Op de HOPE-hackersconferentie hebben deelnemers een demonstratie gegeven waarin een rfid-chip van VeriChip werd gekloond. Dat zou aantonen dat het - in tegenstelling tot beweringen van VeriChip - mogelijk is om iemands identiteit te 'stelen', althans, in situaties waarin de VeriChip-rfid-tag het enige identificatiemiddel is. De aanvaller dient zijn kloonapparatuur op een afstand van maximaal dertig centimeter te houden. Op de conferentie was een proefopstelling gebouwd, bestaande uit de van rfid-implantaat voorziene Annalee Newitz, een rfid-lezer, een antenne en een laptop. Newitz's arm werd door hackcollega Jonathan Westhues achtereenvolgens met de rfid-lezer en de antenne gescand. Vervolgens hoefde slechts de antenne langs de rfid-lezer te worden gehaald, die met een piep aangaf dat Newitz's aanwezigheid was geverifieerd. Volgens Newitz zijn VeriChips beweringen dat zijn chip niet kan worden vervalst, daarmee weerlegd. 'Er is absoluut geen beveiliging in aanwezig', zo valt Westhues haar bij, implicerend dat zijn laptop niet veel meer hoefde te doen dan het signaal vastleggen. VeriChip zegt pas een reactie te kunnen geven als ze de bewijslast hebben geëvalueerd. Maar het bedrijf wil nog wel kwijt dat het heel moeilijk is om een VeriChip te stelen. 'Het is veel veiliger dan wat er ook in je portemonnee zit', aldus woordvoerder John Procter.
Hackers demonstreren klonen rfid-implantaat
Door Mick de Neeve
Feedback • 25-07-2006 23:28 57Lees meer
:strip_exif()/i/1098602434.jpg?f=fpa)
Implantaat herstelt zicht bij blinden
Nieuws van 3 november 2010
:strip_exif()/i/1193081270.jpg?f=fpa)
Britse school chipt leerlingen
Nieuws van 22 oktober 2007
Bedrijf wil rfid-hackdemo tegenhouden
Nieuws van 27 februari 2007
Kodak vraagt patent op eetbare rfid-tag aan
Nieuws van 13 februari 2007
'Rfid-paspoort eenvoudig te kopiëren met juiste software'
Nieuws van 18 december 2006
'RFID-softwaremarkt aan vooravond onstuimige groei'
Nieuws van 9 oktober 2006
Hitachi maakt personentracking mogelijk met RFID/WiFi-tag
Nieuws van 3 oktober 2006
Hackers stelen gegevens 19.000 AT&T-klanten
Nieuws van 30 augustus 2006
VeriChip wil 'dog tags' soldaten vervangen door rfid-chip
Nieuws van 24 augustus 2006
'Feds' laten opleidingseisen vallen voor hackers
Nieuws van 7 augustus 2006
Blackberry nieuw potentieel doelwit voor hackers
Nieuws van 6 augustus 2006
RFID-paspoort laat bom afgaan
Nieuws van 5 augustus 2006
Ziekenhuis start test chipimplantaat met patiëntgegevens
Nieuws van 15 juli 2006
Air France en KLM met RFID achter bagage aan
Nieuws van 3 juli 2006
Uitgebreide rfid-proef in Almeerse boekhandel succesvol
Nieuws van 30 mei 2006
'RFID-tags vatbaar voor DoS-aanvallen'
Nieuws van 19 april 2006
'RFID vatbaar voor computervirussen'
Nieuws van 15 maart 2006
RFID-tag van IBM kan uitgeschakeld worden
Nieuws van 10 maart 2006
Beveiliging eerste generatie RFID-chips laat te wensen over
Nieuws van 15 februari 2006
Duitse hackers maken RFID-vernietiger van wegwerpcamera
Nieuws van 15 januari 2006
RFID zal vanaf 2010 miljardenhandel zijn
Nieuws van 15 december 2005
RFID wordt verslagen door papieren 'vingerafdruk'
Nieuws van 7 augustus 2005
Californië legt gebruik RFID-chip aan banden
Nieuws van 1 juli 2005
ChristenUnie pleit voor RFID-controlerende wetgeving
Nieuws van 28 juni 2005
FDA staat implantatie RFID-chips in mensen toe
Nieuws van 14 oktober 2004
Spijbelaars geregistreerd met RFID-techniek
Nieuws van 29 september 2004
Mexicaans gerechtspersoneel krijgt chip geïmplanteerd
Nieuws van 16 juli 2004
Reacties (57)
Er is niets nieuws onder de zon. Alle software is te hacken:)
:strip_icc():strip_exif()/u/148505/31bb5b263ef71bb4d5751e9a89035105.jpeg.jpg?f=community){kind=small}
Maar zeggen dat je software en je hardware beveiligd is, en daarna, dat na nader onderzoek het tegendeel blijkt?
