www.epiguard.

ch

Gefahren von RFID-Technologie

1-4

RFID-spezifische Sicherheit und Angriffsmethoden

Die mglichen Bedrohungen und Angriffsszenarien bei RFID-Systemen sind vielfltig. Mit einem Angriff kann versucht werden, ein RFID-System unbrauchbar zu machen, seine korrekte Funktionsweise zu stren, es zu missbrauchen oder seine Sicherheitsmechanismen zu berwinden. Im Hinblick auf Datensicherheit kann es ein Angreifer auf die Gewinnung geheimer bzw. vertraulicher Daten absehen, zu deren sicheren Speicherung oder bermittlung RFID-Technik eingesetzt wird. Unter dem Gesichtspunkt des Datenschutzes stellt die berwachung von Personen mit Hilfe von RFID-Technik eine mgliche Bedrohung dar. Daten, die zwischen RFID-Reader und RFID-Chips ber die Luftschnittstelle ausgetauscht werden, knnen von unbefugten Dritten ausgelesen, missbraucht, manipuliert oder zerstrt werden. Auch mechanische Angriffs-Methoden wie Zerstrung, Entfernung des RFID-Chips oder Abschirmung machen den RFID-Chip unbrauchbar. Auch Blocker-Tags oder Strsender bewirken Beschdigungen. Obwohl in vielen Bereichen Abwehrmechanismen wie z.B. Verschlsselungmethoden bestehen, werden diese aufgrund der zustzlichen Kosten oftmals nicht angewendet. Mit der Vernachlssigung der Sicherheitsmassnahmen knnen aber zahlreiche Risiken einhergehen: Datendiebstahl, Identittsbetrug, Datenmissbrauch, Zahlungsbetrug sind mgliche Folgen. Generische Methoden, die beim Angriff auf RFID-Systeme zum Einsatz kommen, sind:

Sniffing
Bei Sniffing-Attacken versuchen Angreifer, Daten, die auf dem RFID-Chip gespeichert sind oder zwischen dem RFID-Chip und dem Lesegert versendet werden, auszulesen. Angreifer verfolgen das Ziel, sich unbefugt in den Besitz von Daten zu bringen, die auf dem RFID-Chip gespeichert sind oder zwischen Chip und Lesegert versendet werden. Dabei kommen grundstzlich zwei Methoden zum Einsatz: Entweder wird die laufende Datenkommunikation zwischen RFID-Tag und Lesegert mit Hilfe eines Empfngers heimlich abgehrt (Eavesdropping), oder der Chip wird mit einem eigenen RFIDLesegert illegal ausgelesen (Unauthorised Reading).

Version 01.2011 Copyright EPIGUARD RFID SHIELDING 2011

2-4

Spoofing und Replay-Attacken

Bei Spoofing werden Daten nicht nur unbefugt ausgelesen oder abgehrt sondern auch manipuliert oder geflscht. Konkrete Angriffziele knnen hierbei die Kennnummer eines RFIDChips, weitere auf dem RFID-Chip gespeicherte Inhalte oder auch zwischen einem RFID-Chip und einem Lesegert ausgetauschte Informationen sein. Zur Ausfhrung des Angriffs kann entweder eine direkte Manipulation von Daten auf einem Chip oder eine Absendung manipulierter Daten an einen Chip (z.B. zur Vortuschung eines vorhandenen aut horisierten Lesegertes) versucht werden. Replay-Attacken verfolgen das Ziel, eine zuvor abgehrte echte Datenkommunikation zu einem spteren Zeitpunkt erneut einzuspielen, um so die erneute Prsenz eines vorher verwendeten authorisierten RFID-Lesegertes vorzutuschen.

Man-in-the-Middle-Attacken
Bei Man-in-the-Middle-Attacken geht es Angreifern auch um das Flschen von Daten. Dabei schaltet sich der Angreifer zwischen die laufende Kommunikation von RFIDReader und Tag. Die von der einen Seite abgesendete Daten werden vom Angreifer abgefangen und manipuliert oder geflschte Daten werden an die andere Seite weitergereicht. Beide Seiten (Empfnger und Sender) bemerken den zwischengeschalteten Angreifer nicht. RFID-Chip und RFID-Reader gehen von einer echten, vertrauenswrdigen Gegenseite (Quelle) aus, mit der sie kommunizieren.

Cloning und Emulation

Bei dieser Methode werden mit den Dateninhalten eines RFID-Transponders eigene Duplikate von RFID-Chips nachgebaut. Die Daten knnen dabei aus erfolgreichen Sniffing-Attacken stammen oder selbst erzeugt worden sein.

Denial of Service
Der Angreifer, der diese Methode benutzt, verfolgt nicht das Ziel, unerlaubt an Daten zu gelangen bzw. diese zu gewinnen oder unbefugt zu manipulieren. Es geht ihm vielmehr darum, die Funktion des RFID-Systems zu stren bzw. unbrauchbar zu machen. Hierbei knnen unterschiedliche Verfahren zum Einsatz kommen, wie z.B. die folgenden Angriffsmethoden: a) Mechanische Angriffe: Der Angriff kann rein mechanisch erfolgen, d.h. der RFID-Chip wird mechanisch zerstrt oder einfach entfernt. Allerdings sind solche Angriffe in der Regel nicht unbemerkt durchfhrbar und daher in vielen Anwendungsumgebungen nicht praktikabel. b) Kill-Kommandos: Durch die Verwendung unbefugter Operationen zur kompletten Deaktivierung von RFID-Chips oder zum Lschen von Anwendungen auf dem RFID-Chip knnen RFIDChips auf Dauer unbrauchbar gemacht werden (Kill-Kommandos).

