Tweakers.net - Nieuws [ 'RFID vatbaar voor computervirussen' ]
Page 1 of 11
'RFID vatbaar voor computervirussen' Door René Wichers - woensdag 15 maart 2006 - 16:27 - Bron: Redactie Tweakers.net - Views: 15.633
Onderzoekers van de Vrije Universiteit uit Amsterdam hebben de pers gehaald met hun werk over de combinatie van computervirussen en RFID-technologie. Hoewel de ene site na de andere krant weet te melden dat 'RFID-tags vatbaar voor computervirussen' zijn, komt het er in de praktijk op neer dat het juist de backend van een RFID -systeem is die de kwetsbaarheden vertoont. Men mag veronderstellen dat de recente aandacht voor privacyproblemen met de 'elektronische barcodes' de aandacht op het project vestigde, maar juist privacy is voor het Amsterdamse onderzoek van geen enkel belang. Het blijkt daarentegen dat de apparatuur die de radiografische tags leest, niet altijd voldoende beveiligd is tegen invoerfouten. Voor programmeurs geldt het onderzoek dan ook als een zinvolle waarschuwing, maar voor niet-ingevoerden lijkt het onderzoek weinig meer te betekenen dan de mededeling dat ook deze techniek bepaald niet onkwetsbaar is. Promovendus Melanie Rieback beschrijft diverse manieren om zwakheden in bijvoorbeeld databases of interface-software te exploiteren. Vrijwel het hele verhaal is echter ook van toepassing op, zeg, pasjes met een magneetstrip: met beide kan een achterliggend systeem worden voorzien van data, waarmee bijvoorbeeld SQL injection- of buffer overflow-aanvallen kunnen worden uitgevoerd. De consequentie van een gecompromitteerde backend is uiteraard dat ook nieuw geprogrammeerde RFID-tags onbetrouwbaar zijn, en met de groeiende populariteit van RFID zou de verspreiding een stuk harder kunnen gaan dan met alternatieve datadragers. Interessanter is wellicht het werk dat Rieback c.s. verrichtte a a n d e RFID Guardian, een soort stoorzender die aan RFID -tags gerichte signalen onderschept en in plaats van hen antwoordt met een sterk signaal, dat de respons van de tag overschreeuwt. Ironisch genoeg is juist een dergelijk apparaat uitstekend bruikbaar om een
http://tweakers.net/nieuws/41594
3/16/2006
Tweakers.net - Nieuws [ 'RFID vatbaar voor computervirussen' ]
Page 2 of 11
RFID-backend mee aan te vallen. Gerelateerde nieuwsberichten (openen in nieuw window) 17:44 WEP-opvolger WPA2 verplicht voor WiFi-apparatuur 15:31 Origami-team over lanceringsdatum en Vista-ondersteuning 6 reacties onzichtbaar op huidige niveau (1)
Genest
Oudste eerst
Go!
