Haustiere mit Computervirus...

Liebe Gemeinde, eine von mir lange gehegte Hoffnung wurde heute wahr: noch vor flächendeckender Einführung von RFID-Tags wurde eine entscheidende Schwachstelle endlich auch ‚im Experiment’ nachgewiesen: die kleinen Etiketten können dazu missbraucht werden Schadcode in Systeme einzuschleusen und zu verbreiten. Hört sich wie eine ‚klassische' Viren oder Exploit Attacke an – ist es im Wesentlichen auch.

Wie könnte EIN mögliches ‚Angriffsszenario’ aussehen: Nun, aus einem Supermarkt ‚borgt’ man sich ein Produkt mit RFID-Tag aus und beschreibt zuhause Bereiche des Tags mit dem Schadcode neu (Systeminterne Kennung bleibt erhalten, damit Kassensystem später den Tag erkennt und ausliest). Dann geht man in den Supermarkt zurück und zur Kasse, wo der Tag ausgelesen wird – und der Schadcode ist im System. Vom System wird er dann auf weitere Tags ‚verteilt’. - quod erat demonstrandum

Ein RFID-Tag kann an sich nur wenige Byte (in der Regel 1024 Bit) an Information speichern und abgeben aber auch diese kleine Speichermenge bietet genug Platz um RFID-Middleware anzugreifen oder Datenbanken zu korrumpieren. Einmal im ‚System’ eingeschleust können daraufhin weitere RFID-Tags des Systems infiziert werden und für die weitere Verbreitung sorgen – also ähnliche Funktion wie bei Virus, Trojaner und Co.

Resultierend aus dieser Tatsache folgt, dass alle Systeme, die Daten auf RFID-Basis erhalten/lesen/auswerten, möglichen Angriffen ausgesetzt sind und selbst zum Angreifer werden können. Besonders prekär, da [[RFID]] Technik meistens bei ‚sehr realitätsnahen’ Software/Hardware Anwendungen zum Einsatz kommt wie zum Beispiel "Kennzeichnung" von Haustieren, Warenwirtschaftssystemen großer Handelsketten, Gepäcksverteilanlagen am Flughafen(!), Ticketsysteme, Identitätskarten... also alles Bereiche wo eine Korrumpierung der Daten sofortige und sichtbare wenn nicht sogar gefährliche Auswirkungen hat.

‚Entdeckt’ bzw. im Experiment nachgewiesen und veröffentlicht haben dies nun Wissenschaftler vom Department of Computer Science der Vrije Universiteit Amsterdam. In ihrem Experiment stellten sie den ersten sich selbst replizierenden RFID-Virus vor – nachdem sie zeigten, wie man RFID-Tags ‚hackt’. Gleichzeitig verwiesen sie aber auch auf Maßnahmen um das Hacken und Missbrauchen von RFID-Tags zu erschweren.
Überraschend ist der Titel ihrer Veröffentlichung, der nur vordergründig lustig erscheint, bei genauerem nachdenken könnte einem das Grauen kommen: „Is Your Cat Infected with a Computer Virus?“  - 

„Years after the successful introduction of RFID-based pet tagging, Seth the veterinarian's pet identification system started displaying odd behavior. First, the RFID reader seemed to be reporting incorrect pet address data. A couple hours later, the system seemed to be erasing data from pets' RFID tags. Then the strangest thing of all happened: the LCD display on the pet identification computer froze and displayed the ominous message: “All your pet are belong to us.” 
… ist der Anfang des Berichts, der nicht nur dem ‚NERD’ oder ‚Programmierern’ unter uns vorbehalten bleiben sollte, da er in doch verständlicher Form die Schwachstellen und die daraus resultierenden Probleme der RFID-Technik anschaulich beschreibt und so wesentliche Argumente im Gesellschaftspolitischen Diskurs liefern kann.
Liebe Leute ‚wir’ müssen uns mit diesem Thema auseinandersetzen – sonst tun es andere für uns (ja weiß eh, dass ist eh zu großen Teilen so aber ‚die Hoffnung stirbt zuletzt’...). Da kann ein wenig Einblick in die Materie nicht schaden.

Hier sei nochmal an die vergleichsweise ‚junge’ Variante des ‚Taggings’ erinnert: das ‚Semacode-Verfahren’ , das im Gegensatz zum RFID-Tag nicht ‚unaufgefortert’ Daten austauscht, preisgibt oder verändert. Hier erfolgt die Abfrage ‚bewusst’  durch den ‚User’ und auf vergleichsweise ‚sicherem Weg’. Zugegeben auch ‚Semacode’ läßt sich sicherlich durch Aufrufen präparierter Webseiten als Sicherheitslücke missbrauchen – aber dies betrifft JEDE Webadresse die ‚angeklickt’ wird und sollte durch die üblichen Sicherheitsmaßnahmen (System-Updates, Virenscann, Firewall...) in Grenzen gehalten werden.

Beiträge bei heise.de news  und telopolis