FÜR DIE SICHERHEIT IHRER DATEN +++ DIE "ROTE KARTE" FÜR DEN DATENKLAU: EAZYBLOCK.
BLOCKT DAS AUSLESEN VON RFID-CHIPS IN AUSWEIS-, KREDIT- ODER ZEITERFASSUNGSKARTEN EFFEKTIV AB...


Donnerstag, 4. Juli 2013

Angriffs- und Sicherheitsmethoden für kontaktlose Funk-Chips (RFID)

Daten, die zwischen RFID-Lesern und Chips ausgetauscht werden, können von Angreifern gelesen, missbraucht, manipuliert oder zerstört werden. In anderen Fällen machen mechanische Angriffs-Methoden wie Zerstörung, Entfernung oder Abschirmung den RFID-Chip unbrauchbar bzw. unlesbar. Ähnliches bewirken Blocker-Tags oder Störsender.
Obwohl in vielen Bereichen wirkungsvolle Abwehrmechanismen wie z.B. Verschlüsselung bestehen, werden diese aufgrund der zusätzlichen Kosten oftmals nicht angewendet. Mit der Vernachlässigung der Sicherheitsmaßnahmen können aber zahlreiche Risiken einhergehen:
Informationsmissbrauch, Preismanipulation bis hin zur Produktpiraterie sind denkbare Folgen.
Die Methoden, die beim Angriff auf RFID-Systeme zum Einsatz kommen, sind sehr unterschiedlich. Die Grundlegenden werden nachfolgend erläutert.

Generische Methoden, die beim Angriff auf RFID-Systeme zum Einsatz kommen, sind:

Sniffing
Spoofing und Replay-Attacken
Man-in-the-Middle-Attacken
Denial of Service
Tracking
Relay-Angriffe
RFID Malware


Sniffing

Bei Sniffing-Attacken versuchen Angreifer, Daten, die auf dem RFID-Chip gespeichert sind oder zwischen dem RFID-Chip und dem Lesegerät versendet werden, auszu-lesen. Angreifer verfolgen das Ziel, sich unbefugt in den Besitz von Daten zu bringen, die auf dem RFID-Chip gespeichert sind oder zwischen Chip und Lesegerät versendet werden. Dabei kommen grundsätzlich zwei Methoden zum Einsatz: Entweder wird die laufende Datenkommunikation zwischen RFID-Tag und Lesegerät mit Hilfe eines Empfängers heimlich abgehört (Eavesdropping), oder der Chip wird mit einem eigenen RFID-Lesegerät illegal ausgelesen (Unauthorised Reading).

Spoofing und Replay Attacken

Bei Spoofing werden Daten nicht nur unbefugt ausgelesen oder abgehört sondern auch manipuliert oder gefälscht. Konkrete Angriffziele können hierbei die Kennnummer eines RFIDChips, weitere auf dem RFID-Chip gespeicherte Inhalte oder auch zwischen einem RFID-Chip und einem Lesegerät ausgetauschte Informationen sein. Zur Ausführung des Angriffs kann entweder eine direkte Manipulation von Daten auf einem Chip oder eine Absendung manipulierter Daten an einen Chip (z.B. zur Vortäuschung eines vorhandenen authori-sierten Lesegerätes) versucht werden.
Replay-Attacken verfolgen das Ziel, eine zuvor abgehörte echte Datenkommunikation zu einem späteren Zeitpunkt erneut einzuspielen, um so die erneute Präsenz eines vorher verwendeten authorisierten RFID-Lesegerätes vorzutäuschen.

Man-in-the-Middle Attacken

Bei Man-in-the-Middle-Attacken geht es Angreifern auch um das Fälschen von Daten. Dabei schaltet sich der Angreifer zwischen die laufende Kommunikation von RFID-Reader und Tag. Die von der einen Seite abgesendete Daten werden vom Angreifer abgefangen und manipuliert oder gefälschte Daten werden an die andere Seite weitergereicht. Beide Seiten (Empfänger und Sender) bemerken den zwischengeschalteten Angreifer nicht. RFID-Chip und RFID-Reader gehen von einer echten, vertrauenswürdigen Gegenseite (Quelle) aus, mit der sie kommunizieren. Cloning und Emulation
Bei dieser Methode werden mit den Dateninhalten eines RFID-Transponders eigene Duplikate von RFID-Chips nachgebaut. Die Daten können dabei aus erfolgreichen Sniffing-Attacken stammen oder selbst erzeugt worden sein.

Denial of Service

Der Angreifer, der diese Methode benutzt, verfolgt nicht das Ziel, unerlaubt an Daten zu gelangen bzw. diese zu gewinnen oder unbefugt zu manipulieren. Es geht ihm vielmehr darum, die Funktion des RFID-Systems zu stören bzw. unbrauchbar zu machen.
Hierbei können unterschiedliche Verfahren zum Einsatz kommen, wie z.B. die folgenden Angriffsmethoden:

Mechanische Angriffe:
  1. Kill-Kommandos
  2. Shielding
  3. Aktive Störsender
  4. Blocker-Tags
  5. RFID Zapper

Mechanische Angriffe
Der Angriff kann rein mechanisch erfolgen, d.h. der RFID-Chip wird mechanisch zerstört oder einfach entfernt. Allerdings sind solche Angriffe in der Regel nicht un-bemerkt durchführbar und daher in vielen Anwendungsumgebungen nicht praktikabel.