Gepost door Bor de Wollef - woensdag 15 maart 2006 - 16:41 Score: 2 (Overbodig)
Het is niet echt de tag zelf die vatbaar is voor virussen / malware maar vaak achterliggende databases en websystemen die niet goed zijn beveiligd tegen bv sql injection. De sql query plak je dan als "tag" op de rfid tag. De term virus vind ik eveneens misleidend gezien de tags elkaar niet echt kunnen besmetten. [Reactie gewijzigd door Bor de Wollef]
Gepost door big_ben_lair - woensdag 15 maart 2006 - 17:13 Score: 3 (Inzichtvol)
RFID als techniek is vatbaar voor virussen, er staat niet dat de chip er vatbaar voor is! maar je zou dus een chip kunnen bouwen/programeren met een virus erop. RFID chip is dus gewoon een usbstick/floppy/cd of DATtape, niks anders als een DATA drager! Gepost door Bor de Wollef - woensdag 15 maart 2006 - 17:33 Score: 3 (Inzichtvol)
RFID beschrijft niet zo veel over de achterliggende systemen als databases, web enabled systemen etc. Het zijn juist die systemen die vatbaar blijken voor sql injection etc door de info op de RFID tags te voorzien van een payload. Gepost door MarvinDMartian - woensdag 15 maart 2006 - 20:34 Score: 1
Ze kunnen wel elkaar besmetten, maar dan via een tussengastheer [zoals eerder een parasiet als malaria doet]: namelijk door de database te infecteren, die dan weer de volgende RFIDtags die ingelezen worden, besmet. Gepost door abraxas - woensdag 15 maart 2006 - 21:49 Score: 1
nee, een systeem zal nooit een RFID-chip kunnen besmetten, omdat die in feite readonly zijn. Gepost door burne - woensdag 15 maart 2006 - 22:34 Score: 2 (Informatief)
De goedkoopste en meest gebruikte tags zijn readonly, maar er zijn zelfs tags met
http://tweakers.net/nieuws/41594
3/16/2006
Tweakers.net - Nieuws [ 'RFID vatbaar voor computervirussen' ]
Page 3 of 11
eigen GPS en WiFi. Als je uitgaat van de zandkorrel-formaat tags voor in een melkpak heb je helemaal gelijk. Als je uitgaat van een doorsnee container-tag met een redelijk wat storage in de vorm van flash, een batterij, een baken (beacon) en behoorlijk wat intelligentie sla je plank volkomen mis. http://www.axcessinc.com/prod_rfidoverview.php Gepost door aikebah - donderdag 16 maart 2006 - 19:40 Score: 1
nee, een systeem zal nooit een RFID-chip kunnen besmetten, omdat die in feite read-only zijn. RFID-chips bestaan legio in herprogrammeerbare variant. In het onderzoek heeft men zich gericht op een RFID virus dat zich in de back-end applicatie nestelt en zich verder verspreid via alle door die back-end applicatie ge-herprogrammeerde RFID-tags. Voor meer info zie ook het paper waar in het persbericht over deze zaak naar verwezen wordt: Het IEEE PerCom paper van Melanie Rieback (Is Your Cat Infected with a Computer Virus?) Gepost door hAl - donderdag 16 maart 2006 - 00:03 Score: 1
In jouw stijl geldt dan ook dat email niet vatbaar is voor virussen. Gepost door Rekcor - woensdag 15 maart 2006 - 16:44 Score: 3 (Behulpzaam)
SQL-injection for dummies 1) RFID-lezer leest ID-code van tag in 2) Deze ID-code is in het geval van een virus niet een nummer (bijv. 123123), maar een stuk slechte SQL-code Stel dat het volgende programma gebruikt wordt om de nummers in de database te zetten: zet X in database; toon X op scherm; Zolang X een nummer is, heb je geen probleem. Wel als X zelf ook een stuk programma is: bijv. "12312 in database; delete database;":
http://tweakers.net/nieuws/41594
3/16/2006
Tweakers.net - Nieuws [ 'RFID vatbaar voor computervirussen' ]
Page 4 of 11
zet 12312 in database; delete database; in database; toon X op scherm; Het stukje "in database" geeft dan (wellicht) een foutmelding, maar intussen is wel het commando "delete database" uitgevoerd! 1 reply onzichtbaar op je huidige niveau Gepost door OverSoft - woensdag 15 maart 2006 - 17:18 Score: 3 (Interessant)
Oftewel: een simpele escape is voldoende. Zet de X tussen haakjes en escape de string. Geen enkele SQL injection die er meer tegen kan. ("Zet 'janus \'; delete database;' in database;" resulteert erin dat "janus \'; delete database;" in de database wordt gezet en er niets wordt uitgevoerd) Gepost door d-snp - woensdag 15 maart 2006 - 17:27 Score: 2 (Inzichtvol)
Ja maar als X een nummer had moeten zijn en je nu dus een string erin gooit dan treedt er wellicht weer een buffer overflow. Gepost door Sv3n - woensdag 15 maart 2006 - 18:25 Score: 2 (Inzichtvol)
En dus gewoon je invoer checken, je mag er NOOIT van uit gaan dat invoer van buiten te vertrouwen is. Gepost door henk52 - donderdag 16 maart 2006 - 22:08 Score: 1
En dus gewoon je invoer checken, je mag er NOOIT van uit gaan dat invoer van buiten te vertrouwen is. En dat is nu juist de hele clou. Het zijn niet allemaal half goden die onze electronische systemen programmeren. Veel programmeurs doe het mischien een beetje erbij, of hebben geen opleiding gehad en zijn maar wat gaan scripten. Andersom worden door bedrijven HEEL ERG VAAK stagiares die net een vakje programmeren van 3 maanden in hun eerste jaar hebben gehad aan bedrijfs kritische systemen gezet.
