¿Cuál es la seguridad del código aleatorio para autenticar productos?

Navega tus respuestas
2

He visto un inicio ( Verify Kero ) que está creando un producto para verificar los bienes de consumo. Coloca un código secreto de 16 dígitos bajo un revestimiento que se puede raspar. El consumidor encuentra el código detrás del revestimiento y lo envía a Verify Kero a través de la web, SMS, IVR y aplicaciones móviles, etc. El nombre de la empresa correspondiente, la fecha de fabricación, el nombre del producto, el vencimiento, etc. se devuelven al consumidor.

Esta idea se ve muy fantástica para los legos y también se ha incubado en una de las principales incubadoras de la ciudad y ha sido apreciada por muchas personas de ICT4D. Pero mi opinión dice que el producto es vulnerable. Los números aleatorios masivos pueden ser probados y pueden expirar muy fácilmente. Incluso los productos originales o los artículos de consumo se declararán falsos como resultado de ello a las personas que lo probarán más tarde.

Quiero conocer sus opiniones de expertos para las posibles vulnerabilidades en este enfoque.

    
pregunta Hassan Saqib 04.01.2016 - 18:27
fuente

2 respuestas

7

Añadiendo a la excelente respuesta de Steffen Ullrich ...

Hay una oportunidad para que un atacante obtenga números válidos de la mercancía no vendida y luego vuelva a seleccionar esos productos para que no se usen. El atacante puede usar estos números pirateados en productos falsificados.

Es probable que esto solo sea rentable para artículos caros (por ejemplo: rentable para ropa de diseñador, pero no para una lata de coca cola) ya que es un ataque relativamente costoso y manual. Debe obtener los productos no vendidos, raspar la plata, grabar el código, volver a sellar el elemento (las etiquetas son available available ), vuelva a colocar el artículo en el canal de ventas original y luego venda su artículo antes de que sea original. Se vende por lo que el código sigue siendo válido.

EDIT: Se agregó una mención de la utilidad de ataque para artículos caros basados en el comentario de @ SteffenUllrich.

    
respondido por el Neil Smithline 04.01.2016 - 19:29
fuente
2

De la descripción que he visto hasta ahora, hay un número de 16 dígitos asociado con una descripción del producto y los datos de vencimiento. Dado que la descripción del producto es mucho más larga, este número es solo la clave en alguna base de datos, por lo que puede ser un número aleatorio.

Dado que los productores deben agregar este número de alguna manera a su producto, probablemente comprarán una mayoría de los números únicos asignados previamente y una vez que el productor haya asociado un número específico con un producto específico y fecha de vencimiento (y quizás más información) enviará estos datos junto con el número asignado previamente. Una vez que el número esté asociado con el producto, es probable que ya no se pueda cambiar el enlace, es decir, que los números no puedan reutilizarse.

El objetivo del atacante probablemente será asociar sus propios productos con dichos números validados. El atacante podría intentar agregar sus propios números a los productos falsos. Pero debido a la gran cantidad de números posibles, la posibilidad de encontrar un número que ya esté asociado con un producto es casi cero. Y tratar de atacar a la fuerza bruta un número tan grande en contra de un sitio web público (que podría implementar una limitación de velocidad) tampoco tendrá éxito. Es más probable que el atacante cause un ataque de denegación de servicio al intentar invalidar números en una escala masiva, pero no porque los números se agoten, sino porque la carga es demasiado alta para el sitio web de validación.

El atacante también podría intentar obtener números usados para los productos originales y ponerlos en los productos falsos. Pero esto puede ser derrotado si cada verificación se registra y la verificación posterior del mismo número muestra un historial de validaciones anteriores. Por lo tanto, uno puede ver rápidamente si el número es realmente un número original o un número copiado.

El atacante también podría intentar comprar números y asociarlos con el original en lugar del producto falso. Pero supongo que las cuentas de la compañía utilizadas para comprar dichos números están asociadas con el nombre de la compañía y sus productos y que solo esta compañía podrá asociar cualquier número comprado con los productos de las compañías.

  

... Los números aleatorios en masa pueden probarse y pueden expirar muy fácilmente. Incluso los productos originales o artículos de consumo se declararán falsos como resultado de ello a las personas que lo probarán más tarde.

Si el sistema está implementado como lo describí, no veo ninguno de estos ataques como sea posible.

    
respondido por el Steffen Ullrich 04.01.2016 - 19:21
fuente

Lea otras preguntas en las etiquetas

¿Cómo asegurarse de que la clave pública no haya sido manipulada durante el tránsito? ¿Qué hacer cuando una conexión a un sitio web del gobierno para enviar datos de identificación personal no está cifrada?