"Veilige RFID-chip bestaat niet" (interview)
Leveranciers van RFID-chips hebben te vaak op de beveiliging beknibbeld, waardoor er nu miljoenen onveilige chips in omloop zijn, aldus onderzoekster Melanie Rieback in een interview met Security.nl. Tijdens de Infosecurity beurs op 3 en 4 november, geeft ze een lezing over de RFID Guardian, een apparaat om de veiligheid van RFID-systemen te onderzoeken.
Een vaak gehoorde opmerking van leveranciers is dat veel van de problemen met de technologie zich alleen in oude versies voordoen. Nieuwe chips beschikken over sterkere encryptie en zouden daardoor hackers op afstand houden. "Natuurlijk zit het probleem ook in de implementatie. De crypto mag dan kloppen, de implementatie laat je allerlei aanvallen uitvoeren en sleutels achterhalen. Mensen zijn erin geslaagd om geldautomaten te kraken. Die zijn beter beveiligd dan een RFID-chip." Volgens Rieback blijft het een kat-en-muis spel. De onderzoekster vindt het goed dat leveranciers nu op nieuwere chips overstappen, nu gebleken is dat de oudere chips zeer eenvoudig zijn te kraken. "Leveranciers moeten er wel rekening mee houden dat de generatie die ze nu uitbrengen ook gekraakt zal worden."
En dat is een probleem, aangezien het onmogelijk is om oudere RFID-chips te updaten. "Ze hebben al een gigantisch probleem met alle legacy techniek die er nog is. Daarom moeten mensen RFID-systemen evalueren voordat ze gebouwd worden, want nu zijn er al miljoenen kaarten gedistribueerd." Rieback vergelijkt het met de problemen waar Microsoft tegen aanloopt. "Namelijk dat er oudere versies van de software in omloop zijn. Dat kun je niet in een dag oplossen, wat betekent dat alle 'loopholes' die je oudere producten hebben, open moeten blijven, omdat ze anders niet meer werken en dat is onacceptabel."
Afweging
De vraag blijft waarom RFID-leveranciers niet over de veiligheid van zo'n belangrijke techniek nadachten. "Destijds was RFID-beveiliging niet zo'n vraagstuk als het nu is. Ze hebben bewust afwegingen gemaakt om meer geld uit te geven aan een chip met meer crypto of minder geld aan een chip met proprietary crypto. Ze gingen uiteindelijk voor de goedkopere optie. Het was een afweging en het is nu duidelijk dat ze de verkeerde keuze maakten." Rieback merkt op dat leveranciers in de toekomst met dit soort afwegingen te maken blijven krijgen. Aan het eind van de dag komt het erop neer hoeveel budget ze hebben en of er mensen naar de veiligheid van het systeem willen kijken. "In sommige gevallen met de stemcomputers heb je dat de mensen die het systeem testen, dezelfde mensen zijn die het bouwden. Hoe we er ook om kunnen lachen, ook voor RFID en paspoorten begint dezelfde situatie te gelden."
"Ja ze hebben externe consultants ingehuurd. De andere keuze die ze maakten was voor gesloten systemen, technologieën, protocollen standaarden, in plaats van open varianten te gebruiken. En wederom was dit een afweging die ze maakten, waar ze uiteindelijk de rekening voor betaalden. Zoals elke cryptograaf je kan vertellen, open crypto is goede crypto. Ze hadden daarvoor kunnen kiezen, maar kozen er niet voor."
Inmiddels duikt RFID overal op. Zo test ABN Amro volgens Rieback contactloos betalen. "Hoe gaan ze hiermee om. Nu zullen we zien of ze iets geleerd hebben." Ze ziet dat er langzaamaan en bewustzijn ontstaat dat RFID veilig moet. "Is het snel genoeg? misschien niet. Maar aan het eind van de dag zal ook RFID er komen, net als alle andere technologieën."
Malware
In het verleden schreef Rieback de eerste RFID-malware, die chips kon 'infecteren'. De meeste malware voor computers heeft een financiële motivatie. Volgens haar is er ook met RFID-malware geld te verdienen. "RFID is niet uniek. Het is een manier om een systeem binnen te dringen." Daarbij maakt het niet uit of de RFID-chips veel informatie bevatten of niet. "Het is alleen een frontend, een interface voor een computersysteem. Als je die interface kunt misbruiken kun je uiteindelijk binnendringen."
