Hacky Tags
Sikkerheden i RFID kom for nylig på dagsordenen, da et brugervenligt hackerprogram blev introduceret. Spørgsmålet er, om der er fare på færde.
|
|
Lukas Grunwald, seniorkonsulent ved det tyske firma DN-Systems Enterprise Solutions GmbH har udviklet programmet RFDump. Med dette program og en RFID-læser kan man læse metadata på RFID-tags og ikke nok med det: Programmet gør det også muligt at ændre data ved hjælp af en simpel tekst-editor. På adskillige Internet-forums debatteres der heftigt om risikoen for at hacke RFID-tags, og om det i praksis kan lade sig gøre.
I debatten gentages det fremtidige skrækscenarie, hvor kunder kan hacke sig frem til følsomme data på varer, mens de går rundt i supermarkedet. Derved kan kunderne eksempelvis reducere prisen, uden at systemet registrerer et tab. Det kræver blot en håndholdt scanner og RFDump, hvilket kan kombineres på en PDA – lige til at tage med i jakkelommen. Grunwalds program virker givetvis, men i fremtidens supermarked vil situationen være en helt anden.
|
Har fremtidens trådløse butikstyv en chance? |
Kjøge kommenterer
Lasse Kjøge, der har arbejdet med RFID i en menneskealder og er indehaver af ID-Consult, har følgende kommentarer til debatten: ”For det første må man skelne mellem formateringen på chipsene. Som vi kender det fra brændbare CD-skiver, tillader mediet enten at data indlæses én gang eller at data kan genskrives. I teknisk jargon dækker betegnelsen Programmable Read-Only Memory (PROM) over chips, hvor de indeholdte data er uforanderlige. Chips, hvis data kan overskrives har prefix’et Electrically Erasable (EEPROM). I supermarkedet vil det være hensigtsmæssigt ikke at kunne ændre på varens data: En dåse flåede tomater er og bliver en dåse flåede tomater, og derfor vil langt de fleste varer være udstyret med PROM-tags. Chippens data vil nok kunne læses med RFDump, men det vil ikke kunne udskiftes.
For det andet indeholder en RFID-chip ikke data, men metadata der refererer til butikkens centrale database. Specifikke oplysninger som eksempelvis varens priser ligger således ikke på den enkelte chip, ligesom det heller ikke er tilfældet med nutidens stregkoder. I kraft af chippens unikke ID kan der hentes et væld af oplysninger frem gennem krydsreference til databasen. Når oplysningerne skal hentes frem gennem RFID, kan forbindelsen endda krypteres, så hackeren først skal knække en kode før informationerne kan indhentes.
|
|
Svært at snyde
|
Links:
* Debat på: Slashdot
* Artiklen: "A Hacker's Guide to RFID" på Forbes.com
* Officiel hjemmeside til RFDump |
Når det kommer til stykket, vil det være lettere for den trådløse butikstyv at bytte skindjakkens RFID-tag ud med tag’en på et par tennissokker. Hvis han ellers kan komme til det, for udviklerne af RFID-løsninger gør et stort nummer ud af at placere tags strategisk. Eksempelvis så tags ikke umiddelbart kan tilgås af lange fingre eller simpelthen ved at gøre tag’en til en integreret del af varen eller dens emballage.
Dertil kommer at fremtidens supermarked givetvis vil reducere køerne ved kassen, idet varerne ikke behøver at komme op på båndet for at blive scannet enkeltvis. Dermed frigives der ressourcer i supermarkedet, der kan bruges til at servicere kunderne og holde øje med mistænkelig adfærd i butikken.
Hvis jeg var småkriminel, ville jeg nok satse på gammeldags lommetyveri.”
JD aug 04 |
|
|
