Análisis De Los Riesgos Y Contramedidas En Seguridad-privacidad De La .
Seguridad en redesAnálisis de los riesgos ycontramedidas en seguridad-privacidadde la tecnología NFC en móvilesPor Javier Areitio BertolínEl Prof. Dr. Javier AreitioBertolín es Catedrático de la Facultad deIngeniería y Director delGrupo de InvestigaciónRedes y Sistemas de laUniversidad de Deusto.En el presente artículo se identificay analiza una tecnología, de enorme crecimiento, denominada NFC(Near Field Communication), desde laperspectiva de sus riesgos a la seguridad-privacidad de la información. Seanalizan los riesgos y contramedidasintrínsecos a la propia tecnología NFCy a los teléfonos móviles (sus hardware, sus sistemas operativos, susnavegadores, etc.) con los que opera.Evidentemente si no se abordan seriay profesionalmente dichos riesgosde seguridad-privacidad nos podemos encontrar con un crecimientosin precedentes de todo tipo de ataques y fraudes electrónicos utilizandovulnerabilidades de implementación,malware, bots, DoS, MITM, phishing/pharming, como es el caso del robode identidad, de la fuga de información crítica, etc. NFC posibilita elintercambio directo de datos entredispositivos a corta distancia y puedeinvocar a otras tecnologías de transmisión de datos inalámbrico comoWLAN-WiFi, Bluetooth, RFID, GPRS,HSDPA/HSPA /HSUPA, etc.IntroducciónDurante la última década latecnología de los móviles (teléfonosmóviles, smartphones, iPads, iPods,Tablets-PC, iPhones, etc.) ha crecidode forma espectacular ofreciendomuchas aplicaciones como el m-pago(pago a través del teléfono móvil),el recibir y compartir información(con smart-poster), los servicios depairing (iTunes permite almacenamiento de CDs), el descubrimientode servicios, la realidad aumentada,la identificación (pasaporte biométrico), el control de acceso, el ticketing, etc. Especialmente la tecnologíaNFC (Near Field Communication) seha hecho disponible en el mercadoofreciendo diversidad de serviciosmuy interesantes simplemente porel hecho de acercar el teléfono móvilcon funcionalidad NFC (como GoogleNexus S. de Samsung que integracomo sistema operativo Android y42otros muchos) a las proximidadesde todo tipo de entidades (objetos,personas, animales y bienes de consumo) que integran NFC. NFC es compatible con RFID sin contacto, operaa corta distancia y utiliza un bajoancho de banda. El estándar NFCtrabaja a 13,56 MHz con un rangode funcionamiento de cero a diezcentímetros (o más) y a una velocidadde transmisión de 424 Kbps (menorque Bluetooth). Incorpora diferentes modos de operación como P2P(Peer-To-Peer), PCD (Reader/writer) yPICC (Tag emulation). Actualmentees evidente que los atacantes puedenutilizar antenas y amplificadores adecuados para operar a gran distanciacontra NFC y su entorno.Riesgos ycontramedidas a latecnología NFCAlgunos de los principales riesgos y contramedidas a la propia tecnología NFC son:(1) Escuchas clandestinas (ataquea la confidencialidad, permite recuperar de forma no autorizada señales RFsin el consentimiento del propietario).Debido a que NFC es una interfaz decomunicación inalámbrica, es evidente que las escuchas clandestinasson un problema importante difícilde detectar. Cuando dos dispositivosse comunican vía NFC utilizan señales de RF para hablar entre sí. Unatacante puede utilizar una antenapara recibir las señales transmitidasincluso desde bastante distancia 10metros o más. Es importante saberen que modo opera el emisor de losdatos. Si el emisor genera su propiocampo RF (modo activo) o si el emisorutiliza el campo RF generado por otrodispositivo (modo pasivo). Amboscasos utilizan una forma diferentede transmitir los datos y es más difícilrealizar escuchas clandestinas a dispositivos que envían datos en modopasivo (pero no es suficiente paraaplicaciones que transmitan datossensibles-privados). Cuando un dis-positivo envía datos en modo activo,el escucha clandestino puede actuar a10 metros o más, en cambio cuandoel dispositivo emisor opera en modopasivo la distancia de escucha clandestina se reduce por ejemplo a unmetro. Dos posibles contramedidasson el cifrado robusto de bajo pesocomputacional y establecer canalesseguros.