Overslaan en naar de inhoud gaan
Achtergrond PRO
16 maart 2006 leestijd 2 minuten 0 reacties

Ook RFID-chip kan virus verspreiden

Andy Tanenbaum, Bruno Crispo en Melanie Rieback van de VU presenteerden deze week op een conferentie in Pisa een paper waaruit geconcludeerd mag worden dat het mogelijk is een RFID-systeem via een ‘tag’ van schadelijke code te voorzien. Hoewel een aantal risico’s van RFID bekend is, onderkennen de evangelisten niet het gevaar van een virusaanval vanúit de chip. Die zou daarvoor toch te weinig geheugencapaciteit hebben. ‘Wishful thinking’, menen de VU-wetenschappers.
Freek Blankena
Freek BlankenaMeer van deze auteur
Business
Shutterstock
Shutterstock

De uitgangspunten van Tanenbaum c.s. zijn simpel. Waarom zou de middleware die RFID-signalen verwerkt minder fouten bevatten dan andere software? En waarom zou het dus niet even eenvoudig zijn die fouten, bijvoorbeeld buffer overflows, te gebruiken voor het introduceren van kwaadaardige code? SQL-injectie Introduceer die code door een besmette RFID-chip te laten uitlezen en de schade is aangericht. Behalve door een buffer overflow - desnoods door een gegevensblok vanuit dezelfde RFID-chip meermalen op een lezer af te sturen - kan de schade ook aangericht worden door het introduceren van een stukje scriptcode, die door RFID-systemen soms net zo makkelijk worden verwerkt als door webbrowsers. Een derde variant is een ‘SQL injection’ die de RFID-middlewaredatabase voor de gek houdt. Met een minimale hoeveelheid SQL-code is veel schade aan te richten. Die laatste methode brachten de VU-mensen in de praktijk. Op een herschrijfbare RFID-tag (I.Code SLI) met een capaciteit van 1024 bits wisten ze een opdracht van 127 tekens te programmeren die zich specifiek richt op een Oracle-database in combinatie met de Apache webserver. Het virus weet na uitlezing een hele databasetabel te veranderen, een achterdeur te openen voor een aanvaller en zichzelf voor verspreiding klaar te zetten. Streepjescode Paul Stam de Jonge, group director RFID solutions bij LogicaCMG, ziet weinig gevaar. "Bedrijven als Oracle, Microsoft en SAP hebben veel werk besteed aan het beveiligen van informatie die wordt opgehaald vanuit RFID-tags. In principe zou je ook een virus in de vorm van een hele grote streepjescode kunnen introduceren. Maar je moet dat natuurlijk in een vroeg stadium beveiligen." Dat doet de zogeheten edgeware die de informatie van de readers als een soort verkeersagent filtert en doorgeeft aan backoffice-systemen. Stam de Jonge wijst er ook op dat in de retail-sector de gangbare chip slecht 96 bits aan informatie bevat en niet herschrijfbaar is. "Er staat een fabrikantnummer en een productcode in zo’n tag en dat kun je niet zomaar vervangen door een SQL-code. RFID-coördinator Ard-Jan Vethman van Capgemini is het grotendeels met hem eens, maar kan zich toch voorstellen dat ook een 96-bits chip een systeem voor de gek kan houden. "Voor de Gen-2 RFID-readers die nu op de markt komen, verschijnen er iedere maand hardware-patches. Het is is snel bewegend veld." Tanenbaum drukt ontwerpers en beheerders van RFID-middleware op het hart maatregelen te treffen en bijvoorbeeld de eigen RFID-software eens goed na te kijken.

Lees dit PRO artikel gratis

Maak een gratis account aan en geniet van alle voordelen:

  • Toegang tot 3 PRO artikelen per maand
  • Inclusief CTO interviews, podcasts, digitale specials en whitepapers
  • Blijf up-to-date over de laatste ontwikkelingen in en rond tech

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in