Dat is niet goed
Dat is niet goed
:strip_icc():strip_exif()/u/177567/crop5f8591cadf088_cropped.jpeg?f=community){kind=small}
Niet mee eensch.
Software wordt vaak makkelijker om de tuin te leiden naarmate de complexiteit groeit, en naarmate er minder financiele aandacht gegaan is naar de -pogingen- om de software hackproof te maken.
De moeilijkheid blijft bestaan dat klanten -in de breedste zin van het woord- willen betalen voor functionaliteit, en hackproof maken valt daar zelden onder: dat is immers vooral "functionaliteit" toevoegen in termen van wat software NIET mag doen.
Hier zie je als klant niets van terug (dat er geen/minder problemen optreden tellen mensen niet mee), en dus wil men het liever niet betalen.
Doet me denken aan een aflevering van Jiskefet, waarin ze a la Mike en z'n Amazing Discoveries de "Emergendizer" aanprijzen. Dit Fantastische dingetje kon overal tegen:
- Water (0 graden, en 100 graden)
- Je kon erop stampen
- Je kon er met je auto overheen rijden
- Hij kon in de magnetron
- je kon er mee gooien
- Hij kon tegen je schoonmoeder
Het ding was echter tegelijkertijd nergens goed voor: op de vraag waa je hem voor gebruikte bleef het stil.
Uitsteken beveiligde hardware, dus
Software wordt vaak makkelijker om de tuin te leiden naarmate de complexiteit groeit, en naarmate er minder financiele aandacht gegaan is naar de -pogingen- om de software hackproof te maken.
De moeilijkheid blijft bestaan dat klanten -in de breedste zin van het woord- willen betalen voor functionaliteit, en hackproof maken valt daar zelden onder: dat is immers vooral "functionaliteit" toevoegen in termen van wat software NIET mag doen.
Hier zie je als klant niets van terug (dat er geen/minder problemen optreden tellen mensen niet mee), en dus wil men het liever niet betalen.
Doet me denken aan een aflevering van Jiskefet, waarin ze a la Mike en z'n Amazing Discoveries de "Emergendizer" aanprijzen. Dit Fantastische dingetje kon overal tegen:
- Water (0 graden, en 100 graden)
- Je kon erop stampen
- Je kon er met je auto overheen rijden
- Hij kon in de magnetron
- je kon er mee gooien
- Hij kon tegen je schoonmoeder
Het ding was echter tegelijkertijd nergens goed voor: op de vraag waa je hem voor gebruikte bleef het stil.
Uitsteken beveiligde hardware, dus
/u/40481/crop63f777c898038_cropped.png?f=community){kind=small}
Verschil is echter bij deze rfid's die bv in bibliotheken ook gebruikt worden dat een simepele read/write protectie of een encryptie al achterwege wordt gelaten onder het mom van "het is veilig". Het tijdperk dat we in zo'n naieve wereld leefde is nu toch al voorbij echter men blijft producten introduceren die nog steeds onbeveiligd zijn. Ergens zit het dan fout dit heeft niets te maken met complexiteit of practisch nut. Rfid's zijn niet complex en ze worden er echt niet minder bruikbaar op door simpele features te gebruiken.
