Qual è la sicurezza del codice casuale per l'autenticazione dei prodotti?

2

Ho visto un avvio ( Verifica Kero ) che sta creando un prodotto per la verifica dei beni di consumo. Inserisce un codice segreto a 16 cifre con rivestimento antigraffio. Il consumatore trova il codice dietro il rivestimento e lo invia a Verify Kero via web, SMS, IVR e app mobili ecc. Il nome dell'azienda corrispondente, la data di produzione, il nome del prodotto, la scadenza ecc. Vengono inviati al consumatore.

Questa idea sembra molto fantastica per i non addetti ai lavori ed è stata anche incubata in una delle migliori incubatrici della città ed è stata apprezzata da molte persone di ICT4D. Ma la mia opinione dice che il prodotto è vulnerabile. I numeri casuali di massa possono essere testati e potrebbero essere espirati molto facilmente. Anche i prodotti originali o gli articoli di consumo saranno dichiarati falsi come conseguenza di ciò alle persone che lo testeranno.

Voglio conoscere le tue opinioni di esperti per le possibili vulnerabilità in questo approccio.

    
posta Hassan Saqib 04.01.2016 - 18:27
fonte

2 risposte

7

Aggiunta alla risposta eccellente di Steffen Ullrich ...

C'è un'opportunità per un utente malintenzionato di estrarre i numeri validi dalla merce invenduta e quindi restimare quei prodotti in modo che sembrino non utilizzati. L'utente malintenzionato può quindi utilizzare questi numeri piratati su prodotti contraffatti.

Probabilmente ciò sarà redditizio solo per oggetti costosi (ad esempio: redditizio per abiti firmati, ma non per una lattina di coca cola) in quanto è un attacco relativamente costoso e manuale. Devi ottenere i prodotti invenduti, grattare l'argento, registrare il codice, rileggere l'oggetto (gli adesivi sono prontamente disponibile ), rimetti l'articolo nel canale di vendita originale e poi vendi il tuo articolo prima che l'originale sia venduto in modo che il codice sia ancora valido.

EDIT: Aggiunta menzione dell'utilità di attacco per articoli costosi basata sul commento di @ SteffenUllrich.

    
risposta data 04.01.2016 - 19:29
fonte
2

Dalla descrizione che ho visto finora c'è un numero di 16 cifre associato a una descrizione del prodotto e scadono i dati. Dato che la descrizione del prodotto è molto più lunga di questa, questo numero è solo la chiave in qualche database, quindi può essere un numero casuale.

Dato che i produttori devono aggiungere questo numero in qualche modo al loro prodotto, probabilmente acquisteranno una grande quantità di numeri unici pre-assegnati e una volta che il produttore ha associato un numero specifico con un prodotto specifico e una data di scadenza (e forse più informazioni) invierà questi dati insieme al numero pre-assegnato. Una volta che il numero è associato al prodotto, è possibile che il binding non venga più modificato, vale a dire che i numeri non possono essere riutilizzati.

Lo scopo dell'attaccante sarà probabilmente quello di associare i propri prodotti con numeri così validati. L'utente malintenzionato potrebbe provare ad aggiungere i propri numeri ai prodotti contraffatti. Ma a causa dell'enorme quantità di numero possibile, la possibilità di ottenere un numero che è già associato a un prodotto è vicino allo zero. E il tentativo di forza bruta di un numero così grande contro un sito Web pubblico (che potrebbe implementare la limitazione dei tassi) non avrà altrettanto successo. È più probabile che l'attaccante causi un attacco denial of service quando tenta di invalidare i numeri su una scala enorme, ma non perché i numeri si esauriscano ma perché il carico è troppo alto per il sito web di validazione.

L'attaccante potrebbe anche provare a ottenere numeri usati per i prodotti originali e metterli sui prodotti contraffatti. Ma questo può essere sconfitto se ogni verifica viene registrata e la successiva verifica dello stesso numero mostra una cronologia delle convalide precedenti. Così si può vedere rapidamente se il numero è in realtà un numero originale o un numero copiato.

L'attaccante potrebbe anche provare ad acquistare numeri e associarli con l'originale anziché con il prodotto falso. Ma suppongo che gli account aziendali utilizzati per acquistare tali numeri siano associati al nome dell'azienda e dei suoi prodotti e che solo questa società sia in grado di associare qualsiasi numero acquistato con i prodotti delle società.

... Mass random numbers can be tested and could be expired very easily. Even original products or consumer items will be declared faked as a result of it to the people who will test it latter.

Se il sistema è implementato come ho descritto, non vedo nessuno di questi attacchi il più possibile.

    
risposta data 04.01.2016 - 19:21
fonte

Leggi altre domande sui tag