RFID-trick på hackerkonference gav politiet myrekryb

En opstilling på sikkerhedskonferencen Defcon, som helt åbenlyst aflæste RFID-chips på afstand, blev stoppet af arrangørerne. Politifolk var nemlig nervøse for, om deres RFID-udstyrede adgangskort ville blive misbrugt.

Debatten om overvågningsmulighederne med RFID-læsere fik en ny, konkret drejning på sikkerhedskonferencen Defcon, der netop er blevet afholdt i Las Vegas.

RFID-chips - en ganske lille radiosender - bliver efterhånden brugt i mange sammenhænge, for eksempel i adgangskort og navneskilte på konferencer. Og denne kombination betød, at de FBI-agenter, som deltog på Defcon enten i uniform eller 'undercover', blev nervøse for, om en RFID-aflæsning af dem ville afsløre for meget. Det skriver Wired.com.

På hackerkonferencen, der er kendt for at udfordre grænserne, havde en gruppe sikkerhedsforskere ganske åbenlyst stillet en RFID-læser og et kamera frem på et bord. Alle, der gik forbi inden for en meters afstand, fik taget et billede og opsnappet de koder, der måtte gemme sig på personens RFID-chips.

Formålet var at sætte fokus på de udfordringer, brugen af RFID-chips giver, i forhold til at beskytte private oplysninger og it-sikkerheden. Men gruppen nåede kun at få aflæst fem personer, før arrangørerne skred ind og afbrød forsøget, efter ordre fra politifolk på konferencen.

Et helt panel af højtplacerede politi- og efterretningsfolk deltog nemlig på konferencen, og de fik sig noget af en forskrækkelse, da de hørte om forsøget, fortæller en af arrangørerne, der blot går under navnet 'Priest'.

»Det var en overraskelse for dem. Det var virkeligt et 'holy shit, det havde vi ikke tænkt over'-øjeblik,« siger han til Wired.com.

Destruerede alle data

Gruppen bag RFID-læser-opstillingen valgte på arrangørernes opfordring straks at destruere det hukommelseskort, som opsamlede dataene. Dermed er det også uvist, hvad forsøget kunne have ført til, hvis det havde fået lov at fortsætte.

Men en deltager, som havde både et adgangskort til arbejdet, samt et navneskilt med RFID-chip på sig, ville potentielt give en RFID-hacker mulighed for at lave en kopi af adgangskortet og få adgang til arbejdspladsen. For eksempel fik alle deltagere på Black Hat-konferencen, der fandt sted lige før Defcon, et RFID-udstyret navneskilt, hvor både navn og firma kunne opsnappes på afstand med en RFID-læser.

Dermed kunne for eksempel en FBI-agent uforvarende komme til at give for mange informationer fra sig til en ondsindet RFID-hacker, der med dem i hånden så ville kunne få adgang til FBI's bygninger.

'Priest' forklarer også til Wired, at det ofte er nemt at bruge talkoden på et adgangskort til at skabe et nyt kort med flere rettigheder. De første kort i en talserie er nemlig tit test-kort med fuld adgang alle vegne.

RFID-forsøget fik ikke bare sat gang i en debat om fremtidens samfund, hvor alt fra pas til dagligvarer vil indeholde RFID-chips, men forøgede også omsætningen hos en anden udstiller på konferencen. Hos firmaet DIFRwear, som sælger læderpunge med indbygget Faraday-bur til at forhindre aflæsning af RFID-chips, var der således godt gang i forretningen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (4)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Klaus Elmquist Nielsen

Tak for et godt grin! Bestemt en meget relevant historie. Artiklen på wired.com er også værd at læse.

Det kunne være interessant at finde ud af om alle kort med RFID chips i DIFRwear's tegnebøger er læselige når tegnebogen åbnes. Eller om kortet med RFID chippen skal helt ud før det er tilfældet. Forhåbenligvis det sidste.

  • 0
  • 0
#2 Deleted User

Formålet med RFID er netop, at det kan læses på afstand – og det kan alle gøre, som har en relevant RFID-læser.

På samme måde som hvis man har en magnetkortlæser, kan man læse hvad der står på betalingskortes magnetstribe. Men det er altså ikke det samme, som at have adgang til følsomme data.

Lars Hallum

  • 0
  • 0
#3 Richard Foersom

@Klaus Elmquist Nielsen Jeg fik et af de første pas med RFID. Af helt almindelige tin-foil-hat princip, har jeg lagt et lag køkken sølvpapir ind i den folder jeg har passet i.

Jeg har siden prøvet på en RFID scanner. Når lukket eller lagt fladt åbent kan passet ikke scannes. RFID siden skal stå vinkelret på omslaget for at kunne læses. Med denne simple test var det altså en succes, men måske en anden læser kan læse det alligevel i lukket tilstand ;-).

  • 0
  • 0
Log ind eller Opret konto for at kommentere