http://tweakers.net/nieuws/41594
3/16/2006
Tweakers.net - Nieuws [ 'RFID vatbaar voor computervirussen' ]
Page 5 of 11
Deze mensen kunnen zich met geen mogelijkheid voorstellen dat data door hun schein-beveiliginkjes heenkomen. Voorbeeld: Stagiare A vond dat het absolute onzin dat je hidden field parameters uit een FORM serverside moest checken. Via een URL kon ie nog wel voorstellen, maar hij zag niet in hoe hidden parameters konden veranderen. Zijn commentaar: "Alsof mensen daar bij kunnen!" Dit was dan een persoon die al herhaaldelijk van de wat meer volwassen developpers in ons bedrijf te horen had gekregen hoe ie dingen moest aanpakken. Nou stel je eens voor dat een dergelijke persoon in z'n eentje iets bouwt. Je wilt toch niet weten welke gaten zo iemand veroorzaakt? Ander voorbeeld: Stagiare B vond het onnodig om serverside parameters te checken. Zijn reactie: "Ik heb al een javascriptje op de pagina gezet die alles controlleerd. Ik ga dat echt nog niet een keertje aan de server herhalen. Door dat javascriptje komt niks heen hoor!" Hier zie je duidelijk dat iemand zo gelimiteerd denkt dat ie zich met geen mogelijkheid kan voorstellen dat een request naar een server helemaal niet vanaf de draaiende HTML pagina hoeft te komen, maar dat een andere applicatie deze ook zo direct kan sturen. Zo zal het ook met deze RFID tags zijn. Tanenbaum is natuurlijk een top onderzoeker en z'n pupil is ook een ster (heck, ik heb ooit voor precies die AIO positie gesoliciteerd alswaar voor zij was aangenomen ), maar op de keper beschouwd is de huidige media aandacht wat groot voor iets wat eigenlijk redelijk triviaal is. Gepost door Ramzzz - woensdag 15 maart 2006 - 16:45 Score: 2 (Inzichtvol)
De mogelijke nadelige gevolgen zijn echter niet te overzien... er werd o.a. gesuggereerd dat 'tags' van bagage omgewisseld kunnen worden en dat vervolgens bagage ongecontroleerd de bagegeruimte van een vliegtuig in kan. Je snapt wel wat voor repercussies dat zou hebben - als het een werkelijk probleem is.