Niet alle software is te hacken. Er bestaan beveiligingen die al jaren bekend zijn en waarvan we nog steeds niet weten hoe we het zouden moeten kraken... (ja misschien met onbeperkte rekenkracht maar niet praktisch te kraken)
Het probleem zit hem meestal in fouten in de implementatie of in het ontwerp (en deze zitten er praktisch altijd wel in).
Maar voor dit soort eenvoudige programma's (programma's in RFID zijn betrekkelijk klein) is het wel mogelijk om de kritieke code te beperken en zorgvuldig te testen/bewijzen... (maar dit is erg tijdrovend en word bijna nooit gedaan maar toch vind ik de stelling "alle software is te kraken" een foute omdat het wel binnen de mogelijkheden ligt).
Het probleem zit hem meestal in fouten in de implementatie of in het ontwerp (en deze zitten er praktisch altijd wel in).
Maar voor dit soort eenvoudige programma's (programma's in RFID zijn betrekkelijk klein) is het wel mogelijk om de kritieke code te beperken en zorgvuldig te testen/bewijzen... (maar dit is erg tijdrovend en word bijna nooit gedaan maar toch vind ik de stelling "alle software is te kraken" een foute omdat het wel binnen de mogelijkheden ligt).
Zwaktes in beveiliging van simpele dingen zit hem meestal niet in de code maar in de basis aannames, het protocol en/of encryptie methode.
Daar gaat de veiligheid van RFID. Het zou dan ook dwaas zijn van elke instantie om dit als veilige methode te nemen. Immers identiteitsvervalsing wordt nog makkelijker aangezien je dit kenmerk makkelijk kan vervalsen.
Nou om nu te zeggen dat hiermee de veiligheid van alle mogelijke RFID gebroken is, is een beetje kort door de bocht...
Alleen van deze specifieke implementatie is een manier gevonden om hem te kraken, als het waar is wat die Westhues zegt is het een erg naive/foute implementatie waarbij het signaal gewoon gekopieerd kan worden (dit suggereerd het artikel). Wanneer men gekozen had voor een challenge/response aanpak zijn de zaken niet zo eenvoudig en kan het behoorlijk moeilijk gemaakt worden om zo'n chip te klonen.
Eenvoudig: Zo'n RFID chip is soort computertje dat signalen kan ontvangen en versturen. Het heeft een programma en data (een sleutel), wat je doet is niet de eigenlijke sleutel versturen (dat zou je kunnen opvangen en kopieren) maar iets afgeleid van die sleutel zodanig dat het makkelijk is vast te stellen of iemand echt de sleutel heefd maar dat het moeilijk is erachter te komen wát die sleutel nu was (en dit kan met public key encryption). Wat je dan aan zwakheden overhoud:
- Het extern/fysiek uitlezen van de sleutel (kan erg moeilijk zijn)
- De zwakte van het public key encryptie algoritme (bestaan goede algoritmen voor die veilig geachtwoorden)
- Fouten in de implementatie...
Alleen van deze specifieke implementatie is een manier gevonden om hem te kraken, als het waar is wat die Westhues zegt is het een erg naive/foute implementatie waarbij het signaal gewoon gekopieerd kan worden (dit suggereerd het artikel). Wanneer men gekozen had voor een challenge/response aanpak zijn de zaken niet zo eenvoudig en kan het behoorlijk moeilijk gemaakt worden om zo'n chip te klonen.
Eenvoudig: Zo'n RFID chip is soort computertje dat signalen kan ontvangen en versturen. Het heeft een programma en data (een sleutel), wat je doet is niet de eigenlijke sleutel versturen (dat zou je kunnen opvangen en kopieren) maar iets afgeleid van die sleutel zodanig dat het makkelijk is vast te stellen of iemand echt de sleutel heefd maar dat het moeilijk is erachter te komen wát die sleutel nu was (en dit kan met public key encryption). Wat je dan aan zwakheden overhoud:
- Het extern/fysiek uitlezen van de sleutel (kan erg moeilijk zijn)
- De zwakte van het public key encryptie algoritme (bestaan goede algoritmen voor die veilig geachtwoorden)
- Fouten in de implementatie...
