavo del
procesador de
512bytes a 1k
Código PIN, balance,
etc. De 8k a 32k
6. 6
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Tarjetas
RFID – Radio Frequency Identification
– No necesita contacto
– Almacena datos de hasta 96 bits en un chip
compuestos por
• Cabecera – 8 bits
• Descriptor de fabricante (EPC) – 34bits
• Descriptor de la clase – 20 bits
• Numero de serie – 34 bits
Ejemplo
01 0123456 789ABC DEF123456
Cabecera Descriptor del fabricante Descriptor de la clase Numero de serie
7. 7
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Tarjetas
Bandas magnéticas
– Necesita contacto
– Una banda magnética almacena todos los datos
• Los almacena en 3 líneas (tracks)
– ISO 7813 para el track 2 y track 1
– ISO 4909 para el track 3
• Las hay de baja y alta coercividad (densidad del material
ferromagnético)
– Lo-co – corta duración (tarjetas de regalo, promociones, etc.)
– Hi-co – larga duración (abonos, seguridad, banca, etc.)
– Requiere fuerzas magnéticas diferentes para escribir o leer
8. 8
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Dispositivos
MSR206, MSR605, MSR605
MiniDX3
– Memoria para mas de 2000 de registros
10. 10
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Datos
Bandas magnéticas
– Track 1 (hasta 79 caracteres)
• Empieza por el carácter “%” y acaba con “?”
• El caracter “^” sirve como separador
• Primer caracter seria el identificador de formato
– A – Reservado para el uso exclusivo del emisor
– B – Banca/Uso financiero
– C-M – Reservado para el uso de subcomité de ANSI
– N-Z – Reservado para las emisoras de uso de tarjetas
individuales
11. 11
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Datos
Bandas magnéticas
– Track 1
• Seguidos serian hasta 19 dígitos de Primary Account
Number (PAN) (ISO 7812)
– Numero de identificación del emisor. Hasta 6 caracteres
– Identificador individual de la cuenta. Hasta 12 caracteres
– Digito de control. 1 caracter
» Se basa en la formula de Luhn
• http://es.wikipedia.org/wiki/Algoritmo_de_Luhn
• Código del país. 3 caracteres
• Nombre. De 2 a 26 caracteres
– “/” separador para apellido
12. 12
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Datos
Bandas magnéticas
– Track 1
• Fecha de expiración en formato YYMM. 4 dígitos
• Código de servicio. 3 dígitos
– Intercambio y tecnología
– Proceso de autorización
– Requerimiento de PIN y rango de servicios
1er digito (Intercambio y tecnología)
1: Aceptar Intercambio Internacional
2: Intercambio Internacional, utilice IC (chip) cuando sea posible
5: Intercambio Nacional sólo excepto bajo acuerdo bilateral
6: Intercambio Nacional sólo excepto bajo acuerdo bilateral, utilice IC (chip) cuando sea posible
7: Intercambio no permitido excepto bajo acuerdo bilateral
9: Test
13. 13
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Datos
Bandas magnéticas
– Track 1
2do digito (proceso de autorización)
0: Normal
2: Contacto con el emisor a través de medios en línea
4: Contacto con el emisor a través de medios en línea, excepto bajo acuerdo bilateral
3er digito (Requerimiento de PIN y rango de servicios)
0: No hay restricciones, PIN necesario
1: No hay restricciones
2: Sólo los bienes y servicios (sin efectivo)
3: Cajero automático solamente, PIN necesario
4: Sólo en efectivo
5: Sólo los bienes y servicios (sin efectivo), PIN requerido
6: No hay restricciones, utilizan PIN cuando sea posible
7: Sólo los bienes y servicios (sin efectivo), utilice PIN cuando sea posible
14. 14
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Datos
Bandas magnéticas
– Track 1
• Los últimos valores podrían ser uno de los siguientes:
• PVV (PIN Verification Value) 4 caracteres
• PVKI (Pin Verification Key Indicator) 1 caracter
• CVV o CVC (Card Verification Value o Card Verification
Code) 3 caracteres
• Y como ya dijimos cerramos con el carácter “?”