(2) Perturbar-corromper datos(ataque a la disponibilidad, consisteen utilizar RFID jamming para causardenegación de servicios o DoS a launidad lectora). El atacante en vezde escuchar, puede modificar arbitrariamente los datos que se transmitenvía el interfaz NFC. En el caso mássimple el atacante sólo perturba lacomunicación de modo que el receptor no pueda entender los datosenviados por el otro dispositivo. Lacorrupción de datos puede realizarsetransmitiendo frecuencias válidas delespectro de datos en instantes detiempo adecuados, es similar a unainhibición de radiofrecuencia. Unaposible contramedida para detectareste ataque consiste en comprobarel campo RF mientras un dispositivo transmite. La potencia necesariapara el ataque es significativamentemayor que la potencia que puedeser detectada por el dispositivo NFC.El DoS puede hacerse por jammingRF, bloqueando la etiqueta NFC oatacando las aplicaciones.(3) Modificar los datos (ataque ala integridad). El atacante desea queel dispositivo receptor reciba datosmanipulados. Algunas codificaciones facilitan el proceso al atacantecomo por ejemplo Manchester conASK y otras un poco menos comoMiller modificada con ASK. Posiblescontramedidas son el hash, la firmadigital de los datos es decir aplicarmecanismos de integridad y trabajarcon canales seguros. El CRC (CyclicRedundancy Check) utilizado para detectar errores es un mecanismo linealmuy vulnerable, por tanto es mejorutilizar una función criptográfica hash(como SHA512).REE Noviembre 2011
Seguridad en redes(4) Inserción de datos (ataquea la integridad). El atacante insertamensajes en el intercambio de datosentre dos dispositivos. Lo mejor esque los datos insertados se transmitan antes de que el dispositivoreceptor responda. Si ambos flujosde datos se solapan los datos decorromperán. Como posibles contramedidas: (i) El dispositivo NFCREE Noviembre 2011que responde debe responder sinretardo. En este caso el atacanteno puede ser más rápido que eldispositivo NFC correcto. El atacantepuede ser tan rápido que el dispositivo correcto, pero si dos dispositivos responden a la vez, los datosrecibidos no serán correctos. (ii) Eldispositivo NFC que responde debeescuchar el canal durante el tiempoque esta abierto y en el punto dearranque de la transmisión. El dispositivo puede entonces detectar unatacante que desea insertar datos.Para detectar y parar el envío dedatos los dispositivos NFC debencomprobar el campo RF mientrasemiten. (iii) Establecer un canal seguro entre los dos dispositivos NFCcon criptografía asimétrica. Utilizar43
Seguridad en redesfunciones hash o la firma digital delos datos es decir aplicar mecanismos de integridad.(5) Ataque MITM (Man-InThe-Middle) (ataque a la integridad, permite recuperar la señaldel emisor y enviar la respuestaal receptor). Entre el emisor y receptor autorizados se intercala el44atacante para suplantar a ambosinterlocutores. En este caso, el atacante tiene que alinear el campoRF tanto con el emisor como con elreceptor. Se recomienda utilizar elmodo de comunicación activa-pasiva de forma que el campo RF segenere continuamente por una delas partes válidas. Adicionalmente,la parte activa debería escuchar elcampo RF mientras envía los datospara poder detectar cualquier perturbación causada por un posibleatacante. Posibles contramedidasson establecer un canal autenticadocon funciones hash o firma digitalde los datos es decir aplicar mecanismos de integridad.REE Noviembre 2011