Portemonnee
Sommige mensen maken zich zorgen over hun privacy als het om RFID-tags gaat en gebruiken speciale portemonnees of wikkelen de pasjes met een chip in folie. Rieback begrijpt de risico's van RFID, maar vindt op dit moment de risico's kleiner dan veel andere zaken en vindt het waarschijnlijker dat iemand haar tas steelt dan de RFID-chips uitleest. "Ik denk echter niet dat dit scenario het zelfde zal blijven."
Juist de RFID Guardian waar ze aan werkt kan hiervoor zorgen. "Op dit moment maak ik me nog geen zorgen en zie ik geen reden om een aluminiumfolie portemonnee te gebruiken." Voor bedrijven en overheidsinstanties is dat een heel ander verhaal. "Die hebben met een heel ander dreigingslandschap te maken. Een vervoersbedrijf zoals GVB heeft veel meer te verliezen met RFID security dan ik persoonlijk. Als iemand de laatste drie stations uitleest waar ik ben geweest, lig ik daar niet wakker van. Andere mensen misschien wel. Maar voor het GVB kan het wel direct financiële gevolgen hebben als mensen gratis lezen. Het is waarschijnlijker dat RFID-aanvallen op grote organisaties plaatsvinden dan op mij."
De RFID Guardian gaat zo rond de 500 euro kosten en is volledig open source. Gebruikers kunnen zo een soort Metasploit-achtige omgeving bouwen om RFID-chips aan te vallen. Het idee is dat de gemeenschap straks aanvullende software gaat ontwikkelen, net als met Nessus en Snort. Ook wie beveiligingslekken met de OV-chipkaart wil onderzoeken heeft met de RFID Guardian het juiste gereedschap in handen, merkt de onderzoekster op. Het project voor Rieback is nog niet voorbij als het apparaat straks op de markt is. Dan pas kan de gemeenschap aanvullende software ontwikkelen en onderzoekers het gaan gebruiken voor beveiligingswerk op echte systemen. "Het is het einde van het ene, maar het begin van een nieuw en mogelijk nog veel spannender avontuur."
Wat is trouwens het voordeel van de RFID Guardian in tegenstelling tot een Proxmark III?
Ik ga binnenkort naar de Infosecurtiy beurs, daar wordt een lezing gehouden over de RFID Guardian, lijkt me interessant.
Ik heb trouwens in 2007 een stuk geschreven over RFID jamming, waarin deze RFID Guardian ook aan bod komt:
http://home.student.utwente.nl/g.r.kok/papers/RFIDJamming.pdf
En, hoewel een beetje laat na drie jaar, kan ik het toch niet laten je even te wijzen op de spelling van Crispo (niet Cripso) en Tanenbaum (niet Tananbaum) (pagina 10).
Ik heb trouwens in 2007 een stuk geschreven over RFID jamming, waarin deze RFID Guardian ook aan bod komt:
http://home.student.utwente.nl/g.r.kok/papers/RFIDJamming.pdf
Maar ís het daarmee een RFID-chip, of is dat niet meer dan een onderdeel van het geheel?
RF = Radio Frequency
ID = Identificatie
Het RF-deel klopt, het ID-deel is aanwezig, maar kan een identificatie saldo laden, betalingen uitvoeren, een log van de laatste reizen en abonnementen opslaan? Natuurlijk niet, het gaat veel verder dan alleen identificatie, en daarmee dekt de term RFID de lading niet meer voor deze toepassing. Toch de term RFID gebruiken lijkt op "identiteitskaart" zeggen als je je hele portemonnee bedoelt, waar ook contant geld, pinpassen, OV-kaarten en ga zo maar door inzitten. Je kan je voorstellen dat je geen goed advies krijgt als je iemand vraagt wat je allemaal moet doen bij vermissing van je identiteitskaart als je al die andere dingen ook bedoelt, maar dat niet expliciet maakt.
Ik heb zelf bijvoorbeeld ooit meegemaakt dat keuzes over het gebruik van JavaScript in een webapplicatie gebaseerd werden op kenmerken van Java, domweg omdat die termen hardnekkig door elkaar werden gebruikt, ook door mensen die beter moesten weten. Niet-techische managers lazen helaas ook artikelen over Java, dachten dat wat ze lazen van toepassing was op wat er ontwikkeld werd. Ze werden daarin onvoldoende gecorrigeerd, mede dankzij het nonchalante taalgebruik van mensen die dichter bij het vuur zaten, en de spraakverwarring won het van de pogingen die te corrigeren.