http://tweakers.net/nieuws/41594
3/16/2006
Tweakers.net - Nieuws [ 'RFID vatbaar voor computervirussen' ]
Page 6 of 11
1 reply onzichtbaar op je huidige niveau Gepost door Dollyking - woensdag 15 maart 2006 - 16:45 Score: 2 (Grappig)
besmette tags moeten we dan ook maar ophokken. Gepost door big_ben_lair - woensdag 15 maart 2006 - 17:21 Score: 1 (Grappig)
we mogen inenten! Gepost door fluppe_v - woensdag 15 maart 2006 - 16:50 Score: 3 (Interessant)
Kan makkelijk opgelost worden : 1/ - converteer in de software de rfid code naar een integer of een long -> als fout dan slechte RFID code 2/ -filter de sql code uit de rfid code vb. met replace Gepost door icemanx - woensdag 15 maart 2006 - 16:58 Score: 1
Dit wordt in goede webpagina's ook allang gedaan. In PHP heb je daar zelfs speciale commando's voor zoals mysql_escape_string, mysql_real_escape_string en addslashes. Deze commando's zorgen ervoor dat de opgegeven SQL commando's gewoon als tekst gezien worden en niet als deel van je eigenlijke commando. Gepost door tybris - woensdag 15 maart 2006 - 18:00 Score: 1
Natuurlijk kan het makkelijk opgelost worden. Het punt is dat mensen dat mensen dat niet doen. Waardoor we straks niet alleen een virusgevoelig internet, maar ook nog een virusgevoelige wereld hebben. Gepost door Roland Witvoet - woensdag 15 maart 2006 - 18:08 Score: 1
En dat is weer makkelijker gezegd dat gedaan. Je kunt nog zo groot op de kaft van elk RFID-developers handboek zetten "vertrouw nooit de gegevens die je vie de ether ontvangt!", toch zijn er legio programmeurs die dit 'vergeten'. En hoe vaak gebeurt het niet dat een proof of concept of prototype wordt ingezet? Hetzelfde geldt nl voor internet sites, maar zelfs bekende pakketten zitten vol met dergelijke fouten. Gepost door daapah - woensdag 15 maart 2006 - 16:53 Score: 4 (Inzichtvol)
Two words, "Input verification".
http://tweakers.net/nieuws/41594
3/16/2006
Tweakers.net - Nieuws [ 'RFID vatbaar voor computervirussen' ]
Page 7 of 11
Wat staat er volgende week op de FP? "Editboxen vatbaar voor computervirussen"? Beetje jammer dat de VU zo'n opgeklopt artikel schrijft... Gepost door miw - woensdag 15 maart 2006 - 17:06 Score: 3 (Interessant)
Dat is een goed uitgangspunt. Toch doe je ook dan bepaalde aannames over de hardware (je software draait op de echte hardware en niet op een of andere VM met rootkit ofzo). Ik vind het zinvol onderzoek dat deze kwestie aan het ligt brengt en het is niet een voor de hand liggend idee. Het een originele variant van bestaande exploits in een andere domein. Gepost door tybris - woensdag 15 maart 2006 - 18:02 Score: 4 (Inzichtvol)
Wat staat er volgende week op de FP? "Editboxen vatbaar voor computervirussen"? Beetje jammer dat de VU zo'n opgeklopt artikel schrijft... 2 dingen... http://www.cs.vu.nl/~melanie/index.html "In my spare time, I also have written the first RFID virus " Bovendien is het hoog nodig dat een paar duizend slapende RFID systeem programmeurs worden wakker geschud over het feit dat zij ook in een publiek systeem werken, net als webprogrammeurs. Gepost door daapah - woensdag 15 maart 2006 - 21:35 Score: 1
als je even had doorgeklikt, had je gelezen dat het RFID virus niets meer dan een sql injection... Gepost door 4real - woensdag 15 maart 2006 - 16:53 Score: 1 (Gemodereerd)
Een woord: prutsers Helaas zal dit vast niet de enige tak van sport zijn die slecht tegen aanvallen beschermd is. Ik vind trouwens de link met een virus wel vreemd. Dit lijkt me eerder iets voor een cracker. 1 reply onzichtbaar op je huidige niveau Gepost door 0vestel0 - woensdag 15 maart 2006 - 16:56 Score: 1
Dat hele RFID is naar mijn mening een beetje spookie. Stel je voor. je koopt een jas bij C&A. Je loopt met die jas bij H&M binnen. Daar word
http://tweakers.net/nieuws/41594
3/16/2006
Tweakers.net - Nieuws [ 'RFID vatbaar voor computervirussen' ]
Page 8 of 11
geregistreerd aan de hand van je RFID tag, die je niet hebt kunnen vinden, dat je de jas bij C&A hebt gekocht. H&M dumpt slechte code op jou RFID. Nu loop je weer bij C&A naar binnen. Daar scannen ze je RFID en inplaats van: Hey, dat is een C&A klant, gaat hun database omzeep......... Of nog erger. Bij H&M: je bent een C&A klant. we willen je niet met je C&A jas in onze H&M. (nu moet je C&A en H&M eens vervangen door andere bedrijven, organisaties of winkels die hier baat bij zouden kunnen hebben. Spookie) 2 replies onzichtbaar op je huidige niveau Gepost door Beelzebassie - woensdag 15 maart 2006 - 17:08 Score: 1