Seguridad en redesAtaques ycontramedidas a losmóviles con NFCAlgunos de los principales ataques y contramedidas a los dispositivos/teléfonos móviles que soportanla funcionalidad NFC son:(1) Manipulación física del dis-REE Noviembre 2011positivo. Se puede robar-eliminar laetiqueta NFC interna o envolver elmóvil en un envoltorio metálico (Cajade Faraday) para apantallar la señalRF electromagnética.(2) Malware. Consiste en inyectarvirus, gusanos, troyanos, spyware, etc.Un móvil infectado podrá fugar información privada, ralentizarse, dejarde funcionar, perder el control de sudueño debido a ataques DoS/DDoS,violar DNS y conseguir pharming/phishing, desprotegiendo, si cabe más, latecnología NFC (que se ha gestado sinningún mecanismo de protección).(3) Atacar la privacidad. Si seguarda información sensible en unaetiqueta NFC es importante prevenir45
Seguridad en redesla lectura no autorizada y el accesode escritura. Las etiquetas de sólolectura son seguras contra el accesode escritura no autorizado. En el casode etiquetas re-escribibles se deberánimplantar mecanismos robustos deprotección.46(4) Ataques de spoofing con elURI del navegador Web. Existe la posibilidad de que la victima sea engañada por ingeniería social y se meta aun sitio Web malicioso, en este casopuede sufrir diferentes ataques. Elmás interesante es un ataque MITM(Man-In-The-Middle) utilizando unproxy basado en Web. En esta casoel atacante puede robarle las credenciales o inyectar contenido malicioso(virus, gusanos, troyanos, etc.). Losataques como este operan muy bienya que el dispositivo no visualiza laREE Noviembre 2011
Seguridad en redesURL del sitio Web visualizado, estecomportamiento es común entre losnavegadores Web de los teléfonosmóviles. Supongamos que los datosoriginales de una etiqueta NFC legaldesplegada por un proveedor de servicio en un Smart Poster es: {Title:Banco ZZZZ ; URL: https://www.bancozzzz.es}. Una versión falsificada-REE Noviembre 2011maliciosa de la misma etiqueta delSmart Poster es: {Title: Banco ZZZZ\rhttps://www.bancozzzz.es\r\r\r\r\r.; URL: https://www.atacante.net}.Ambos Smart Poster muestran información correcta al ser visualizadospor el navegador del teléfono móvil,ya que en el segundo no se leerá laURL maliciosa.(5) Ataques de spoofing al servicio de telefonía móvil. La posibilidadde falsificar el Smart Poster permiteataques contra el subsistema de telefonía móvil utilizando URIs tel y sms.Un atacante puede fabricar un SmartPoster que visualice un número deteléfono A al usuario pero cuando seactive, el teléfono marque un número47
Seguridad en redesde teléfono distinto B. Por ejemplosea el Smart Poster autorizado original: {Title: Información de hoteles;URL: tel:944200000} y alguien locambia por una versión maliciosa delmismo Poster, por ejemplo: {Title:Información de hoteles\r944200000\r\r\r\r\r\r\r. ; URL: tel:80300000}. Un48usuario no puede distinguir un posterdel otro. El mismo ataque tambiénes posible con SMS (Short MessageService) y MMS. El impacto posible dedicho ataque de spoofing es elevadoya que la víctima puede ser engañadapara que llame o envíe un SMS/MMSa un número de tarificación premium/especial (de prefijo 803, 806, 807,905) del atacante con lo cual el atacante ganará. Aunque los móviles NFCofrecen la posibilidad de inspeccionartodo el contenido de un Smart Posterno es probable que los usuarios verifiquen los datos visualizados en ellos.El atacante incluso puede manipularREE Noviembre 2011
Seguridad en redesla pantalla de inspección, por ejemplomoviendo la URI actual a una segundapágina de la pantalla de inspección.Esto se hace añadiendo muchos caracteres de nueva línea (\r) y un puntoal final del Smart Poster.(6) Ataque por elevación de privilegios. Se consigue atacando lasaplicaciones, por ejemplo con bufferoverflow.REE Noviembre 2011(7) Ataque por retransmisión(relay/replay). En este tipo de ataque, el tiempo del ataque debe sermenor que el tiempo de respuestanormal (restricción temporal). Comocontramedidas utilizar criptografíaasimétrica y nonces de frescura paradetectar duplicados.(8) Ataque por phishing/pharming.(9) Ataques de skimming/clonación y spoofing. Clonar etiquetasNFC/RFID para falsificar el identificador único.(10) Ataque por fuerza bruta.En general algunas contramedidas posibles son: (i) No utilizarservicios basados en identificación.(ii) Incluir un botón físico para NFC49