Ik kan me dus vinden in het bezwaar, je praat erg makkelijk langs elkaar heen als een of meer betrokkenen zich onnauwkeurig uitdrukken, makkelijker dan menigeen zich realiseert. Dat kan besluitvormingsprocessen negatief beïnvloeden. In dit geval kan ik me voorstellen dat eigenschappen van RFID in zijn zuivere betekenis, alleen identificatie via RF-technologie dus, door sommigen geprojecteerd worden op toepassingen die veel meer omvatten. Door managers die verantwoordelijk zijn voor het budget, bijvoorbeeld, maar die zelf de techniek niet overzien. Dat kan tot ongelukken leiden.
Maar ís het daarmee een RFID-chip, of is dat niet meer dan een onderdeel van het geheel?
RF = Radio Frequency
ID = Identificatie
Het RF-deel klopt, het ID-deel is aanwezig, maar kan een identificatie saldo laden, betalingen uitvoeren, een log van de laatste reizen en abonnementen opslaan? Natuurlijk niet, het gaat veel verder dan alleen identificatie, en daarmee dekt de term RFID de lading niet meer voor deze toepassing. Toch de term RFID gebruiken lijkt op "identiteitskaart" zeggen als je je hele portemonnee bedoelt, waar ook contant geld, pinpassen, OV-kaarten en ga zo maar door inzitten. Je kan je voorstellen dat je geen goed advies krijgt als je iemand vraagt wat je allemaal moet doen bij vermissing van je identiteitskaart als je al die andere dingen ook bedoelt, maar dat niet expliciet maakt.
Ik heb zelf bijvoorbeeld ooit meegemaakt dat keuzes over het gebruik van JavaScript in een webapplicatie gebaseerd werden op kenmerken van Java, domweg omdat die termen hardnekkig door elkaar werden gebruikt, ook door mensen die beter moesten weten. Niet-techische managers lazen helaas ook artikelen over Java, dachten dat wat ze lazen van toepassing was op wat er ontwikkeld werd. Ze werden daarin onvoldoende gecorrigeerd, mede dankzij het nonchalante taalgebruik van mensen die dichter bij het vuur zaten, en de spraakverwarring won het van de pogingen die te corrigeren.
Ik kan me dus vinden in het bezwaar, je praat erg makkelijk langs elkaar heen als een of meer betrokkenen zich onnauwkeurig uitdrukken, makkelijker dan menigeen zich realiseert. Dat kan besluitvormingsprocessen negatief beïnvloeden. In dit geval kan ik me voorstellen dat eigenschappen van RFID in zijn zuivere betekenis, alleen identificatie via RF-technologie dus, door sommigen geprojecteerd worden op toepassingen die veel meer omvatten. Door managers die verantwoordelijk zijn voor het budget, bijvoorbeeld, maar die zelf de techniek niet overzien. Dat kan tot ongelukken leiden.
Andere frequenties, ander bereik en vooral de verschillende complexiteit.
De Guardian was 3 jaar geleden op de status dat deze RFID tags moest beschermen die geen access control hadden, dmv het bijhouden van de tags die beschermd moeten worden en jammen zodra deze tags aangeroepen worden door lezers.
@wizzkizz, voor de duidelijkheid is NFC een van de technieken waarmee contactloos betaald kan worden. De contactloze betaalkaarten van Mastercard en VISA, zoals ze veel in de USA worden ingezet, werken niet op NFC. Sterker nog, wanneer jij een kaart hebt ter grootte van een betaalkaart en je betaalt daarmee in de winkel, zeg ik met 99% zekerheid dat dat geen NFC is.
Mensen gooien te veel technieken onder 1 of een verkeerde paraplu. Ik noem als voorbeelden NFC, RFID, 4G etc. Niet vreemd als de bedrijven die er een slaatje uit slaan graag met onterechte termen spuien, de media het overnemen en de publiek het aanneemt als waarheid.
Ik heb trouwens in 2007 een stuk geschreven over RFID jamming, waarin deze RFID Guardian ook aan bod komt:
http://home.student.utwente.nl/g.r.kok/papers/RFIDJamming.pdf
Na mijn mening is dat niet onterecht maar terecht, in een poep en een scheet reis je gratis met het openbaar vervoer en die allemaal met een simpele RFID reader/writer, een laptop, twee handen en een stel hersens.
