Niet alleen de RFID-chips in de OV-chipkaart zijn kwetsbaar voor hackers, hetzelfde probleem speelt bij de afvalverwerking in Nederland. Door het klonen van de chips kan iemand de buren voor de kosten van zijn of haar afval op laten draaien. Dick Visser en Thijs Kinkhorst van de Universiteit van Amsterdam onderzochten de beveiliging en betrouwbaarheid van de automatische afvalregistratie in Nederland en kwamen tot de ontdekking dat die geheel ontbreekt. In verschillende Nederlandse steden wordt het afval geregistreerd. Sommige burgers hebben een persoonlijke container anderen een gedeelde. Aan de hand van een pasje dat de gebruiker identificeert wordt de hoeveelheid afval en veroorzaakte kosten gemeten. De persoonlijke kaart is voorzien van een RFID-chip.
De onderzoekers liepen tegen het probleem aan dat er vrij weinig informatie over de beveiliging van de gebruikte systemen beschikbaar is. De informatie van de fabrikanten en leveranciers is enigszins subjectief te noemen en niet technisch. Na een onderzoek van vier weken bleek dat er bij geen enkel systeem over de veiligheid was nagedacht. Geen enkele RFID-chip gebruikte encryptie en het klonen van de pasjes is zeer eenvoudig.
Voor "aanvallers", of beter gezegd burgers die niet voor hun afvalverwerking willen betalen of niet willen dat anderen weten wat voor afval zij produceren, zijn er verschillende scenario's interessant. Zo is het klonen van de buurman zijn RFID-chip niet verstandig omdat dit tijdens de administratie van de afvalverwerking zal opvallen. Beter is het om bij gedeelde containers toe te slaan. De heilige graal is echter het bemachtigen van een universeel toegangspasje. Deze "onderhoudskaarten" hebben toegang tot alle containers.
Verplicht onversleuteld
Een deel van het probleem wordt veroorzaakt door de standaard die het "Comité Européen de Normalisation" heeft opgesteld. Die bepaalt dat alle tags publiekelijk leesbaar moeten zijn en geen encryptie of andere codering mogen toepassen. "Dit is juist de reden dat deze chips zo eenvoudig zijn te dupliceren", aldus de onderzoekers. Die zien echter nog wel mogelijkheden om de situatie te verbeteren. Beveiliging van de RFID-chips, huishoudens inzage in hun transacties geven, slechts één container per afval ronde accepteren, monitoring van onverwachte incidenten en het gebruik van whitelists.
Visser en Kinkhorst besluiten met een boodschap die onlangs alle recente fiasco's nog steeds niet bij de industrie is doorgedrongen en dat is dat "security by obscurity" niet werkt. "Obscurity is niet voldoende voor een veilig systeem. Als het systeem van obscurity van de werkwijze afhankelijk is, met name bij een zeer publiekelijk systeem zoals de afvalverwerking, zal iemand vroeger of later ontdekken hoe het werkt. Daarom moet men vertrouwen op een werkwijze die werkt, ook al is die publiekelijk bekend."
Deze posting is gelocked. Reageren is niet meer mogelijk.