Tuurlijk, als er iets gehackt wordt dan is er ook altijd een manier om dat een volgende keer te voorkomen door de gaten te dichten of een andere techniek te gebruiken.
Door dit soort hacks nu al te publiceren maken ze het produkt feitelijk sterker, doordat een volgende versie beter beveiligd zal zijn, voordat een kritieke massa er gebruik van gaat maken.
Ik vind het dan ook jammer dat men niet met het openbaar maken wacht tot het moment dat de meerderheid (de schapen) zo'n chip in zich heeft. Als men er dan achter komt hoe gevaarlijk het kan zijn om al je info in een personal chip te stoppen, gaat de mensheid misschien de ogen open.
Het mag duidelijk zijn, ik zie die chip absoluut niet zitten.
Door dit soort hacks nu al te publiceren maken ze het produkt feitelijk sterker, doordat een volgende versie beter beveiligd zal zijn, voordat een kritieke massa er gebruik van gaat maken.
Ik vind het dan ook jammer dat men niet met het openbaar maken wacht tot het moment dat de meerderheid (de schapen) zo'n chip in zich heeft. Als men er dan achter komt hoe gevaarlijk het kan zijn om al je info in een personal chip te stoppen, gaat de mensheid misschien de ogen open.
Het mag duidelijk zijn, ik zie die chip absoluut niet zitten.
:strip_icc():strip_exif()/u/16567/my_avatar2.jpg?f=community){kind=avatar}
Wat zijn dan de nadelen van zo'n chip t.o.v. een paspoort, creditcard, etc dan?
Als je wat moeite doet en genoeg geld hebt dan is het niet al te moeilijk om een andere identiteit aan te nemen dan waarmee je geboren bent.
Jouw informatie (identiteit) kan net zo goed gestolen worden, of het nu electronisch is opgeslagen (RFID) of op papier (paspoort).
Tevens wordt "al je info" niet in die chip gestopt! Het is een identifier van de persoon. Hierdoor kunnen instanties (Overheid, ziekenhuisen, etc) hun databanken raadplegen wanneer je bij hun aan de balie staat. Dus het gevaar waar jij overhebt bestaat niet. (In je paspoort staat toch ook niet al je persoonlijke info)
Blijkbaar zie jij de woorden onderhuids, chip en informatie en lopen de rillingen over rug. Dit is niet anders dan die "paardloze" koetsen van 100+ jaar geleden en wordt ook wel voorruitgang genoemd.
Dat je bij elke voorruitgang gezond verstand moet gebruiken en niet op de commerciele uitlatingen van 1 bedrijf moet uitgaan, lijkt me duidelijk.
Het grote probleem hier is dat het bedrijf VeriChip geclaimed heeft dat hun chip "veilig" was wat betreft diefstal, maar dat duidelijk niet is. Ik ben juist blij dat ze er op tijd achter zijn gekomen, voordat mijn rekening geplunderd is.
Overigens bestaat er wel degelijk 1 verschil tussen een papieren paspoort en de RFID chip. Wanneer het wordt gestolen ( / gekopieerd) merk je het bij een paspoort. Bij gestolen data kom je er waarschijnlijk pas veel later achter.
Maar dat is ook niets nieuws, aangezien het kopieren van magneetstrip bankpassen ook al een hobby is geworden van louche figuren.
@Glashelder:
Iemand kan ook je paspoort rollen.. (Juist in een drukke metro!).
Wanneer ze je RFID uitlezen, hebben ze toch eerst een databank met persoonsgegevens nodig voordat ze er acther zijn wie je bent.
Met je paspoort weten ze je gelijk te vinden.
Ik zeg zeker niet da RFID heilig en het paradijs is. Tot nu toe zie ik niet meer nadelen dan met de huidige identificatie methoden.
