Sårbare RFID-brikker

RFID-brikker gjør det mulig å identifisere både mennesker og varer på avstand, men teknologien er sårbar for angrep fra folk med onde hensikter.

Publisert
Mohammad Reza Sohizadeh Abyaneh har avdekket at RFID-brikker ikke er så sikre. (Foto: Dag Hellestad)
Mohammad Reza Sohizadeh Abyaneh har avdekket at RFID-brikker ikke er så sikre. (Foto: Dag Hellestad)

Fakta om RFID:

RFID (Radio Frequency Identification) er et digitalt merkesystem, og en metode for automatisk verifikasjon av identitet basert på lagring av identitetsopplysninger i små enheter, RFID-brikker.

Teknologien vil etter hvert erstatte strekkoder. Informasjonen kan avleses kontaktløst ved hjelp av radiobølger.

Avlesning skjer fra mottaksenheter, RFID-baser, som må befinne seg i nærheten av RFID-brikken. Det er utviklet to typer RFID-brikker, aktive, som er avhengig av egen kraftforsyning, og passive.

Teknologien finnes i mange ulike formater og brukes i forbindelse med autopassbrikker, parkeringskort, betalingskort, adgangskontroll, merking av utstyr, tyverisikring osv.

(kilde: snl.no)

De brukes i adgangskort, reisekort og ID-kort, og kan gjøre hverdagen enklere for de fleste av oss. Dessverre kan noen av dem også bidra til å gjøre den litt mindre trygg.

RFID (Radio Frequency Identification) er en teknologi som gjør det mulig å identifisere mennesker, dyr og ting automatisk og trådløst – uten at objektet trenger å berøre RFID-leseren.

Dette skjer ved hjelp av såkalte RFID-brikker som kan leses av med radiobølger.

Også i de nye E-passene er det RFID-brikker, og mange dyreeiere merker utstyrer kjæledyrene sine med slike brikker, for at de skal kunne returneres til rette eier om de skulle stikke av.

Enkelt, praktisk – og utrygt?

- RFID-brikkene inneholder ofte viktige identifikasjonsdata som kan avleses av RFID-lesere. Imidlertid kan dette være problematisk når brikkene leses av ulovlig og disse dataene misbrukes, sier Mohammad Reza Sohizadeh Abyaneh til forskning.no.

I doktoravhandlingen Security Analysis of Lightweight Schemes for RFID Systems har han sett nærmere på sikkerhetssystemene som skal hindre misbruk av RFID-teknologi.

- Det finnes allerede sikkerhetsløsninger. Men spørsmålet er hvor sikre disse egentlig er. Min oppgave handler om hvordan man kan analysere sikkerheten til disse løsningene, forklarer Sohizadeh.

Billigst er ikke best

I arbeidet med doktoravhandlingen har Sohizadeh undersøkt sikkerheten til noen av de enkleste og billigste RFID-brikkene. Disse billige brikkene har begrenset evne til å implementere flere typer sikkerhetstiltak, som for eksempel kryptering. 

De er ment å erstatte strekkoder, og skal hovedsakelig brukes til å identifisere varer i butikker og på lagre. Imidlertid finnes de ifølge  Sohizadeh også i reisekort – og til og med i enkelte ID-kort.

Sohizadeh har analysert sikkerheten i disse systemene ved å simulere angrep på sikkerhetsløsningene. Resultatene er nedslående.

- Jeg har funnet ut at alle løsningene jeg har analysert mangler sikkerhet, og at de er sårbare for enkelte angrep, sier han.

Lettvektssikkerhet

Produsentene av RFID-systemene har forsøkt å ivareta sikkerheten i de billige RFID-systemene ved hjelp av såkalte lettvektssikkerhetsprotokoller. Disse sikkerhetssystemene skal i teorien gi høy ytelse og god sikkerhet, selv med den begrensede kapasiteten til de billigste brikkene.

Dessverre ender de ofte opp med å ofre sikkerheten til fordel for en lettere løsning, hevder Sohizadeh.

- De som har utformet disse sikkerhetsløsningene har hevdet at de har oppfylt kravene til sikkerhet, og at sikkerhetsløsningene motstår angrep godt. Jeg har likevel vist at det ikke er sånn, og at noen typer angrep kan være vellykket mot disse løsningene, sier han.

Simulerte angrep – virkelig trussel

Selv om  Sohizadeh bare har arbeidet med simulerte angrep, mener han at sikkerhetstrusselen er reell nok. Selv om et virkelig angrep krever god forståelse av systemene, samt noen elektroniske hjelpemidler, er det fullt mulig for en person med onde hensikter å knekke systemene og lese av RFID-brikker på ulovlig vis.

- Hvis man er motivert, er det verken veldig vanskelig eller dyrt å gjøre det. Man trenger bare en laptop og noen elektroniske verktøy, sier  Sohizadeh.

Slik uautorisert avlesning av RFID-brikker rammer ikke bare sikkerheten, men også personvernet. Etter hvert som teknologien blir mer utbredt, kan en ulovlig skanning avsløre svært mye om en person.

Ved å skanne forskjellige kort, kan gjerningsmannen tilegne seg offerets personopplysninger. I tillegg kan han for eksempel finne ut hvilke nøkkelkort og ID-kort offeret har på seg, og hvilke transportmidler han bruker. Siden noen av de vanligste brikkene kan leses på opp til ti meters avstand, er det også fullt mulig å overvåke en person ved hjelp av RFID.

Bevisst sikkerhetsvurdering nødvendig

Heldigvis benytter betalingskort og elektroniske pass dyrere og sikrere RFID-brikker. Disse brikkene må man mye nærmere for å lese av, og de er også langt vanskeligere å angripe enn de billigere typene. Men umulig er det ikke.

Skal man gjøre RFID-systemene sikrere, mener Sohizadeh at en fullstendig og bevisst sikkerhetsvurdering eller analyse må til. Men også forbrukerne kan gjøre sitt for å sikre sine egne RFID-brikker mot uautorisert skanning.

- Det finnes skjermingsprodukter som beskytter produkter med RFID-brikker mot å bli lest ulovlig, forteller Sohizadeh, som lever som han lærer.

Selv bruker han nemlig en RFID-sikker lommebok. For sikkerhets skyld.