Sie sind auf Seite 1von 4
www.epiguard.ch Gefahren von RFID-Technologie 1-4 RFID-spezifische Sicherheit und Angriffsmethoden Die möglichen

www.epiguard.ch

www.epiguard.ch Gefahren von RFID-Technologie 1-4 RFID-spezifische Sicherheit und Angriffsmethoden Die möglichen

Gefahren von RFID-Technologie

1-4

RFID-spezifische Sicherheit und Angriffsmethoden

Die möglichen Bedrohungen und Angriffsszenarien bei RFID-Systemen sind vielfältig. Mit einem Angriff kann versucht werden, ein RFID-System unbrauchbar zu machen, seine korrekte Funktionsweise zu stören, es zu missbrauchen oder seine Sicherheits- mechanismen zu überwinden.

Im Hinblick auf Datensicherheit kann es ein Angreifer auf die Gewinnung geheimer bzw. vertraulicher Daten absehen, zu deren sicheren Speicherung oder Übermittlung RFID-Technik eingesetzt wird. Unter dem Gesichtspunkt des Datenschutzes stellt die Überwachung von Personen mit Hilfe von RFID-Technik eine mögliche Bedrohung dar.

mit Hilfe von RFID-Technik eine mögliche Bedrohung dar. Daten, die zwischen RFID-Reader und RFID-Chips über die
mit Hilfe von RFID-Technik eine mögliche Bedrohung dar. Daten, die zwischen RFID-Reader und RFID-Chips über die

Daten, die zwischen RFID-Reader und RFID-Chips über die Luftschnittstelle aus- getauscht werden, können von unbefugten Dritten ausgelesen, missbraucht, mani- puliert oder zerstört werden.

missbraucht, mani- puliert oder zerstört werden. Auch mechanische Angriffs-Methoden wie Zerstörung,

Auch mechanische Angriffs-Methoden wie Zerstörung, Entfernung des RFID-Chips oder Abschirmung machen den RFID-Chip unbrauchbar. Auch Blocker-Tags oder Störsender bewirken Beschädigungen.

Obwohl in vielen Bereichen Abwehrmechanismen wie z.B. Verschlüsselungmethoden bestehen, werden diese aufgrund der zusätzlichen Kosten oftmals nicht angewendet.

Mit der Vernachlässigung der Sicherheitsmassnahmen können aber zahlreiche Risiken einhergehen: Datendiebstahl, Identitätsbetrug, Datenmissbrauch, Zahlungs- betrug sind mögliche Folgen.

Datenmissbrauch, Zahlungs- betrug sind mögliche Folgen. Generische Methoden, die beim Angriff auf RFID-Systeme zum

Generische Methoden, die beim Angriff auf RFID-Systeme zum Einsatz kommen, sind:

Sniffing

Bei Sniffing-Attacken versuchen Angreifer, Daten, die auf dem RFID-Chip gespeichert sind oder zwischen dem RFID-Chip und dem Lesegerät versendet werden, auszu- lesen. Angreifer verfolgen das Ziel, sich unbefugt in den Besitz von Daten zu bringen, die auf dem RFID-Chip gespeichert sind oder zwischen Chip und Lesegerät versendet werden. Dabei kommen grundsätzlich zwei Methoden zum Einsatz: Entweder wird die laufende Datenkommunikation zwischen RFID-Tag und Lesegerät mit Hilfe eines Empfängers heimlich abgehört (Eavesdropping), oder der Chip wird mit einem eigenen RFID- Lesegerät illegal ausgelesen (Unauthorised Reading).

Version 01.2011 Copyright EPIGUARD RFID SHIELDING 2011

2-4

Spoofing und Replay-Attacken

Bei Spoofing werden Daten nicht nur unbefugt ausgelesen oder abgehört sondern auch manipuliert oder gefälscht. Konkrete Angriffziele können hierbei die Kennnummer eines RFIDChips, weitere auf dem RFID-Chip gespeicherte Inhalte oder auch zwischen einem RFID-Chip und einem Lesegerät ausgetauschte Informationen sein. Zur Ausführung des Angriffs kann entweder eine direkte Manipulation von Daten auf einem Chip oder eine Absendung manipulierter Daten an einen Chip (z.B. zur Vortäuschung eines vorhandenen aut hori- sierten Lesegerätes) versucht werden.

Replay-Attacken verfolgen das Ziel, eine zuvor abgehörte echte Datenkommunikation zu einem späteren Zeitpunkt erneut einzuspielen, um so die erneute Präsenz eines vorher verwendeten authorisierten RFID-Lesegerätes vorzutäuschen.