Version 01.2011 Copyright EPIGUARD RFID SHIELDING 2011

3-4

Diese Operationen erfordern jedoch die Vortuschung eines autorisierten RFID-Leseoder Schreibge-rtes und ist meist nur unter Labor-Bedingungen mglich. c) Shielding: Eine (temporre) Strung der Kommunikation ist ein gegenseitiges Abschirmen von Sender und Empfnger durch mechanische Unterbrechung des bertragungsmediums mit Hilfe geeigneter Materialien (Shielding). Die Datenkommunikation zwischen Reader und Tag wird dadurch unterbrochen, eine eine mechanische RFID-Abschirmung anzubringen. In vielen Fllen reicht eine RFIDSchutzfolie aus Metall aus, um die wechselseitige Kommunikation zu verhindern. d) Aktive Strsender Aktive Strsender beeinflussen das elektromagnetische Feld zwischen RFID-Tag und Lesegert und unterbrechen damit ebenfalls die Datenkommunikation. Neben aktiven Strsender kann ein Angreifer ein Gert, welches in sonstiger Weise die elektronmagnetischen Felder beeinflusst (z.B. Frequenzfilterung). e) Blocker-Tags Blocker Tags tuschen dem RFID-Reader die Existenz/Prsenz bestimmter passiver RFID-Tags vor und verhindern so die Erfassung des eigentlichen Chips. f) RFID Zapper RFID Zapper knnen dazu verwendet werden, einen starken elektromagnetischen Puls (EMP) zu erzeugen. Dadurch knnen RFID-Chips gewaltsam (aber im Gegensatz zur Zerstrung in einem Mikrowellenofen ohne sichtbare Spuren) zerstrt werden. Da kein physischer Kontakt zum RFID-Chip notwendig ist, ist es auch denkbar, dass ein RFID-Zapper ohne das Wissen und gegen den Willen des Besitzers verwendet wird.

Tracking
Beim Tracking hat es ein Angreifer auf eine unbemerkte berwachung von Personen abgesehen. Durch Zuordnung von RFID-Chip-Nummern und den Zeitpunkten der Verwendung des RFID-Chips an bestimmten Terminals knnen umfangreiche Bewegungsprofile erstellt werden. Diese Methode wird als RFID-Tracking bezeichnet und wird bei personenbezogene Daten wie z.B. beim Einsatz von Ausweisen oder Kundenkarten. angewendet:

Relay-Angriffe
Ein Relay-Angriff beruht darauf, dass ein Angreifer versucht, unbemerkt die Lesereichweite eines RFID-Chips zu erhhen (Mafia Fraud Attacks). Zur Durchfhrung bentigt der Angreifer zwei zustzliche Gerte: Ein Ghost zur Kommunikation mit dem RFID-Transponder, ein Leech zur Kommunikation mit dem Lesegert. Beide Gerte verfgen ber eine erhhte Sende- und Empfangsleistung, und tauschen die jeweils empfangenen Signale gegenseitig aus. Sie sind also auf grssere Reichweiten ausgelegt und bewirken somit, dass eine lngere Distanz bzw. Datenbertragungsstrecke zwischen dem RFID-Tag und Lesegert berbrckt werden kann.

Version 01.2011 Copyright EPIGUARD RFID SHIELDING 2011

4-4

Beide reagieren in derselben Weise wie bei unmittelbarer physikalischer Nhe. Ziel des Angreifers ist hierbei nicht die Flschung von Daten, Lesegerten oder RFIDChips, sondern die gegenseitige Vortuschung der fr einen normalen Betrieb geforderten physikalischen Prsenz/Existenz von RFID-Chips. RFID-Chip und Lesegert sollen so zu einer vom echten Systembenutzer unerwnschten gegenseitigen Kommunikation und entsprechenden (mglicherweise sicherheitskritischen) Aktionen angeregt werden, fr welche eine physikalische Prsenz des RFIDChips gefordert ist.

RFID-Malware
RFID-Systeme knnen auch Angriffen durch Malware ausgesetzt sein. Hierunter zhlen Buffer-Overflow- und SQL-Injection-Angriffe auf RFID-Tags oder Lesegerte. Diese knnen durch speziell konstruierte Daten eines RFID-Tags erfolgen. Gelingt ein solcher Angriff, kann beliebiger Programmcode ausgefhrt werden, oder Datenbankeintrge manipuliert werden. Hierdurch knnen beispielsweise Eintrge in Datenbanken des Backend-Systems unauthorisiert manipuliert werden oder in den Backend-Systemen beliebiger Programmcode ausgefhrt werden, wenn ein BufferOverflow im Backend-System ausgenutzt wird. Auch RFID-Lesegerte knnen als Ursprung von Buffer-Overflow-Angriffen dienen. Da es sich hier um neuere, oft noch nicht umfassend analysierte Technologien handelt, ist die Wahrscheinlichkeit, dass hier Schwachstellen existieren, nicht zu unterschtzen. Gelingt es einem Angreifer Lesegerte zu kompromittieren, so kann dies auch eine die Backend-Systeme bedrohen.

Quelle: Fraunhofer SIT (Institut fr Sichere Informations-Technologie)

CRYPTALLOY RFID-Abschirmfolie
Produkte, die das Prf- und Gtesiegel von CRYPTALLOY tragen, schtzen vor unbemerkten und unbefugten Auslesen von RFID-Transponder.

E-mail: profiler@epiguard.ch Web: www.epiguard.ch

Version 01.2011 Copyright EPIGUARD RFID SHIELDING 2011