Kill-Kommandos 
Durch die Verwendung unbefugter Operationen zur kompletten Deaktivierung von RFID-Chips oder zum Löschen von Anwendungen auf dem RFID-Chip können RFID-Chips auf Dauer unbrauchbar gemacht werden (Kill-Kommandos).
Diese Operationen erfordern jedoch die Vortäuschung eines autorisierten RFID-Lese- oder Schreibgerätes und ist meist nur unter Labor-Bedingungen möglich.

Shielding
Eine (temporäre) Störung der Kommunikation ist ein gegenseitiges Abschirmen von Sender und Empfänger durch mechanische Unterbrechung des Übertragungsme-diums mit Hilfe geeigneter Materialien (Shielding). Die Datenkommunikation zwischen Reader und Tag wird dadurch unterbrochen, eine eine mechanische RFID-Abschirmung anzubringen. In vielen Fällen reicht eine RFID-Schutzfolie aus Metall aus, um die wechselseitige Kommunikation zu verhindern.

Aktive Störsender 
Aktive Störsender beeinflussen das elektromagnetische Feld zwischen RFID-Tag und Lesegerät und unterbrechen damit ebenfalls die Datenkommunikation. Neben aktiven Störsender kann ein Angreifer ein Gerät, welches in sonstiger Weise die elektronmag-netischen Felder beeinflusst (z.B. Frequenzfilterung).

Blocker-Tags
Blocker Tags täuschen dem RFID-Reader die Existenz/Präsenz bestimmter passiver RFID-Tags vor und verhindern so die Erfassung des eigentlichen Chips.

RFID Zapper
RFID Zapper können dazu verwendet werden, einen starken elektromagnetischen Puls (EMP) zu erzeugen. Dadurch können RFID-Chips gewaltsam (aber im Gegensatz zur Zerstörung in einem Mikrowellenofen ohne sichtbare Spuren) zerstört werden. Da kein physischer Kontakt zum RFID-Chip notwendig ist, ist es auch denkbar, dass ein RFID-Zapper ohne das Wissen und gegen den Willen des Besitzers verwendet wird. 

Tracking

Beim Tracking hat es ein Angreifer auf eine unbemerkte Überwachung von Personen abgesehen. Durch Zuordnung von RFID-Chip-Nummern und den Zeitpunkten der Verwendung des RFID-Chips an bestimmten Terminals können umfangreiche Bewegungsprofile erstellt werden. Diese Methode wird als RFID-Tracking bezeichnet und wird bei personenbezogene Daten wie z.B. beim Einsatz von Ausweisen oder Kundenkarten. angewendet:

Relay Angriffe

Ein Relay-Angriff beruht darauf, dass ein Angreifer versucht, unbemerkt die Lesereichweite eines RFID-Chips zu erhöhen (Mafia Fraud Attacks). Zur Durchführung benötigt der Angreifer zwei zusätzliche Geräte: Ein „Ghost“ zur Kommunikation mit dem RFID-Transponder, ein „Leech“ zur Kommunikation mit dem Lesegerät. Beide Geräte verfügen über eine erhöhte Sende- und Empfangsleistung, und tauschen die jeweils empfangenen Signale gegenseitig aus. Sie sind also auf grössere Reichweiten ausgelegt und bewirken somit, dass eine längere Distanz bzw. Datenübertragungsstrecke zwischen dem RFID-Tag und Lesegerät überbrückt werden kann.
Beide reagieren in derselben Weise wie bei unmittelbarer physikalischer Nähe. Ziel des Angreifers ist hierbei nicht die Fälschung von Daten, Lesegeräten oder RFID-Chips, sondern die gegenseitige Vortäuschung der für einen normalen Betrieb geforderten physikalischen Präsenz/Existenz von RFID-Chips. RFID-Chip und Lesegerät sollen so zu einer vom echten Systembenutzer unerwünschten gegenseitigen Kommunikation und entsprechenden (möglicherweise sicherheitskritischen) Aktionen angeregt werden, für welche eine physikalische Präsenz des RFIDChips gefordert ist.

RFID Malware

RFID-Systeme können auch Angriffen durch Malware ausgesetzt sein. Hierunter zählen Buffer-Overflow- und SQL-Injection-Angriffe auf RFID-Tags oder Lesegeräte. Diese können durch speziell konstruierte Daten eines RFID-Tags erfolgen. Gelingt ein solcher Angriff, kann beliebiger Programmcode ausgeführt werden, oder Datenbankeinträge manipuliert werden. Hierdurch können beispielsweise Einträge in Datenbanken des Backend-Systems unauthorisiert manipuliert werden oder in den Backend-Systemen beliebiger Programmcode ausgeführt werden, wenn ein Buffer-Overflow im Backend-System ausgenutzt wird.
Auch RFID-Lesegeräte können als Ursprung von Buffer-Overflow-Angriffen dienen. Da es sich hier um neuere, oft noch nicht umfassend analysierte Technologien handelt, ist die Wahrscheinlichkeit, dass hier Schwachstellen existieren, nicht zu unterschätzen. Gelingt es einem Angreifer Lesegeräte zu kompromittieren, so kann dies auch die Backend-Systeme bedrohen.


Quelle: Fraunhofer SIT (Institut für Sichere Informationstechnologie) http://www.sit.fraunhofer.de