Marketing Walhalla: PIN gegevens koppelen aan tags; kun je precies zien wie waar en wanneer inkopen doet, favoriete winkels, circulatiepatronen, etc. Gepost door kahm-jai - woensdag 15 maart 2006 - 17:11 Score: 1
Of RFID metingen met GPS bepaling, dan weet je ook nog WAAR die persoon zich bevind. Gepost door big_ben_lair - woensdag 15 maart 2006 - 17:18 Score: 1
met 2 meter reikwijte van lezer naar chip lijkt me GPS een beetje onzinnig met een nauwkeurigheid heeft van ongeveer 15 meter (normale goekope ontvangers) Gepost door Titusvh - woensdag 15 maart 2006 - 17:30 Score: 3 (Inzichtvol)
Winkels waar je pint weten nu ook al wat de eigenaar van bankrekeningnr xxxxxxxxx allemaal koopt... Helemaal als je ook nog een klantenkaart hebt. Dan weten ze zelfs wat Jan de Vries uit die en die buurt koopt. Je kan door die RFID rommel hoogstens zien of iemand ook iets elders heeft gekocht. Maar aangezien een RFID chippie zend simpelweg een nummertje uit (het ID). Bij de C&A weten ze dat dit een spijkerbroek maat 54 is. Zij hebben dat ID aan dat artikel gekoppeld. Maar bij H&M kunnen ze met dat nummertje echt niks. Het kan een broek van C&A zijn maar ook een velletje postzegels of zak pinda's.
http://tweakers.net/nieuws/41594
3/16/2006
Tweakers.net - Nieuws [ 'RFID vatbaar voor computervirussen' ]
Page 9 of 11
Paniek om niks. 1 reply onzichtbaar op je huidige niveau Gepost door Milt - woensdag 15 maart 2006 - 20:09 Score: 1
Een RFID nummer is helemaal niet uniek. Het nummer wordt er in geprogrammeerd door C&A en zal zeer waarschijnlijk voor iedere spijkerbroek van een bepaald merk maatje 36 dus hetzelfde zijn. Het is hetzelfde als met barcodes. De barcode op een pot pindakaas is ook niet uniek. het geeft alleen aan dat het een pot pindakaas van een bepaald merk is. Gepost door big_ben_lair - woensdag 15 maart 2006 - 17:16 Score: 2 (Grappig)
ik denk dat de C&A mijn tandarts allang heeft betaald om een RFID in mijn vulling in te bakken! Gepost door serge74 - woensdag 15 maart 2006 - 17:09 Score: 1
Als je zegt "SQLServer.Excute [ID-code]" zou het inderdaat een probleem kunnen zijn, maar al je zegt "INSERT INTO [table] (veldX) VALUES ('[ID-code]')" zie ik geen probleem, al staat er in de ID-code "DROP TABLE [table]" het is en blijft dan een string en geen code. Dan staat er mooi in je tabel een extra record met in veldX een string die zegt "DROP TABLE [table]" Je gaat als programeur niet zomaar query's uitvoeren op de database die je uit de RFidtag uitleest lijkt mij.... Dan zijn code128 barcode's ook zo lek als een mandje. Die zijn immers ook alphanumeriek zonder checksum Edit: Is een reactie op: SQL-injection for dummies door Reckor Gepost door 4real - woensdag 15 maart 2006 - 17:20 Score: 1
No prob hoor gewoon nog wat haakjes en quotejes, een punt komma en je kunt al heel wat uithalen . Als ze de content encoden is er niks aan de hand. Heel simpel, maar het moet wel ff gebeuren. Gepost door 4np - woensdag 15 maart 2006 - 17:33 Score: 1
en wat als [ID-code] nou ['); DROP TABLE table;] bevat oid? Gepost door serge74 - woensdag 15 maart 2006 - 17:33 Score: 1
Je hebt gelijk als er in de idtag staat "');delete from [table];INSERT INTO [table] (veldx)
http://tweakers.net/nieuws/41594
3/16/2006
Tweakers.net - Nieuws [ 'RFID vatbaar voor computervirussen' ]
Page 10 of 11
VALUES ('" Heb ik net ff getest.... Had ik ff niet aan gedacht..... Maare voordat ik die string er in gooi, vervang ik (uiteraard) de singlequote door dubbelsinglequote dus wordt het weer een string... dus hij zou als nog moeten lukken en geen commando uitvoeren [Reactie gewijzigd door serge74]
22:33 LG Electronics stelt levering Blu-ray-... 21:43 Clearspeed overweegt ontwikkeling c... 21:31 Gnome-project geeft versie 2.14 vrij
Gepost door big_ben_lair - woensdag 15 maart 2006 - 17:25 Score: 3 (Grappig)
naar een dagje shoppen heb je straks een "buffer overflow" in de tas zitten en een "buffer underflow" op de bank rekening Gepost door Sorcerer8472 - woensdag 15 maart 2006 - 17:29 Score: 3 (Interessant)
16-03 CeBIT 2006: Serverbarebones en -...