@progie
Gelukkig hangen er overal genoeg camera's of zijn er vaak getuigen.
Hetzelfde geld voor het paspoort. Wanneer ik met een vals paspoort (met jouw gegevens) een leuke lening open, hoe ga jij bewijzen dat jij die lening dan niet bent aangegaan?
@OpenMinded
Waar haal jij die 30m vandaan? De meeste RFID lezers hebben al moeite met meer dan 1m. Volgens mij is 2m zo'n beetje het maximum voor passieve RFID tags.
Als je wat moeite doet en genoeg geld hebt dan is het niet al te moeilijk om een andere identiteit aan te nemen dan waarmee je geboren bent.
Jouw informatie (identiteit) kan net zo goed gestolen worden, of het nu electronisch is opgeslagen (RFID) of op papier (paspoort).
Tevens wordt "al je info" niet in die chip gestopt! Het is een identifier van de persoon. Hierdoor kunnen instanties (Overheid, ziekenhuisen, etc) hun databanken raadplegen wanneer je bij hun aan de balie staat. Dus het gevaar waar jij overhebt bestaat niet. (In je paspoort staat toch ook niet al je persoonlijke info)
Blijkbaar zie jij de woorden onderhuids, chip en informatie en lopen de rillingen over rug. Dit is niet anders dan die "paardloze" koetsen van 100+ jaar geleden en wordt ook wel voorruitgang genoemd.
Dat je bij elke voorruitgang gezond verstand moet gebruiken en niet op de commerciele uitlatingen van 1 bedrijf moet uitgaan, lijkt me duidelijk.
Het grote probleem hier is dat het bedrijf VeriChip geclaimed heeft dat hun chip "veilig" was wat betreft diefstal, maar dat duidelijk niet is. Ik ben juist blij dat ze er op tijd achter zijn gekomen, voordat mijn rekening geplunderd is.
Overigens bestaat er wel degelijk 1 verschil tussen een papieren paspoort en de RFID chip. Wanneer het wordt gestolen ( / gekopieerd) merk je het bij een paspoort. Bij gestolen data kom je er waarschijnlijk pas veel later achter.
Maar dat is ook niets nieuws, aangezien het kopieren van magneetstrip bankpassen ook al een hobby is geworden van louche figuren.
@Glashelder:
Iemand kan ook je paspoort rollen.. (Juist in een drukke metro!).
Wanneer ze je RFID uitlezen, hebben ze toch eerst een databank met persoonsgegevens nodig voordat ze er acther zijn wie je bent.
Met je paspoort weten ze je gelijk te vinden.
Ik zeg zeker niet da RFID heilig en het paradijs is. Tot nu toe zie ik niet meer nadelen dan met de huidige identificatie methoden.
@progie
Gelukkig hangen er overal genoeg camera's of zijn er vaak getuigen.
Hetzelfde geld voor het paspoort. Wanneer ik met een vals paspoort (met jouw gegevens) een leuke lening open, hoe ga jij bewijzen dat jij die lening dan niet bent aangegaan?
@OpenMinded
Waar haal jij die 30m vandaan? De meeste RFID lezers hebben al moeite met meer dan 1m. Volgens mij is 2m zo'n beetje het maximum voor passieve RFID tags.
:strip_icc():strip_exif()/u/64489/hoogtevorst.jpg?f=community){kind=small}
Als jij in een drukke metro staat dan ben je anoniem (als er geen bekenden van je zijn), of je nou je passport in je zak hebt of niet. In de drukke metro kan er zo iemand een RFID lezer langs je halen en je kan de lul zijn.
@standerman..