Man-in-the-Middle-Attacken

RFID-Lesegerätes vorzutäuschen. Man-in-the-Middle-Attacken Bei Man-in-the-Middle-Attacken geht es Angreifern auch um

Bei Man-in-the-Middle-Attacken geht es Angreifern auch um das Fälschen von Daten. Dabei schaltet sich der Angreifer zwischen die laufende Kommunikation von RFID- Reader und Tag. Die von der einen Seite abgesendete Daten werden vom Angreifer abgefangen und manipuliert oder gefälschte Daten werden an die andere Seite weitergereicht. Beide Seiten (Empfänger und Sender) bemerken den zwischengeschalteten Angreifer nicht. RFID-Chip und RFID-Reader gehen von einer echten, vertrauenswürdigen Gegen- seite (Quelle) aus, mit der sie kommunizieren.

Gegen- seite (Quelle) aus, mit der sie kommunizieren. Cloning und Emulation Bei dieser Methode werden mit
Gegen- seite (Quelle) aus, mit der sie kommunizieren. Cloning und Emulation Bei dieser Methode werden mit

Cloning und Emulation

Bei dieser Methode werden mit den Dateninhalten eines RFID-Transponders eigene Duplikate von RFID-Chips nachgebaut. Die Daten können dabei aus erfolgreichen Sniffing-Attacken stammen oder selbst erzeugt worden sein.

Denial of Service

stammen oder selbst erzeugt worden sein. Denial of Service Der Angreifer, der diese Methode benutzt, verfolgt

Der Angreifer, der diese Methode benutzt, verfolgt nicht das Ziel, unerlaubt an Daten zu gelangen bzw. diese zu gewinnen oder unbefugt zu manipulieren. Es geht ihm vielmehr darum, die Funktion des RFID-Systems zu stören bzw. unbrauchbar zu machen.

Hierbei können unterschiedliche Verfahren zum Einsatz kommen, wie z.B. die folgenden Angriffsmethoden:

a) Mechanische Angriffe:

Der Angriff kann rein mechanisch erfolgen, d.h. der RFID-Chip wird mechanisch zerstört oder einfach entfernt. Allerdings sind solche Angriffe in der Regel nicht un- bemerkt durchführbar und daher in vielen Anwendungsumgebungen nicht praktikabel.

b) Kill-Kommandos:

Durch die Verwendung unbefugter Operationen zur kompletten Deaktivierung von RFID-Chips oder zum Löschen von Anwendungen auf dem RFID-Chip können RFID- Chips auf Dauer unbrauchbar gemacht werden (Kill-Kommandos).

Version 01.2011 Copyright EPIGUARD RFID SHIELDING 2011

3-4

Diese Operationen erfordern jedoch die Vortäuschung eines autorisierten RFID-Lese- oder Schreibge-rätes und ist meist nur unter Labor-Bedingungen möglich.

c) Shielding:

Eine (temporäre) Störung der Kommunikation ist ein gegenseitiges Abschirmen von Sender und Empfänger durch mechanische Unterbrechung des Übertragungsme- diums mit Hilfe geeigneter Materialien (Shielding). Die Datenkommunikation zwischen Reader und Tag wird dadurch unterbrochen, eine eine mechanische RFID-Abschirmung anzubringen. In vielen Fällen reicht eine RFID- Schutzfolie aus Metall aus, um die wechselseitige Kommunikation zu verhindern.

d) Aktive Störsender

Aktive Störsender beeinflussen das elektromagnetische Feld zwischen RFID-Tag und Lesegerät und unterbrechen damit ebenfalls die Datenkommunikation. Neben aktiven Störsender kann ein Angreifer ein Gerät, welches in sonstiger Weise die elektronmag- netischen Felder beeinflusst (z.B. Frequenzfilterung).

e) Blocker-Tags

Blocker Tags täuschen dem RFID-Reader die Existenz/Präsenz bestimmter passiver

dem RFID-Reader die Existenz/Präsenz bestimmter passiver RFID-Tags vor und verhindern so die Erfassung des

RFID-Tags vor und verhindern so die Erfassung des eigentlichen Chips.

f) RFID Zapper RFID Zapper können dazu verwendet werden, einen starken elektromagnetischen Puls (EMP) zu erzeugen. Dadurch können RFID-Chips gewaltsam (aber im Gegen- satz zur Zerstörung in einem Mikrowellenofen ohne sichtbare Spuren) zerstört wer- den. Da kein physischer Kontakt zum RFID-Chip notwendig ist, ist es auch denkbar, dass ein RFID-Zapper ohne das Wissen und gegen den Willen des Besitzers verwen- det wird.