Seguridad en redes(que permita apagar o encenderpor hardware, no por software).(iii) Utilizar autenticación mutua.Amenazas a laprivacidad NFC.Mecanismosrequisitos deprotecciónAlgunas de las amenazas másrelevantes a la privacidad NFCson:(1) A la localización. Los usuarios que transportan un dispositivoNFC pueden ser monitorizados y sus50localizaciones pueden ser reveladas.También la localización del propiodispositivo NFC independientemente que quien lo lleve puede ser revelado con acceso no autorizado.(2) A las preferencias. El dispositivo móvil puede identificarsede forma única si el mecanismo deacceso adecuado no se encuentraembebido en el dispositivo. Dichainformación puede revelar las preferencias del dispositivo del usuarioque las hacen disponibles a adversarios de la competencia.(3) A la constelación. NFC sebasa en tecnología RFID que formauna constelación única alrededordel usuario. Los adversarios puedenconseguir trazabilidad sin conocernecesariamente sus identidades.(4) A las transacciones. La información de la transacción delusuario puede utilizarse para recoger su localización y preferenciastemporales. Así mismo pueden serrevelados varios datos financierossi las transacciones no se protegenadecuadamente con protocolos deseguridad de red adecuados bienimplementados.(5) A la suplantación. Las entidades no autorizadas en mobile-ticketing pueden provocar esteataque falsificando la identidaddel usuario. Los protocolos subyacentes pueden fallar a la horade prevenir ataques como MITMy de retransmisión en el sistema ydichos ataques pueden conducir ala suplantación.(6) A la trazabilidad. Este ataque puede realizarse para adquiririnformación sensible del usuariocomo localización, comportamiento y preferencias del usuario.Cuando se utiliza un mecanismo deautenticación, el token/tarjeta NFCpuede ser identificado permitiendoa los atacantes trazar los movimientos del usuario. Si el usuario utilizaun método de pago para comprartickets online, el expendedor puedeutilizar el link al token para identificar información privada del usuario.Así mismo la escucha clandestina dela comunicación inalámbrica puedeconducir a una pérdida completa dela privacidad del usuario.Teniendo en cuenta lo anteriorlos principales requisitos-mecanismos de privacidad son: Anonimato. No debería serposible la identificación de unaetiqueta/token NFC. Privacidad de la localización.No debería ser posible la trazabilidad (tracking/tracing) no autorizada de la localización y movimientosde usuario. Trazabilidad. No debería permitirse el acceso al estado actualdel token/dispositivo NFC trazandolas ejecuciones previa y futura delprotocolo. Confidencialidad. No debepermitirse acceso no autorizadoa datos sensibles y personales delusuario.REE Noviembre 2011
Seguridad en redes Autenticación. No se deberíapermitir que usuarios no autorizados utilicen o accedan al sistema.Sólo las etiquetas/token NFC válidasde usuario deberían ser aceptadaspor el verificador. No falsificación. No deberíapermitirse la emulación y clonaciónde etiquetas/dispositivos/token NFCválidas. R e s p o n s a b i l i d a d . P r o p o rcionar a los usuarios un entornocontabilizado donde los contratospuedan negociarse y los usuariospuedan elegir entre datos privadosy públicos. Percepción y control del usuario. Proporcionar a los usuarios uncontrol completo sobre sus datosprivados. Permitirles decidir quéinformación debería