IT-Defense 2007 in Leipzig: RFID-Hersteller unter Druck
Die RFID-Probleme stecken in der Middleware
Die weltweit anerkannte RFID-Sicherheitsspezialistin Melanie Rieback zeichnete auf der Konferenz IT-Defense 2007 in Leipzig heute ein Bild der Sicherheits- und Datenschutzsituation rund um RFID-Tags; sie diagnostizierte die Middleware und den Entwicklungsstand bei den Herstellern als eigentliche Quelle der Probleme mit der berührungslosen Identifizierungstechnik.
Rieback hatte vor einiger Zeit großes Aufsehen mit Untersuchungen zur Anfälligkeit von RFID-Systemen für Viren- und Wurm-Attacken erregt. Sie konnte zeigen, dass die Datenbank-Middleware, die mit typischen Oracle- und SQL-Datenbanken und mittels C und C++ programmierten Anwendungen arbeitet, anfällig für Attacken ist, die auch durch Code-Injektion über die RFID-Chips ausgeführt werden können: Sowohl auf 2-kByte-Chips als auch auf 1-kByte-Chips lassen sich Codebestandteile in die gespeicherten Daten einschleusen, die beispielsweise Server außer Betrieb setzen, die Steuerung der Systeme an fremde Adressen umleiten und obendrein Funktionen zur Selbstreplikation enthalten. Auf der Basis dieser Methoden ließen sich durchaus Viren und Würmer programmieren, die ähnlichen Schaden verursachen könnten wie ihre Pendants aus der Internetwelt.
"Für Sicherheitsspezialisten sind all diese Methoden nicht neu, und sie reagierten auf meine Veröffentlichung eher gelassen," meinte Rieback und bekam dabei Unterstützung von Hacker Felix "FX" Lindner von den Sabre Labs, der mit seinem Team einige der von Rieback an Modellsituationen durchgespielten Attacken auch mit simplen Barcodes schon umsetzen konnte. "Die RFID-Industrie allerdings reagierte mit Panik," berichtete Rieback weiter und vermutete, hier sei einfach zu spüren, dass man in diesem Wirtschaftszweig – wie in so vielen anderen zuvor – noch voll auf die Entwicklung der Funktionalität fokussiert sei und sich noch nicht der Sicherheit widme. Durch klassische Sicherheitsmaßnahmen, wie man sie auch für andere Middelware-Systeme treffe, ließen sich hier durchaus Verbesserungen erzielen.
Spannend sei auch, so Rieback, wie die Sicherheitssituation im RFID-Bereich in Zukunft auch von RFID-Emulatoren beeinflusst werden könnte – mit Hard- oder Softwaresystemen also, die in Form tragbarer Computer RFID-Lesern in ihrem Umfeld die Existenz von RFID-Tags vorgaukeln könnten, aber nicht deren Speicher- und Funktionslimitationen unterlägen. Zurzeit hätten etwa fünf bis sechs Personen aus dem wissenschaftlichen Umfeld solche Systeme in Betrieb, aber sie könnten durchaus einmal zum Massenphänomen werden. Auch das "Cloning", die in verschiedenen Labors schon gelungene Fälschung von RFID-Chips, werde weitere Bedeutung erlangen.
LANline/wj
Lesen Sie mehr zum Thema