Nu had ik hiervoor nooit zwarte gereden, maar sinds de invoering van de OV-chipkaart is het wel erg makkelijk geworden want volgens de conducteur heb ik dan een geldig plaatsbewijs ! :P
Daarnaast zijn er tegenwoordig ook tal van bedrijven die hun voordeur beveiligen met van dit soort systemen (sukkels), wat men zich niet gerealiseerd is dat ze het wel heel erg makkelijk maken voor een inbreker met hersens. Deze haalt namelijk het pand leeg met een copy pas van een medewerker, omdat er vervolgens geen braak sporen zijn is de kans groot dat je verzekering op zoon moment geen enkele schade dekt.
De keerzijde van open crypto is dat het voor aanvallers ook gemakkelijker is om de gebruikte encryptie te bestuderen, om te kijken hoe zij hier aanvallen op kunnen uitvoeren. Natuurlijk is het controleren van beveiliging bij open source makkelijker, maar dat gebeurt niet per definitie op een ethische manier.
Verder zegt het feit dat iets open source is niets over de vraag of het kwalitatief goed/veilig geschreven is, al is het gemakkelijker om samen te werken om het produkt te verbeteren. Wat dat betreft zijn dit soort mantra's behoorlijk kortzichtig, je zou bijna denken dat open source per definitie gelijk staat aan veilig, terwijl ook open source haken en ogen heeft.
De keerzijde van open crypto is dat het voor aanvallers ook gemakkelijker is om de gebruikte encryptie te bestuderen, om te kijken hoe zij hier aanvallen op kunnen uitvoeren. Natuurlijk is het controleren van beveiliging bij open source makkelijker, maar dat gebeurt niet per definitie op een ethische manier.
Natuurlijk is het mogelijk dat een onguur type degene is die als eerste een zwakte ontdekt. Maar legitieme cryptografen maken er zelf actief werk van die algoritmes aan te vallen. En zodra dat lukt weet meteen de hele wereld dat het tijd is om over te stappen op wat anders. Zonder die cryptografen zou je argument misschien opgaan, maar die groep is er, en kan alleen goed functioneren als de algoritmes openbaar zijn.
Maar je hebt gelijk dat open source niet automatisch veilig is. Vandaag lezen we op deze site dat Joomla zo lek als een mandje is, bijvoorbeeld. Waar dat aan ligt? Wie weet trekt dat CMS een slag ontwikkelaars dat meer op de presentatie dan op de interne robuustheid gericht is, het kan de cultuur van de groep zijn. Open source biedt inderdaad geen automatische garantie op veiligheid, maar het voordeel van die openheid blijkt echt te zijn als je de moeite doet om zelf naar informatie te zoeken. Over belangrijke producten wordt voldoende gediscussieerdop openbare fora om een indruk van de kwaliteiten en zwaktes te krijgen. Ook meningen van degenen die pakketten binnen een Linuxdistributie onderhouden over de upstream-ontwikkelaars en vice versa kunnen zeer informatief zijn. Bug tracking is volkomen openbaar, je kan zien wat voor fouten er zijn, hoe de ontwikkelaars op de melders reageren en hoe alert ze zijn in het oplossen ervan. Je kan zien hoe actief er aan een product ontwikkeld wordt.
Ik heb zelf nog niet zo lang geleden uit nieuwsgierigheid de sourcecode van twee producten voor beeldverwerking waar ik mee werk bekeken, beide open source. De een is spaghetticode met uitsluitend globale variabelen, de ander is meticuleus netjes opgezet, en zeer modulair van structuur. Zonder zelfs maar naar bugreports te kijken weet ik al dat een bug in de eerste moeilijk te localiseren is, en dat elke aanpassing makkelijk ongewenste neveneffecten kan hebben omdat alles door elkaar loopt en dus potentieel alles door alles wordt beïnvloed. De tweede is aanzienlijk overzichtelijker, en de neveneffecten zullen veelal locaal, en anders makkelijk traceerbaar zijn. Dat zegt ook iets over de kans op veiligheidslekken en het vermogen van de ontwikkelaars om ze te herstellen. Zo'n kijkje in de keuken krijg je bij closed source domweg niet, op zijn best ontwikkel je na voldoende intensief gebruik een gevoel voor wat zich ongeveer onder de motorkap af moet spelen. Open source biedt in dit opzicht een echt voordeel.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