ir a sistemas yaplicaciones contratadas. Facilidad de uso. Proporcionar a los usuarios una interfaz deusuario y funciones para gestionarfácilmente los datos personales. Nosaturar al usuario con mecanismosagobiantes. Flexibilidad y apertura. Proporcionar a los usuarios un controlflexible para gestionar su información personal. Así mismo proporcionar a los usuarios la capacidadde elección de selección de agenteso software desarrollado por compañías de gestión de privacidad deterceras partes.Algunas contramedidas adicionales son la:(a) Privacidad de etiqueta/dispositivo NFC. Los dispositivos NFCpueden estar cargados con PIN cifrado y contraseñas. Consecuentemente cuando un usuario registrasu dispositivo con el operador deservicios, el PIN se intercambiaráentre el dispositivo de usuario y eloperador del servicio. La lectora detarjeta entonces detecta de formaúnica cuando se muestra para verificar el ticket móvil. Este mecanismo también es posible utilizandopseudónimos donde el dispositivoNFC puede contener un conjuntode pseudónimos y los va rotandoa lo largo del tiempo. La lectorade tarjetas debe sincronizarse conel dispositivo NFC para identificarde forma única y verificar el ticket.Terceras partes pueden desarrollar“guardianes de dispositivo NFC”REE Noviembre 2011para proteger los dispositivos NFCde fugas de privacidad y los usuarios podrán seleccionar de un conjunto de servicios. Así mismo elmodo sleep para dispositivos NFCmejora la privacidad ya que los dispositivos NFC permanecen en modosleep y sólo las lectoras de tarjetasválidas podrán despertarlos.(b) Privacidad configurada porel usuario. P3P es un estándar definido por el Consorcio W3C quepermite que los usuarios definansus propias configuraciones de privacidad utilizando una interfaz deusuario normalmente en un formulario tipo caja de elección o matriz.P3P genera un formato leíble por lamáquina de configuración de privacidad de usuario para proteger losdatos personales del usuario. Losservicios NFC como m-ticket pueden implementar dicha interfaz yproporcionarla al usuario mientrasse registra en el servicio. Otra posibilidad es permitir que los usuariosintegren las configuraciones deprivacidad a partir de proveedoresde interfaz P3P de terceras partesde confianza consiguiendo que lasconfiguraciones de privacidad seanmás genéricas y fáciles de utilizar.Consideracionesfi nalesNuestro grupo de investigaciónlleva trabajado más de diez añosen el área de la protección de latecnología NFC en sí y la de móvilesque la soportan. Se han evaluandolas amenazas, vulnerabilidades yriesgos permitiendo conocer másen profundidad el campo de aplicaciones maliciosos y el despliegue demecanismos y contramedidas asociadas. Los teléfonos móviles se hanconvertido en dispositivos móvilespersonales sumamente importantes.En el 2009 el parque de teléfonosmóviles a nivel mundial era de unosde 4,1 billones de los cuales un 5%eran teléfonos móviles inteligentes(smartphones), según previsionesde Juniper Research (http://juniperresearch.com/) para el 2013 losteléfonos móviles inteligentes contabilizarán un 23% de todos losnuevos teléfonos móviles, por suparte la previsión de Gartner (http://www.gartner.com/it/) para el 2012es más prometedora ya que indicaque se llegará al 37%. Este escenario sugiere un futuro donde muchosusuarios podrán beneficiarse de susnuevas capacidades que ofrecen losteléfonos móviles como NFC (RF) ycódigos QR (ópticos).Este artículo se enmarca en las actividades desarrolladas dentro deLEFIS-Thematic Network.BibliografiaAreitio, J. “Seguridad de la Información: Redes, Informática ySistemas de Información”. Cengage Learning-Paraninfo. 