Wissen und gegen den Willen des Besitzers verwen- det wird. Tracking Beim Tracking hat es ein
Wissen und gegen den Willen des Besitzers verwen- det wird. Tracking Beim Tracking hat es ein

Tracking

Beim Tracking hat es ein Angreifer auf eine unbemerkte Überwachung von Personen abgesehen. Durch Zuordnung von RFID-Chip-Nummern und den Zeitpunkten der Verwendung des RFID-Chips an bestimmten Terminals können umfangreiche Bewegungsprofile erstellt werden. Diese Methode wird als RFID-Tracking bezeichnet und wird bei personenbezogene Daten wie z.B. beim Einsatz von Ausweisen oder Kundenkarten. angewendet:

beim Einsatz von Ausweisen oder Kundenkarten. angewendet: Relay-Angriffe Ein Relay-Angriff beruht darauf, dass ein

Relay-Angriffe

Ein Relay-Angriff beruht darauf, dass ein Angreifer versucht, unbemerkt die Lesereichweite eines RFID-Chips zu erhöhen (Mafia Fraud Attacks). Zur Durchführung benötigt der Angreifer zwei zusätzliche Geräte: Ein „Ghost“ zur Kommunikation mit dem RFID-Transponder, ein „Leech“ zur Kommunikation mit dem Lesegerät. Beide Geräte verfügen über eine erhöhte Sende- und Empfangsleistung, und tauschen die jeweils empfangenen Signale gegenseitig aus. Sie sind also auf grössere Reichweiten ausgelegt und bewirken somit, dass eine längere Distanz bzw. Datenübertragungsstrecke zwischen dem RFID-Tag und Lesegerät überbrückt werden kann.

Version 01.2011 Copyright EPIGUARD RFID SHIELDING 2011

4-4

Beide reagieren in derselben Weise wie bei unmittelbarer physikalischer Nähe. Ziel des Angreifers ist hierbei nicht die Fälschung von Daten, Lesegeräten oder RFID- Chips, sondern die gegenseitige Vortäuschung der für einen normalen Betrieb geforderten physikalischen Präsenz/Existenz von RFID-Chips. RFID-Chip und Lesegerät sollen so zu einer vom echten Systembenutzer unerwünschten gegenseitigen Kommunikation und entsprechenden (möglicherweise sicherheitskritischen) Aktionen angeregt werden, für welche eine physikalische Präsenz des RFIDChips gefordert ist.

RFID-Malware

RFID-Systeme können auch Angriffen durch Malware ausgesetzt sein. Hierunter zählen Buffer-Overflow- und SQL-Injection-Angriffe auf RFID-Tags oder Lesegeräte. Diese können durch speziell konstruierte Daten eines RFID-Tags erfolgen. Gelingt ein solcher Angriff, kann beliebiger Programmcode ausgeführt werden, oder Datenbankeinträge manipuliert werden. Hierdurch können beispielsweise Einträge in Datenbanken des Backend-Systems unauthorisiert manipuliert werden oder in den Backend-Systemen beliebiger Programmcode ausgeführt werden, wenn ein Buffer- Overflow im Backend-System ausgenutzt wird.

wenn ein Buffer- Overflow im Backend-System ausgenutzt wird. Auch RFID-Lesegeräte können als Ursprung von
wenn ein Buffer- Overflow im Backend-System ausgenutzt wird. Auch RFID-Lesegeräte können als Ursprung von

Auch RFID-Lesegeräte können als Ursprung von Buffer-Overflow-Angriffen dienen. Da es sich hier um neuere, oft noch nicht umfassend analysierte Technologien handelt, ist die Wahrscheinlichkeit, dass hier Schwachstellen existieren, nicht zu unterschätzen. Gelingt es einem Angreifer Lesegeräte zu kompromittieren, so kann dies auch eine die Backend-Systeme bedrohen.

Gelingt es einem Angreifer Lesegeräte zu kompromittieren, so kann dies auch eine die Backend-Systeme bedrohen.

Quelle: Fraunhofer SIT (Institut für Sichere Informations-Technologie)

SIT (Institut für Sichere Informations-Technologie) CRYPTALLOY RFID-Abschirmfolie Produkte, die das Prüf- und

CRYPTALLOY RFID-Abschirmfolie

Produkte, die das Prüf- und Gütesiegel von CRYPTALLOY tragen, schützen vor unbemerkten und unbefugten Auslesen von RFID-Transponder.

unbemerkten und unbefugten Auslesen von RFID-Transponder. E-mail: profiler@epiguard.ch Web: www.epiguard.ch Version
unbemerkten und unbefugten Auslesen von RFID-Transponder. E-mail: profiler@epiguard.ch Web: www.epiguard.ch Version

E-mail: profiler@epiguard.ch Web: www.epiguard.ch

Version 01.2011 Copyright EPIGUARD RFID SHIELDING 2011