You are on page 1of 4

www.epiguard.

ch

Gefahren von RFID-Technologie
1-4

RFID-spezifische Sicherheit und Angriffsmethoden
Die möglichen Bedrohungen und Angriffsszenarien bei RFID-Systemen sind vielfältig. Mit einem Angriff kann versucht werden, ein RFID-System unbrauchbar zu machen, seine korrekte Funktionsweise zu stören, es zu missbrauchen oder seine Sicherheitsmechanismen zu überwinden. Im Hinblick auf Datensicherheit kann es ein Angreifer auf die Gewinnung geheimer bzw. vertraulicher Daten absehen, zu deren sicheren Speicherung oder Übermittlung RFID-Technik eingesetzt wird. Unter dem Gesichtspunkt des Datenschutzes stellt die Überwachung von Personen mit Hilfe von RFID-Technik eine mögliche Bedrohung dar. Daten, die zwischen RFID-Reader und RFID-Chips über die Luftschnittstelle ausgetauscht werden, können von unbefugten Dritten ausgelesen, missbraucht, manipuliert oder zerstört werden. Auch mechanische Angriffs-Methoden wie Zerstörung, Entfernung des RFID-Chips oder Abschirmung machen den RFID-Chip unbrauchbar. Auch Blocker-Tags oder Störsender bewirken Beschädigungen. Obwohl in vielen Bereichen Abwehrmechanismen wie z.B. Verschlüsselungmethoden bestehen, werden diese aufgrund der zusätzlichen Kosten oftmals nicht angewendet. Mit der Vernachlässigung der Sicherheitsmassnahmen können aber zahlreiche Risiken einhergehen: Datendiebstahl, Identitätsbetrug, Datenmissbrauch, Zahlungsbetrug sind mögliche Folgen. Generische Methoden, die beim Angriff auf RFID-Systeme zum Einsatz kommen, sind:

Sniffing
Bei Sniffing-Attacken versuchen Angreifer, Daten, die auf dem RFID-Chip gespeichert sind oder zwischen dem RFID-Chip und dem Lesegerät versendet werden, auszulesen. Angreifer verfolgen das Ziel, sich unbefugt in den Besitz von Daten zu bringen, die auf dem RFID-Chip gespeichert sind oder zwischen Chip und Lesegerät versendet werden. Dabei kommen grundsätzlich zwei Methoden zum Einsatz: Entweder wird die laufende Datenkommunikation zwischen RFID-Tag und Lesegerät mit Hilfe eines Empfängers heimlich abgehört (Eavesdropping), oder der Chip wird mit einem eigenen RFIDLesegerät illegal ausgelesen (Unauthorised Reading).

Version 01.2011 Copyright EPIGUARD RFID SHIELDING 2011

2-4

Spoofing und Replay-Attacken
Bei Spoofing werden Daten nicht nur unbefugt ausgelesen oder abgehört sondern auch manipuliert oder gefälscht. Konkrete Angriffziele können hierbei die Kennnummer eines RFIDChips, weitere auf dem RFID-Chip gespeicherte Inhalte oder auch zwischen einem RFID-Chip und einem Lesegerät ausgetauschte Informationen sein. Zur Ausführung des Angriffs kann entweder eine direkte Manipulation von Daten auf einem Chip oder eine Absendung manipulierter Daten an einen Chip (z.B. zur Vortäuschung eines vorhandenen aut horisierten Lesegerätes) versucht werden. Replay-Attacken verfolgen das Ziel, eine zuvor abgehörte echte Datenkommunikation zu einem späteren Zeitpunkt erneut einzuspielen, um so die erneute Präsenz eines vorher verwendeten authorisierten RFID-Lesegerätes vorzutäuschen.

Man-in-the-Middle-Attacken
Bei Man-in-the-Middle-Attacken geht es Angreifern auch um das Fälschen von Daten. Dabei schaltet sich der Angreifer zwischen die laufende Kommunikation von RFIDReader und Tag. Die von der einen Seite abgesendete Daten werden vom Angreifer abgefangen und manipuliert oder gefälschte Daten werden an die andere Seite weitergereicht. Beide Seiten (Empfänger und Sender) bemerken den zwischengeschalteten Angreifer nicht. RFID-Chip und RFID-Reader gehen von einer echten, vertrauenswürdigen Gegenseite (Quelle) aus, mit der sie kommunizieren.

Cloning und Emulation
Bei dieser Methode werden mit den Dateninhalten eines RFID-Transponders eigene Duplikate von RFID-Chips nachgebaut. Die Daten können dabei aus erfolgreichen Sniffing-Attacken stammen oder selbst erzeugt worden sein.

Denial of Service
Der Angreifer, der diese Methode benutzt, verfolgt nicht das Ziel, unerlaubt an Daten zu gelangen bzw. diese zu gewinnen oder unbefugt zu manipulieren. Es geht ihm vielmehr darum, die Funktion des RFID-Systems zu stören bzw. unbrauchbar zu machen. Hierbei können unterschiedliche Verfahren zum Einsatz kommen, wie z.B. die folgenden Angriffsmethoden: a) Mechanische Angriffe: Der Angriff kann rein mechanisch erfolgen, d.h. der RFID-Chip wird mechanisch zerstört oder einfach entfernt. Allerdings sind solche Angriffe in der Regel nicht unbemerkt durchführbar und daher in vielen Anwendungsumgebungen nicht praktikabel. b) Kill-Kommandos: Durch die Verwendung unbefugter Operationen zur kompletten Deaktivierung von RFID-Chips oder zum Löschen von Anwendungen auf dem RFID-Chip können RFIDChips auf Dauer unbrauchbar gemacht werden (Kill-Kommandos).

