RFID - nu med virus eller hvad?
I de seneste uger har der på alverdens RFID-relaterede websites været en del debat om hvorvidt computerviruser kan spredes via RFID-tags. Rygtet blev hurtigt spredt til hele RFID-industrien, og selv New York Times bragte historien. Hvis det er muligt at sprede viruser via RFID-tags, så åbnes et væld af mulige skrækscenarioer. I denne artikel undersøger vi om der er hold i anklagerne, og ser nærmere på de potentielle konsekvenser.
|
Sagen tog sin begyndelse, da en forskergruppe fra Vrije Universitetet i Amsterdam offentligtgjorde en rapport under navnet Is your cat infected with a virus. Ifølge forskerne kan hukommelsen i RFID-tags inficeres med computervirus, der har til formål at forstyrre eller ødelægge de bagvedliggende databaser og ERP-systemer. Selve RFID-taggen er altså blot hackernes vej ind til de bagvedliggende systemer, som er de egentlige mål. RFID-systemer er ifølge forskerne yderst attraktive for hackere, da de kan indeholde både personlige og økonomiske data, som i sagens natur kan være meget sensitive.
Lykkes det for hackere at sprede vira i RFID-systemer, så åbnes et væld af mulige skrækscenarier. I de senere år er RFID-teknolgien blevet en stadig mere integreret del af samfundet, hvilket blot giver hackere endnu flere muligheder. Man kunne f.eks. forestille sig nogle af de følgende scenarier:
|
Spørgsmålet er om dette skærmbillede i fremtiden er en integreret del af RFID-systemer. |
- Bagagesystemer i lufthavne sættes ud af spil, mens mistænkelig bagage smugles ombord.
- Personlige oplysninger i f.eks. de nye RFID-baserede pas kan aflures og misbruges.
- Virksomheders logistiske systemer kan sættes ud af drift.
- Vira kan spredes til flere led i forsyningskæden via f.eks. EPC-netværket.
|
|
De røde pile i diagrammet viser, hvordan en computervirus ifølge de hollandske forskere kan spredes fra RFID-tags til de bagvedliggende dele af RFID-systemet. |
Hvis computervira kan spredes via RFID-tags, så vil det sikkert have store konsekvenser for udbredelsen af teknologien, og netop derfor var RFID-industrien da heller ikke længe om at kritisere rapporten. Således kom AIM-Global allerede dagen efter med en pressemeddelelse, hvori de kalder scenarierne i rapporten for urealistiske.
Ifølge AIM så har forskernes gennemført deres undersøgelser på åbenlyst fejlagtige systemer, som man aldrig vil se i virkelighedens verden. Forskerne har lagt en simpel SQL-baseret computervirus i en RFID-tag, og har så ladet en RFID-læser aflæse den, som var det en almindelig eksekverbar SQL-kode. Når SQL-koden eksekveres aktiviveres virusset som herefter selv spreder sig i systemet. Ifølge AIM er det dog kun meget dårligt designede systemer, som læser RFID-tags som bestod de af ekserkverbar kode.
|
RFID-læsere sammenligner derimod datastrukturen i RFID-taggen med datastrukturen i den bagvedliggende database og alle eventuelle uoverensstemmelser bliver ignoreret. Denne sikkerhedsforanstaltning som er standard gør det i princippet umuligt for en virus at sprede sig. Dermed har de hollandske forskere ifølge AIM blot fremhævet et almindeligt kendt problem – nemlig at alle dårligt designede systemer er sårbare overfor virus.
Konklusionen fra den overvejende del af RFID-industien er dog også den, at rapporten ikke giver grund til at frygte vira i RFID-systemer. Den intense debat som rapporten har affødt viser dog med al tydelighed, at det er nødvendigt med stramme sikkerhedskrav til RIFD-systemer, hvis tiltroen til systemerne skal opretholdes.
MNP - april 06
|
|
|