15. 15
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Datos
Bandas magnéticas
– Track 1
• Los últimos valores podrían ser uno de los siguientes:
• PVV (PIN Verification Value) 4 caracteres
• PVKI (Pin Verification Key Indicator) 1 caracter
• CVV o CVC (Card Verification Value o Card Verification
Code) 3 caracteres
• Y como ya dijimos cerramos con el carácter “?”
16. 16
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Datos
Bandas magnéticas
– Track 2 (hasta 40 caracteres)
• Empieza por el carácter “;” y acaba por el carácter “?”
• Continua con el numero PAN. Hasta 19 caracteres
• Separador “=“
• Fecha de expiración, formato YYMM
• Código de servicio
• Los últimos podrían ser uno de:
– PVV, PVKI, CVC, CVV
17. 17
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Datos
Bandas magnéticas
– Track 2 (hasta 40 caracteres)
• Empieza por el carácter “;” y acaba por el carácter “?”
• Continua con el numero PAN. Hasta 19 caracteres
• Separador “=“
• Fecha de expiración, formato YYMM
• Código de servicio
• Los últimos podrían ser uno de:
– PVV, PVKI, CVC, CVV
18. 18
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Datos
Bandas magnéticas
– Track 3 (hasta 107 caracteres)
• Empieza por el carácter “;” y acaba por el carácter “?”
• Código del formato
– 00 – No valido para intercambio internacional
– 01-02 – Banca/Uso financiero
– 03-19 – Reservado para el uso de ISO/TC 68
– 20-89 – Reservado para el uso de ISO/TC 95 SC 17
– 90-99 – Reservado para las emisoras de uso de tarjetas
individuales, pero no para intercambios internacionales
• Continua con el numero PAN. Hasta 19 caracteres
• Separador “=“
19. 19
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Datos
Bandas magnéticas
– Track 3 (hasta 107 caracteres)
• Código del país
• Código de la moneda
• Cantidad permitida por ciclo
• Cantidad restante después del ciclo
• Fecha de inicio del ciclo
• Longitud del ciclo (mes, semana, etc.)
• Cantidad de intentos fallidos por el PIN así como sus
parámetros
• Control de intercambio
20. 20
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Datos
Bandas magnéticas
– Track 3 (hasta 107 caracteres)
• Restricciones para el servicio PAN
– Tipo de cuenta (crédito, cuenta corriente, etc.)
– Restricciones del servicio (no efectivo, no POS, requiere
autorización, etc.)
• Restricciones del servicio
• Fecha de caducidad YYMM
• Numero de secuencia de la tarjeta
• Separador “=“
21. 21
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Datos
Bandas magnéticas
– Track 3 (hasta 107 caracteres)
• Caracteres de control del contenido
• Datos adicionales como: fecha de la ultima transacción,
datos adicionales de verificación, etc.
24. 24
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Datos
Bandas magnéticas
– PAN (Primary Account Number)
5123 1234 1234 1234
Identificador del sistema (industria)
Identificador del emisor (banco)
Numero de cuenta Digito de control
0 – Reservado para ISO/TC 68
1 – Aerolíneas
2 – Aerolíneas y otras asignaciones futuras
3 – Viaje, Ocio y campo de banca y financiero
4 – Bancos y campo financiero
5 – Bancos y campo financiero
59 – Financieras no registradas por la ISO
6 – Mercantil y campo de banca y financiero
7 – Petróleo
8 – Salud y telecomunicaciones
89 – Telecomunicaciones y agencias privadas
9 – Uso nacional
25. 25
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Datos
Bandas magnéticas
– Bin codes - http://en.wikipedia.org/wiki/List_of_Issuer_Identification_Numbers
• bindb
– Google -> bla bla bla
27. 27
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Servicios y uso
Servicios que utilizan este tipo de autenticación
– Comercio, así como comercio electrónico
– Banca
– Transporte
– Salud
– Comunicaciones
– Gobierno
– Oficinas
– Ocio
– Educación
28. 28
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Vectores
Posibles vectores?
– SOLO IMAGINACION!!!
Posibles defensas?
– Concienciación al usuario
– Mas implicación de las entidades emisoras