Nou dat is leuk als dus RFID als indentificatie gebruikt gaat worden en ik loop met een "clone RFID" van jouw rond probeer dan maar eens te bewijzen dat je niet op de plek van een misdrijf geweest bent.Tevens wordt "al je info" niet in die chip gestopt! Het is een identifier van de persoon. Hierdoor kunnen instanties (Overheid, ziekenhuisen, etc) hun databanken raadplegen wanneer je bij hun aan de balie staat. Dus het gevaar waar jij overhebt bestaat niet. (In je paspoort staat toch ook niet al je persoonlijke info)
@standeman
Dit werkt tot op 30 meter afstand, dat lijkt me wel ff iets makkelijker dan een paspoort rollen, die berg je namelijk goed op als je een beetje hersens hebt.
Dit werkt tot op 30 meter afstand, dat lijkt me wel ff iets makkelijker dan een paspoort rollen, die berg je namelijk goed op als je een beetje hersens hebt.
In het artikel staat 30 cm, en dat haalt mn arm wel.
:strip_exif()/u/6356/eliza.gif?f=community){kind=small}
@albert_gerritsen
Je ziet alleen even over het hoofd dat er geen sprake is van een challenge/response situatie aangezien zo'n RFID chip niet in staat is te antwoorden. Zo'n RFID chip is eigenlijk niet veel meer dan een nieuw type streepjescode die op afstand uitgelezen kan worden.
Je ziet alleen even over het hoofd dat er geen sprake is van een challenge/response situatie aangezien zo'n RFID chip niet in staat is te antwoorden. Zo'n RFID chip is eigenlijk niet veel meer dan een nieuw type streepjescode die op afstand uitgelezen kan worden.
Wellicht zou je je wat moeten verdiepen in RFID tags. Er is wel degelijk sprake van dat de RFID chip antwoord.
Die chip haalt zijn energie uit het radio signaal dat hem gestuurd wordt. Die energie wordt omgezet in een elektrisch signaal (1), dat vervolgens gebruikt wordt om de interne waarde van de chip uit te lezen (2). Tot slot wordt deze waarde weer verstuurt middels weer een radio signaal (3) en opgepikt door de ontvanger.
Indien tussen stap 2 en 3 een extra stap toegevoegd wordt waarbij het signaal bij stap 1 versleuteld wordt met de waarde gevonden bij 2 en dit bij stap 3 terug gestuurd wordt heb je weer een degelijk challenge/response systeem.
Die chip haalt zijn energie uit het radio signaal dat hem gestuurd wordt. Die energie wordt omgezet in een elektrisch signaal (1), dat vervolgens gebruikt wordt om de interne waarde van de chip uit te lezen (2). Tot slot wordt deze waarde weer verstuurt middels weer een radio signaal (3) en opgepikt door de ontvanger.
Indien tussen stap 2 en 3 een extra stap toegevoegd wordt waarbij het signaal bij stap 1 versleuteld wordt met de waarde gevonden bij 2 en dit bij stap 3 terug gestuurd wordt heb je weer een degelijk challenge/response systeem.
met andere woorden, even veilig en nuttig als barcode's
Een barcode is veiliger, die kan je van 30cm afstand en zonder direct zicht niet uitlezen.
:strip_exif()/u/9399/DragonMoon4stage.gif?f=community){kind=small}
zonder direct zicht heb je gelijk in, maar die 30cm is echt geen probleem, scanners die ze bij ons in het magazijn gebruiken lezen af vanaf ongeveer 1 meter en dat zijn echt geen bijzonder dure dingen ofzo, vrij basic spul.
(Normale) RFID is dan ook geen goede oplossing voor zoiets. Als je iemands identiteit goed wilt vaststellen moet je gebruik maken van een challenge/response systeem met een security authority. Het probleem dat hierbij optreedt is alleen dat een standaard rfid unit hier geen logica voor heeft en normaliter ook geen data kan ontvangen.
:strip_icc():strip_exif()/u/98843/tmpgeel601.jpg?f=community){kind=small}
Toppunt van arrogantie:
'Het is veel veiliger dan wat er ook in je portemonnee zit'
/u/94596/crop643fb12fd4e6d.png?f=community){kind=small}
Mijn portemonnee kan niemand vanaf 30 centimeter afstand uitlezen.Toppunt van arrogantie:
'Het is veel veiliger dan wat er ook in je portemonnee zit'
Overigens is een 'beveiliging' gebaseerd op enkel RFID (of biometrie) gedoemd om te falen. De basis van beveiliging: je moet iets hebben en je moet iets weten. Alles wat je alleen 'hebt' kan gekopieerd worden. In feite hebben de in het nieuwsartikel genoemde hackers een replay-att[urlack uitgevoerd.