2011.Areitio, J. “Identificación yanálisis del anonimato en comunicaciones electrónicas”. RevistaEspañola de Electrónica. Nº 627.Febrero 2007.Areitio, J. “Identificación yanálisis de la tecnología de detección y prevención de intrusiones”.Revista Española de Electrónica. Nº615. Febrero 2006.Areitio, J. “Identificación yanálisis del control de acceso parala seguridad TIC”. Revista Españolade Electrónica. Nº 591. Febrero2004.Ahson, S.A. and Ilyas, M. “NearField Communications Handbook”.Auerbach Publications. 2011.Finkenzeller, K. “RFID Handbook: Fundamentals and Applications in Contactless Smart Cards.Radio Frequency Identification andNear-Field Communication”. Wiley.2010.Lauger, J. “2009 First International Workshop on Near FieldCommunication”. IEEE. 2009.Kiayias, A. and Pehlivanoglu,S. “Encryption Mechanisms DigitalContent Distribution”. Springer.2010.NFC Forum: http://www.nfcforum.org/ETSI: http://www.etsi.org/ECMA: http://www.ecma-international.org/ISO: http://www.iso.org/Vacca, J.R. “Network and System Security”. Syngress. 2010.Fry, C. and Nystrom, M. “Security Monitoring”. O Reilly Media,Inc. 2009.Buchanan, W.J. “The Handbook of Data and Network Security”.Springer. 2009.51
Grupo de Investigación Redes y Sistemas de la Universidad de Deusto. En el presente artículo se identifica y analiza una tecnología, de enor-me crecimiento, denominada NFC (Near Field Communication), desde la perspectiva de sus riesgos a la seguri-dad-privacidad de la información. Se analizan los riesgos y contramedidas
5.1. prevencion de riesgos biomecanicos por manipulacion manual de cargas 30 5.2. prevencion de riesgos quimicos 30 5.3. prevencion de riesgos biologicos 31 5.4. prevencion de riesgos auditivos 32 5.5. prevencion de riesgos ergonomicos 33 5.6. vigilancia mÉdica del empleado 34 capÍtulo 6 ejecuciÓn del plan de
Las ART tienen como obligación: Brindar todas las prestaciones que fija la ley, tanto preventivas como dinera- rias y de salud. Evaluar la verosimilitud de los riesgos que declare el empleador. Brindar capacitación a los trabajadores en técnicas de prevención de riesgos Promover la integración de comisiones paritarias de riesgos del trabajo y co-
Mapa de Riesgos, y de un esquema de atención, así como su seguimiento respectivo. El desarrollo de esta Guía Breve se ha nutrido de diversos modelos de evaluación de riesgos, pero principalmente de la Guía de Autoevaluación de Riesgos en el Sector Público elaborada por la Auditoría Superior de
1. Identifique los elementos de riesgo generados por el uso de dispositivos personales en el trabajo Ì Determine cómo pueden afectar los riesgos al negocio Ì Si es necesario, vincule los elementos de riesgo a las normativas correspondientes 2. Cree un comité de adopción de dispositivos personales en el trabajo y evaluación de los riesgos, que
de que se la busque y de que se la ame, no es la del cuer po, sino esa belleza del alma, cuyo culto ennoblece á la vez al amante y al amado. Sócrates se dirige en seguida á Menexenes, el compa ñero favorito de Lisis, y le suplica, puesto que tiene la fortuna de experimentar y hacer que otro experimente el
de seguridad industrial o empresarial, y en otras ha evolucionado un poco más allá hasta el tratamiento integral de los riesgos. Sin embargo, el día a día de la actividad en que se encuentra cada entidad no aseguradora, muchas veces es causa de que los Gerentes de Riesgos o quienes se dediquen a ejercer esta función se limiten a
Evaluación de riesgos y análisis de seguridad laboral Hay muchas definiciones de “riesgos", pero la definición más común cuando se habla de salud y seguridad en el lugar de trabajo es: "Un riesgo o peligro es cualquier fuente de daño potencial, daño o efectos
NuClear News No. 42 July 2012 2 projects director Jeremy Western says there are still three areas where the government needs to do more work: creating a “tangible counterparty” to sign contract for difference feed in tariffs (CFD Fits); ensuring the transitional agreements are legally robust and ensuring EMR reaches Royal Assent in spring .
