RFID – små radiobrikker som identifiserer alt fra paller til pass – var et sentralt tema på de to IT-sikkerhetskonferansene Black Hat og Defcon som fant sted i Las Vegas fra onsdag til søndag.
Lukas Grünwald fra det tyske selskapet DN-Systems i Hildesheim, demonstrerte kloning av RFID-utstyrte pass, mens Kevin Mahaffey fra amerikanske Flexilis viste en video som demonstrerte hvordan en terrorist kan programmere en bombe til å eksplodere når en person med et amerikansk RFID-pass går forbi.
Trass i advarsler fra eksperter innen både personvern og IT-sikkerhet, har flere vestlige regjeringer, også Norge, vedtatt å utstyre sine borgere med pass som kan fjernleses ved hjelp av en integrert RFID-brikke. Tyske borgere har allerede fått RFID-pass, mens USA setter i gang fra oktober.
Grünwald fortalte at han brukte en bærbar PC og utstyr og opplysninger som kostet ham til sammen 5000 dollar, til å lage et system som kloner RFID-brikker. Han greide å lese informasjonen på brikken ved å duplisere utstyret i passkontrollen. Systemet hans kloner RFID-brikken i passet til en RFID-brikke på et smartkort, og så programmere smartkortet slik at det oppfører seg som et pass.
Grünwald understreket at han ikke fikk til å endre opplysningene i RFID-brikken: Det er ingen feil i krypteringen av opplysningene. Men har han et pass, kan han altså lage en så tro kopi at RFID-utstyret i passkontrollen ikke ser forskjellen.
Utstyret til Grünwald kan også klone RFID-baserte adgangskontrollsystemer, fortalte han.
Mens Grünwald viste hvor lett det er å kopiere RFID-pass, var Mahaffey og hans selskap Flexilis opptatt av hvor farlig det kan bli når RFID-pass lekker opplysninger til uvedkommende.
RFID-pass skal i teorien bare kunne avleses når passet åpnes. Forsøk visere imidlertid at det som regel er nok at passet ikke er helt lukket, noe som ofte skjer når det bæres i en lomme eller i en veske. Om ikke alle opplysningene i passet kan leses, er det følgelig mulig å avdekke når noen går forbi med et pass på seg, og antakelig også å fastslå bærerens nasjonalitet, ifølge Mahaffey.
Grünwald sier til ZDNet at han, for å beskytte seg mot utilsiktet fjernavlesing av passet, alltid legger den i en spesiell mappe foret med aluminiumsfolie. Slike mapper er blitt vanlig salgsvare i Tyskland. Han legger til at den tyske regjeringen, på grunn av problemer med RFID-brikkene, har vedtatt at RFID-pass fortsatt må anses som gyldige selv om brikken ikke fungerer. Det har fått hackerklubben Chaos Computer Club til å anbefale alle borgere å gi passene en kort omgang i en mikrobølgeovn. Stekingen setter brikken helt ut av spill.
På søndag fulgte Grünwald opp sin demonstrasjon, ifølge Wired, med å understreke at RFID-pass er et spill av ressurser som ikke gir noe positivt bidrag til kampen mot terror eller til bedre sikkerhet. Han understreket også at siden alle lands RFID-pass følger standarden gitt av den internasjonale luftfartsorganisasjonen ICAO (International Civil Aviation Society), vil metoden han har utviklet for å klone tyske RFID-pass uten videre kunne anvendes på RFID pass fra alle land.
– Standarden er et kompromiss, og kompromisser går på bekostning av sikkerheten, sa han.
Ifølge Playfuls.com er ikke Grünwald alene om å ha klonet RFID-brikker, selv om han er den første til å klone RFID-pass.
På konferansen HOPE Number Six i New York i juli, demonstrerte Annalee Newitz og Jonathan Westhues en metode som demonstrerte kloning av RFID-brikker fra VeriChip. Deres utgangspunkt var en RFID-leser koplet til en bærbar PC, og programvare som rekonstruerte innholdet på RFID-brikken med utgangspunkt i signalet fra originalen.
I februar i år viste hollandske sikkerhetseksperter hvordan det er mulig å avlytte radiotrafikken mellom et RFID-pass og passkontrollen, og siden bruke denne informasjonen til å hente ut de reisendes fingeravtrykk, fotografi, navn, adresse og så videre.
Les også:
- [31.10.2006] Kredittkort med RFID er sikkerhetsflause
- [08.08.2006] Fem tiltak for å hindre data fra å lekke
- [24.07.2006] RFID-bransjen slåss om å lage raskere lesere
- [20.06.2006] Seks myter overdriver effektene av RFID
- [13.06.2006] RFID effektiviserer Finnairs hovedflyplass
- [12.06.2006] RFID-brikker kan allerede være avlegs