@sired
Of mijn portemonnee zal een laagje lood bevatten indien dit gaat gebeuren of dat geld komt gewoon niet in mijn portemonnee, waardoor alternatieve betaalmiddelen gebruikt zullen worden.
[edit]
@mrprodent
[quote]
Je bent iemand, die iets weet en die iets heeft.
[/quote]
Iemand anders weet (nog) niet wie jij bent, dus alleen het weten en hebben klopt.
[quote]
Als je alleen kijkt naar wat je hebt en wat je weet dan zijn die beide van iemand te krijgen. Copieren bijv van dat wat je hebt en martelen voor dat wat je weet.. of afkijken..
[/quote]
Daarvoor heb je plausible deniability. En een wachtwoord welke bestaat uit een complete zin welke ik zelf bedacht heb is is zeer moeilijk af te kijken, vooral omdat ik zeer snel met tien vingers type. Bovendien heeft iemand mijn sleutel/certificaat nog steeds niet, omdat deze op een (zeer sterk ge-encrypte) memory key aanwezig is.
[quote]
Wat beveiliging sterker maakt is de combinatie van die dingen en de complexiteit van deze onderdelen. Een sterk password bijv. en een fingerprint lezer ipv een simpele handtekening.
[/quote]
Een fingerprint reader is iets dat je hebt (een fingerprint) en een password is iets dat je weet. Mijn theorie gaat nog steeds op. Wat je met die twee juist doet is jezelf identificeren. Een fingerprint reader alleen is niets waard en een password ook niet.
En de onderdelen hoeven helemaal niet complex te zijn. Dat is typisch het idee van security through obscurity. Neem producten als TrueCrypt of GNU Privacy Guard. Ze zijn zelfs open-source en maken gebruik van algoritmes welke zowel open als bewezen zijn. Bij encryptie is het principe: je mag alles van mij weten (zelfs het algoritme), behalve mijn pincode/password/tekenreeks.
Over fingerprint readers gesproken, deze zijn makkelijk te omzeilen. Zelfs diegene waar je je vinger overheen moet wrijven in plaats van erop moet leggen.
@Zepman
Mijn portemonnee kan niemand vanaf 30 centimeter afstand uitlezen.
Tenzij je geld is voorzien van rfid tags, dan kan je je geld virtueel verliezen. Als deze tags dan weer worden geimplanteerd in vals geld is de cirkel weer rond
Mijn portemonnee kan niemand vanaf 30 centimeter afstand uitlezen.
Tenzij je geld is voorzien van rfid tags, dan kan je je geld virtueel verliezen. Als deze tags dan weer worden geimplanteerd in vals geld is de cirkel weer rond
/u/4024/burne.png?f=community){kind=small}
Een 'replay-attack' is ietwat oud. Alsof je in de bosjes naast de poortwachter gaat liggen, wacht tot er iemand langs komt, het geheime wachtwoord afluistert en vervolgens met dat wachtwoord naar binnen wandelt. Die 'aanval' is vele eeuwen oud, en dat verisign hier niet tegen bestand is, is zondermeer een schandelijke blamage te noemen. Prutswerk.
Zepman het is meer dan dat..
Je bent iemand, die iets weet en die iets heeft.
Als je alleen kijkt naar wat je hebt en wat je weet dan zijn die beide van iemand te krijgen. Copieren bijv van dat wat je hebt en martelen voor dat wat je weet.. of afkijken..
Wat beveiliging sterker maakt is de combinatie van die dingen en de complexiteit van deze onderdelen. Een sterk password bijv. en een fingerprint lezer ipv een simpele handtekening.