Version 01.2011 Copyright EPIGUARD RFID SHIELDING 2011

3-4

Diese Operationen erfordern jedoch die Vortäuschung eines autorisierten RFID-Leseoder Schreibge-rätes und ist meist nur unter Labor-Bedingungen möglich. c) Shielding: Eine (temporäre) Störung der Kommunikation ist ein gegenseitiges Abschirmen von Sender und Empfänger durch mechanische Unterbrechung des Übertragungsmediums mit Hilfe geeigneter Materialien (Shielding). Die Datenkommunikation zwischen Reader und Tag wird dadurch unterbrochen, eine eine mechanische RFID-Abschirmung anzubringen. In vielen Fällen reicht eine RFIDSchutzfolie aus Metall aus, um die wechselseitige Kommunikation zu verhindern. d) Aktive Störsender Aktive Störsender beeinflussen das elektromagnetische Feld zwischen RFID-Tag und Lesegerät und unterbrechen damit ebenfalls die Datenkommunikation. Neben aktiven Störsender kann ein Angreifer ein Gerät, welches in sonstiger Weise die elektronmagnetischen Felder beeinflusst (z.B. Frequenzfilterung). e) Blocker-Tags Blocker Tags täuschen dem RFID-Reader die Existenz/Präsenz bestimmter passiver RFID-Tags vor und verhindern so die Erfassung des eigentlichen Chips. f) RFID Zapper RFID Zapper können dazu verwendet werden, einen starken elektromagnetischen Puls (EMP) zu erzeugen. Dadurch können RFID-Chips gewaltsam (aber im Gegensatz zur Zerstörung in einem Mikrowellenofen ohne sichtbare Spuren) zerstört werden. Da kein physischer Kontakt zum RFID-Chip notwendig ist, ist es auch denkbar, dass ein RFID-Zapper ohne das Wissen und gegen den Willen des Besitzers verwendet wird.

Tracking
Beim Tracking hat es ein Angreifer auf eine unbemerkte Überwachung von Personen abgesehen. Durch Zuordnung von RFID-Chip-Nummern und den Zeitpunkten der Verwendung des RFID-Chips an bestimmten Terminals können umfangreiche Bewegungsprofile erstellt werden. Diese Methode wird als RFID-Tracking bezeichnet und wird bei personenbezogene Daten wie z.B. beim Einsatz von Ausweisen oder Kundenkarten. angewendet:

Relay-Angriffe
Ein Relay-Angriff beruht darauf, dass ein Angreifer versucht, unbemerkt die Lesereichweite eines RFID-Chips zu erhöhen (Mafia Fraud Attacks). Zur Durchführung benötigt der Angreifer zwei zusätzliche Geräte: Ein „Ghost“ zur Kommunikation mit dem RFID-Transponder, ein „Leech“ zur Kommunikation mit dem Lesegerät. Beide Geräte verfügen über eine erhöhte Sende- und Empfangsleistung, und tauschen die jeweils empfangenen Signale gegenseitig aus. Sie sind also auf grössere Reichweiten ausgelegt und bewirken somit, dass eine längere Distanz bzw. Datenübertragungsstrecke zwischen dem RFID-Tag und Lesegerät überbrückt werden kann.

Version 01.2011 Copyright EPIGUARD RFID SHIELDING 2011

4-4

Beide reagieren in derselben Weise wie bei unmittelbarer physikalischer Nähe. Ziel des Angreifers ist hierbei nicht die Fälschung von Daten, Lesegeräten oder RFIDChips, sondern die gegenseitige Vortäuschung der für einen normalen Betrieb geforderten physikalischen Präsenz/Existenz von RFID-Chips. RFID-Chip und Lesegerät sollen so zu einer vom echten Systembenutzer unerwünschten gegenseitigen Kommunikation und entsprechenden (möglicherweise sicherheitskritischen) Aktionen angeregt werden, für welche eine physikalische Präsenz des RFIDChips gefordert ist.

RFID-Malware
RFID-Systeme können auch Angriffen durch Malware ausgesetzt sein. Hierunter zählen Buffer-Overflow- und SQL-Injection-Angriffe auf RFID-Tags oder Lesegeräte. Diese können durch speziell konstruierte Daten eines RFID-Tags erfolgen. Gelingt ein solcher Angriff, kann beliebiger Programmcode ausgeführt werden, oder Datenbankeinträge manipuliert werden. Hierdurch können beispielsweise Einträge in Datenbanken des Backend-Systems unauthorisiert manipuliert werden oder in den Backend-Systemen beliebiger Programmcode ausgeführt werden, wenn ein BufferOverflow im Backend-System ausgenutzt wird. Auch RFID-Lesegeräte können als Ursprung von Buffer-Overflow-Angriffen dienen. Da es sich hier um neuere, oft noch nicht umfassend analysierte Technologien handelt, ist die Wahrscheinlichkeit, dass hier Schwachstellen existieren, nicht zu unterschätzen. Gelingt es einem Angreifer Lesegeräte zu kompromittieren, so kann dies auch eine die Backend-Systeme bedrohen.

Quelle: Fraunhofer SIT (Institut für Sichere Informations-Technologie)

CRYPTALLOY RFID-Abschirmfolie
Produkte, die das Prüf- und Gütesiegel von CRYPTALLOY tragen, schützen vor unbemerkten und unbefugten Auslesen von RFID-Transponder.

E-mail: profiler@epiguard.ch Web: www.epiguard.ch

Version 01.2011 Copyright EPIGUARD RFID SHIELDING 2011