Dit doet me gelijk weer denken aan het GoT-topic over buffer-overflows en SQL-injections
14-03 CeBIT 2006 in vogelvlucht
van het trajectcontrolesysteem dat boven een aantal snelwegen hangt
14-03 CeBIT 2006: Storage
Gepost door Bor de Wollef - woensdag 15 maart 2006 - 18:36 Score: 1
00:54 Sweex Webcam 1,3M USB 2.0 € 26,...
Je bedoelt het topic waar ze serieus denken SQL query's op nummerborden te laten
00:54 Logitech Quickcam Fusion € 79,95...
plaatsen?
00:54 Logitech QuickCam Sphere € 99,95... Gepost door BackSlash32 - woensdag 15 maart 2006 - 20:10 Score: 1
00:24 A: 120mm Nidec Beta V TA450DC... 00:14 A: PC100 ECC 256MB SDR SDRAM... 00:05 A: Intel Pentium III Xeon 700Mhz....
Tja, de AIVD denkt hetzelfde over dataverkeergegevens Reageer >> Volgende pagina
23:02 Zalman ZM80D-HP user review van... 22:59 Acer AL2051Ws user review van spk... 22:59 Tagan TG480-U22, 480W user revie...
17:44 WEP-opvolger WPA2 verplicht voor WiFi-apparatuur 15:31 Origami-team over lanceringsdatum en Vista-ondersteuning
23:52 Shop survey: Rilex Nederland 23:45 BenchDB: LSI MegaRAID SATA 30... 21:26 Shop survey: Azerty Hardware
00:53 Gnome-project geeft versie 2.14 vrij 00:52 Sony gaat HD-signaal nog niet degr... 00:48 Software update: NewsLeecher 3.5...
http://tweakers.net/nieuws/41594
3/16/2006
Tweakers.net - Nieuws [ 'RFID vatbaar voor computervirussen' ]
Page 11 of 11
00:47 Clearspeed overweegt ontwikkeling c... 00:27 Slimme auto's beproefd door Rijkswa... 00:27 Samsung bereidt zich voor op Vista... 00:23 Nederlanders spendeerden ruim 2 mi... 00:19 Zalman VF900-Cu videokaartkoeler... 00:19 LG Electronics stelt levering Blu-ray-...
00:57 [GridWars] Geometry Wars voor de... 00:57 Nieuwste Zalman CNPS9500 Heatsi... 00:56 Het Logitech Z-5500 PLOPJES prob... 00:55 Laptop LCD aan VGA-kaart 00:54 Wat is dit nog waard - deel 29 00:54 Dilemma over opleiding. 00:53 [PC MMORPG] ROSE Online - deel 20 00:52 Het "Wat kan ik het beste hieraan u... 00:52 Ervaringen Demon DSL-Express # 19
Nieuws Technologie Trefwoord
http://tweakers.net/nieuws/41594
3/16/2006