Je bent iemand, die iets weet en die iets heeft.
Als je alleen kijkt naar wat je hebt en wat je weet dan zijn die beide van iemand te krijgen. Copieren bijv van dat wat je hebt en martelen voor dat wat je weet.. of afkijken..
Wat beveiliging sterker maakt is de combinatie van die dingen en de complexiteit van deze onderdelen. Een sterk password bijv. en een fingerprint lezer ipv een simpele handtekening.
maar ze liegen niet natuurlijk - het stelen van de chip is een stuk moeilijker, of je moet al iemand's arm/nek open willen snijden.
Erg subtiel van ze, maar het stelen van de chip, het fysieke deel, daar gaat het natuurlijk niet om.
Erg subtiel van ze, maar het stelen van de chip, het fysieke deel, daar gaat het natuurlijk niet om.
Precies.
Sterker nog, je hoeft bij RFID niet per se iets te kraken om er voordeel uit te halen, kopieeren is genoeg!
met zijn allen op een verzekering..
Sterker nog, je hoeft bij RFID niet per se iets te kraken om er voordeel uit te halen, kopieeren is genoeg!
met zijn allen op een verzekering..
Ja meneer [vul naam in] Ik weet niet hoe ik het moet zeggen, maar u heeft nog maar een week te leven. U heeft zowel Aids als longontsteking en teelbalkanker. En ik weet niet hoe, maar u heeft ook borstkanker.met zijn allen op een verzekering..
Waarom zou je hem fysiek willen stelen??? Je maakt een kloon en vervolgens zorg je dat de originele opgeblazen word... (te hoge straling geven op zijn eigen frequentie)
De chip krijgt namelijk stroom doordat er een spoel inzit die radiofrequenties omzet in een kleine spanning. Op het moment dat de chip spanning krijgt gaat hij zijn ID en eventuele andere info uitzenden.
Heb je dus een apparaatje dat dezelfde frequentie uitzend als de reader voor die chip maar dan x keer sterker dan kan je de chip dus vernietigen door overspanning.
De chip krijgt namelijk stroom doordat er een spoel inzit die radiofrequenties omzet in een kleine spanning. Op het moment dat de chip spanning krijgt gaat hij zijn ID en eventuele andere info uitzenden.
Heb je dus een apparaatje dat dezelfde frequentie uitzend als de reader voor die chip maar dan x keer sterker dan kan je de chip dus vernietigen door overspanning.
Daarentegen kunnen ze m'n pinpasnummer niet vanaf 30cm afstand vanuit m'n hoofd overstralen.
Wat dacht je van de data coderen met een pincode? voornaam+achternaam? of iets dergelijks..
Alles wat gemaakt word kan gekraakt worden, misschien lossy maar ze zullen je signaal kunnen faken, onderscheppen enz..
Alles wat gemaakt word kan gekraakt worden, misschien lossy maar ze zullen je signaal kunnen faken, onderscheppen enz..
:strip_icc():strip_exif()/u/128683/drop.jpg?f=community){kind=small}
maar de gegenereerde code kan ook ontvangen en weer opgeslagen worden. ongeveer vergelijkbaar met alle cd/dvd en dergelijke. als je het kan uitlezen kan je het (eventueel raw) kopieeren...
Heet deze chip ook Dolly ?
:strip_exif()/u/19397/geelismooier.gif?f=community){kind=small}
Dit gaat net zo simpel als het klonen van bankpasjes, alleen kan dit zelfs op afstand.
Ik weet dat we verisign niet ervaren als een vreselijk prettig bedrijf, maar verisign staat toch echt buiten de rfid ellende... ;-)VeriSign zegt pas een reactie te kunnen geven als ze de bewijslast hebben geëvalueerd.
Overigens verbaast het me niets, aangezien de rfid chippies nog steeds maar 1 signaal broadcasten, en niet een geheime handshake doen waarna de gegevens encrypted worden verstuurd.
Op dit item kan niet meer gereageerd worden.