Viste hvor enkelt det er å klone RFID-pass

En tysk ekspert brukte to uker og 5000 dollar for å lage utstyr som kloner RFID-pass.

7. aug. 2006 - 11:37

RFID – små radiobrikker som identifiserer alt fra paller til pass – var et sentralt tema på de to IT-sikkerhetskonferansene Black Hat og Defcon som fant sted i Las Vegas fra onsdag til søndag.

Lukas Grünwald fra det tyske selskapet DN-Systems i Hildesheim, demonstrerte kloning av RFID-utstyrte pass, mens Kevin Mahaffey fra amerikanske Flexilis viste en video som demonstrerte hvordan en terrorist kan programmere en bombe til å eksplodere når en person med et amerikansk RFID-pass går forbi.

Trass i advarsler fra eksperter innen både personvern og IT-sikkerhet, har flere vestlige regjeringer, også Norge, vedtatt å utstyre sine borgere med pass som kan fjernleses ved hjelp av en integrert RFID-brikke. Tyske borgere har allerede fått RFID-pass, mens USA setter i gang fra oktober.

Grünwald fortalte at han brukte en bærbar PC og utstyr og opplysninger som kostet ham til sammen 5000 dollar, til å lage et system som kloner RFID-brikker. Han greide å lese informasjonen på brikken ved å duplisere utstyret i passkontrollen. Systemet hans kloner RFID-brikken i passet til en RFID-brikke på et smartkort, og så programmere smartkortet slik at det oppfører seg som et pass.

Grünwald understreket at han ikke fikk til å endre opplysningene i RFID-brikken: Det er ingen feil i krypteringen av opplysningene. Men har han et pass, kan han altså lage en så tro kopi at RFID-utstyret i passkontrollen ikke ser forskjellen.

Utstyret til Grünwald kan også klone RFID-baserte adgangskontrollsystemer, fortalte han.

Mens Grünwald viste hvor lett det er å kopiere RFID-pass, var Mahaffey og hans selskap Flexilis opptatt av hvor farlig det kan bli når RFID-pass lekker opplysninger til uvedkommende.

RFID-pass skal i teorien bare kunne avleses når passet åpnes. Forsøk visere imidlertid at det som regel er nok at passet ikke er helt lukket, noe som ofte skjer når det bæres i en lomme eller i en veske. Om ikke alle opplysningene i passet kan leses, er det følgelig mulig å avdekke når noen går forbi med et pass på seg, og antakelig også å fastslå bærerens nasjonalitet, ifølge Mahaffey.

Grünwald sier til ZDNet at han, for å beskytte seg mot utilsiktet fjernavlesing av passet, alltid legger den i en spesiell mappe foret med aluminiumsfolie. Slike mapper er blitt vanlig salgsvare i Tyskland. Han legger til at den tyske regjeringen, på grunn av problemer med RFID-brikkene, har vedtatt at RFID-pass fortsatt må anses som gyldige selv om brikken ikke fungerer. Det har fått hackerklubben Chaos Computer Club til å anbefale alle borgere å gi passene en kort omgang i en mikrobølgeovn. Stekingen setter brikken helt ut av spill.

På søndag fulgte Grünwald opp sin demonstrasjon, ifølge Wired, med å understreke at RFID-pass er et spill av ressurser som ikke gir noe positivt bidrag til kampen mot terror eller til bedre sikkerhet. Han understreket også at siden alle lands RFID-pass følger standarden gitt av den internasjonale luftfartsorganisasjonen ICAO (International Civil Aviation Society), vil metoden han har utviklet for å klone tyske RFID-pass uten videre kunne anvendes på RFID pass fra alle land.

– Standarden er et kompromiss, og kompromisser går på bekostning av sikkerheten, sa han.

Artikkelen fortsetter etter annonsen
annonse
Schneider Electric
Schneider Electric lanserer Galaxy VXL UPS
Schneider Electric lanserer Galaxy VXL UPS

Ifølge Playfuls.com er ikke Grünwald alene om å ha klonet RFID-brikker, selv om han er den første til å klone RFID-pass.

På konferansen HOPE Number Six i New York i juli, demonstrerte Annalee Newitz og Jonathan Westhues en metode som demonstrerte kloning av RFID-brikker fra VeriChip. Deres utgangspunkt var en RFID-leser koplet til en bærbar PC, og programvare som rekonstruerte innholdet på RFID-brikken med utgangspunkt i signalet fra originalen.

I februar i år viste hollandske sikkerhetseksperter hvordan det er mulig å avlytte radiotrafikken mellom et RFID-pass og passkontrollen, og siden bruke denne informasjonen til å hente ut de reisendes fingeravtrykk, fotografi, navn, adresse og så videre.

    Les også:

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
4 fordeler med å bruke Tekjobb til rekruttering
Les mer
4 fordeler med å bruke Tekjobb til rekruttering
Tekjobb
Få annonsen din her og nå frem til de beste kandidatene
Lag en bedriftsprofil
En tjeneste fra