Gelişen teknolojiyle birlikte fiziksel güvenlik sistemleri giderek karmaşıklaşsa da, günlük hayatımızda hala yıllar öncesinin teknolojisine dayanan birçok sistem aktif olarak kullanılmaya devam ediyor. Özellikle düşük frekanslı (LF) RFID sistemleri, sağladıkları maliyet avantajı ve kullanım kolaylığı nedeniyle yaygınlığını korurken, barındırdıkları temel güvenlik zafiyetleriyle de dikkat çekiyor. Bu blogda, siber güvenlik araştırmacılarının ve sızma testi uzmanlarının endüstri standartlarındaki donanımlarından biri olan Proxmark3 cihazını kullanarak LF RFID sistemlerinin çalışma mantığını, kart analizini ve klonlama süreçlerini teknik bir bakış açısıyla inceleyeceğiz.
Düşük frekanslı RFID sistemleri genellikle eski tip apartman kapılarında, ofis girişlerinde veya hayvan takip çiplerinde karşımıza çıkar. Standart kartlar için genellikle 125kHz –134kHz frekans aralığında çalışan bu sistemlerin okuma menzili yaklaşık 0-10 cm arasındadır. Güvenlik açısından bakıldığında, çoğu LF kartın herhangi bir şifreleme mekanizması bulunmaz; kartlar sadece içerdikleri seri numarasını okuyucuya iletir ve okuyucu bu numarayı tanırsa erişim izni verir.
Bu makalede yer alan bilgiler, donanım kullanımları ve klonlama teknikleri tamamen eğitim, güvenlik araştırmaları ve yetkilendirilmiş sızma testleri amacıyla paylaşılmıştır. Bu yöntemlerin, size ait olmayan veya test etmek için açık/yazılı yetkiniz bulunmayan sistemler (apartmanlar, ofisler, otoparklar vb.) üzerinde kullanılması yasa dışıdır ve cezai yaptırımlara tabidir. Lütfen öğrendiklerinizi yalnızca etik sınırlar çerçevesinde ve kendi sistemlerinizin güvenliğini artırmak için kullanın.
Terminoloji
lf -> low frequency
UID-> Unique Identifier
Kartı Tanımlama
Elinizdeki kartın veya anahtarlığın hangi teknolojiye sahip olduğunu bilmiyorsanız, Proxmark’ın temel komutlarından biri olan lf search kullanırız. Bu komutu çalıştırdığınızda Proxmark, hafızasındaki tüm bilinen düşük frekanslı protokolleri (EM410x, HID Prox, Indala, AWID vb.) sırayla deneyerek kapsamlı bir tarama yapar. Tarama sonucunda bir eşleşme bulunursa, cihaz size sadece kartın tipini,kartın çip modelini, onaltılık (hexadecimal) tabandaki benzersiz kimlik numarasını (UID/ID) ve HID gibi formatlarda “Facility Code” gibi kritik ek verileri de detaylı bir şekilde terminal ekranına yansıtır.
Protokol ve Ham ID Tespiti
lf search komutunun ilk ve en temel işlevi, okutulan kartın iletişim protokolünü ve kimlik numarasını belirlemektir. Görseldeki [+] EM 410x ID 4B0077255C satırında da net bir şekilde görüldüğü üzere, Proxmark öncelikle karşısındaki kartın en yaygın LF türlerinden biri olan EM410x protokolünü kullandığını tespit ediyor. Hemen ardından, kartın en temel bilgisi olan onaltılık UID değerini okuyarak ekrana yansıtıyor. Bu ham ID değeri, ilerleyen aşamalarda kartı kopyalamak veya geçiş kontrol sistemindeki yetkilerini analiz etmek için elimizdeki en kritik veriyi oluşturur.
lf tune ile Volt Tespiti
lf tune (veya güncel yazılımlardaki adıyla hw tune), antenin ürettiği voltajı canlı olarak gösteren bir donanım testi komutudur. Temel amacı, kopyalama işlemine geçmeden önce kartı anten üzerinde hafifçe hareket ettirerek voltajın en çok düştüğü noktayı bulmak ve bu sayede veri yazma işleminin kesintisiz, sıfır hata ile gerçekleşmesini sağlamaktır.30V-60V ideal kabul edilmektedir.Görselde görüldüğü üzere işlem yapılan kartın voltu idealdir.
Kartın Klonlanması
Klonlama işleminin temeli, fabrikasyon kilitli (salt okunur) orijinal bir kartın kimliğini alıp, yeniden yazılabilir özel bir çipe aktarmaya dayanır. Düşük frekans’ta bu işin için uygun olan T5577 çipleridir. Orijinal karttan kopyaladığınız ID’yi Proxmark ile bu boş çipe yazdırdığınızda, kartınız UID’sini klonladığınız kart gibi davranır. Kapıdaki okuyucu turnike, bu klonu taradığında aradaki farkı anlamayacak ve asıl kartmış gibi geçişe onay verecektir.
Klonlama komutunu çalıştırdıktan sonra, işlemin gerçekten başarılı olup olmadığını teyit etmek için yeni yazdığınız T5577 kartı antenin üzerinde tutmaya devam ederek tekrar lf search (veya görselin en üstünde yer alan lf em 410x reader gibi daha spesifik bir okuma) komutunu çalıştırın. Eğer terminal ekranı, tıpkı orijinal kartı okuttuğunuzdaki gibi [+] EM 410x ID 4B0077255C şeklinde birebir aynı kimlik numarasını karşınıza çıkarıyorsa, klonlama işleminiz hatasız ve başarılı bir şekilde tamamlanmış demektir. Artık elinizdeki bu yeni kopya, hedef sistemlerde orijinal kart ile tamamen aynı yetkilere sahip olacaktır.
Kapanış: Düşük Frekansın Ötesine Geçerken
Proxmark 3 RDV4 ile düşük frekanslı RFID dünyasına giriş yaptık. Temel lf search komutuyla başlayan kimlik tespiti sürecinden, lf tune ile donanım optimizasyonuna ve sonrasında T5577 çipleriyle yapılan klonlama işlemine kadar incelenmiştir.
Özetle Düşük frekanslı (LF – 125kHz) RFID kartlar şifreleme barındırmadığı için sadece içerdikleri benzersiz kimlik numarası (UID) ile çalışır. Proxmark3 cihazı ve lf search komutu kullanılarak hedef kartın bu UID’si kolayca okunur. Ardından lf tune ile anten voltajı optimize edilerek, kopyalanan bu ham UID boş ve yeniden yazılabilir bir T5577 çipine yazdırılır. Okuyucu sistemler şifreleme sormadığı için, klonlanan bu yeni çip orijinal kartla tamamen aynı geçiş yetkilerine sahip olur.
Kaynakçalar
https://github.com/RfidResearchGroup/proxmark3
http://forum.proxmark.org/
https://forum.dangerousthings.com/
https://github.com/Proxmark/proxmark3/wiki