Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 57 reacties
Bron: Reuters

Annalee Newitz en Jonathan Westhues Op de HOPE-hackersconferentie hebben deelnemers een demonstratie gegeven waarin een rfid-chip van VeriChip werd gekloond. Dat zou aantonen dat het - in tegenstelling tot beweringen van VeriChip - mogelijk is om iemands identiteit te 'stelen', althans, in situaties waarin de VeriChip-rfid-tag het enige identificatiemiddel is. De aanvaller dient zijn kloonapparatuur op een afstand van maximaal dertig centimeter te houden. Op de conferentie was een proefopstelling gebouwd, bestaande uit de van rfid-implantaat voorziene Annalee Newitz, een rfid-lezer, een antenne en een laptop. Newitz's arm werd door hackcollega Jonathan Westhues achtereenvolgens met de rfid-lezer en de antenne gescand. Vervolgens hoefde slechts de antenne langs de rfid-lezer te worden gehaald, die met een piep aangaf dat Newitz's aanwezigheid was geverifieerd. Volgens Newitz zijn VeriChips beweringen dat zijn chip niet kan worden vervalst, daarmee weerlegd. 'Er is absoluut geen beveiliging in aanwezig', zo valt Westhues haar bij, implicerend dat zijn laptop niet veel meer hoefde te doen dan het signaal vastleggen. VeriChip zegt pas een reactie te kunnen geven als ze de bewijslast hebben geŽvalueerd. Maar het bedrijf wil nog wel kwijt dat het heel moeilijk is om een VeriChip te stelen. 'Het is veel veiliger dan wat er ook in je portemonnee zit', aldus woordvoerder John Procter.

Lees meer over

Gerelateerde content

Alle gerelateerde content (27)
Moderatie-faq Wijzig weergave

Reacties (57)

Er is niets nieuws onder de zon. Alle software is te hacken:)
Niet mee eensch.

Software wordt vaak makkelijker om de tuin te leiden naarmate de complexiteit groeit, en naarmate er minder financiele aandacht gegaan is naar de -pogingen- om de software hackproof te maken.

De moeilijkheid blijft bestaan dat klanten -in de breedste zin van het woord- willen betalen voor functionaliteit, en hackproof maken valt daar zelden onder: dat is immers vooral "functionaliteit" toevoegen in termen van wat software NIET mag doen.

Hier zie je als klant niets van terug (dat er geen/minder problemen optreden tellen mensen niet mee), en dus wil men het liever niet betalen.


Doet me denken aan een aflevering van Jiskefet, waarin ze a la Mike en z'n Amazing Discoveries de "Emergendizer" aanprijzen. Dit Fantastische dingetje kon overal tegen:
- Water (0 graden, en 100 graden)
- Je kon erop stampen
- Je kon er met je auto overheen rijden
- Hij kon in de magnetron
- je kon er mee gooien
- Hij kon tegen je schoonmoeder

Het ding was echter tegelijkertijd nergens goed voor: op de vraag waa je hem voor gebruikte bleef het stil.

Uitsteken beveiligde hardware, dus :)
Verschil is echter bij deze rfid's die bv in bibliotheken ook gebruikt worden dat een simepele read/write protectie of een encryptie al achterwege wordt gelaten onder het mom van "het is veilig". Het tijdperk dat we in zo'n naieve wereld leefde is nu toch al voorbij echter men blijft producten introduceren die nog steeds onbeveiligd zijn. Ergens zit het dan fout dit heeft niets te maken met complexiteit of practisch nut. Rfid's zijn niet complex en ze worden er echt niet minder bruikbaar op door simpele features te gebruiken.
Maar zeggen dat je software en je hardware beveiligd is, en daarna, dat na nader onderzoek het tegendeel blijkt?

Dat is niet goed
Niet alle software is te hacken. Er bestaan beveiligingen die al jaren bekend zijn en waarvan we nog steeds niet weten hoe we het zouden moeten kraken... (ja misschien met onbeperkte rekenkracht maar niet praktisch te kraken)

Het probleem zit hem meestal in fouten in de implementatie of in het ontwerp (en deze zitten er praktisch altijd wel in).
Maar voor dit soort eenvoudige programma's (programma's in RFID zijn betrekkelijk klein) is het wel mogelijk om de kritieke code te beperken en zorgvuldig te testen/bewijzen... (maar dit is erg tijdrovend en word bijna nooit gedaan maar toch vind ik de stelling "alle software is te kraken" een foute omdat het wel binnen de mogelijkheden ligt).
Zwaktes in beveiliging van simpele dingen zit hem meestal niet in de code maar in de basis aannames, het protocol en/of encryptie methode.
Daar gaat de veiligheid van RFID. Het zou dan ook dwaas zijn van elke instantie om dit als veilige methode te nemen. Immers identiteitsvervalsing wordt nog makkelijker aangezien je dit kenmerk makkelijk kan vervalsen.
Nou om nu te zeggen dat hiermee de veiligheid van alle mogelijke RFID gebroken is, is een beetje kort door de bocht...

Alleen van deze specifieke implementatie is een manier gevonden om hem te kraken, als het waar is wat die Westhues zegt is het een erg naive/foute implementatie waarbij het signaal gewoon gekopieerd kan worden (dit suggereerd het artikel). Wanneer men gekozen had voor een challenge/response aanpak zijn de zaken niet zo eenvoudig en kan het behoorlijk moeilijk gemaakt worden om zo'n chip te klonen.

Eenvoudig: Zo'n RFID chip is soort computertje dat signalen kan ontvangen en versturen. Het heeft een programma en data (een sleutel), wat je doet is niet de eigenlijke sleutel versturen (dat zou je kunnen opvangen en kopieren) maar iets afgeleid van die sleutel zodanig dat het makkelijk is vast te stellen of iemand echt de sleutel heefd maar dat het moeilijk is erachter te komen wŠt die sleutel nu was (en dit kan met public key encryption). Wat je dan aan zwakheden overhoud:
- Het extern/fysiek uitlezen van de sleutel (kan erg moeilijk zijn)
- De zwakte van het public key encryptie algoritme (bestaan goede algoritmen voor die veilig geachtwoorden)
- Fouten in de implementatie...
Tuurlijk, als er iets gehackt wordt dan is er ook altijd een manier om dat een volgende keer te voorkomen door de gaten te dichten of een andere techniek te gebruiken.

Door dit soort hacks nu al te publiceren maken ze het produkt feitelijk sterker, doordat een volgende versie beter beveiligd zal zijn, voordat een kritieke massa er gebruik van gaat maken.

Ik vind het dan ook jammer dat men niet met het openbaar maken wacht tot het moment dat de meerderheid (de schapen) zo'n chip in zich heeft. Als men er dan achter komt hoe gevaarlijk het kan zijn om al je info in een personal chip te stoppen, gaat de mensheid misschien de ogen open.

Het mag duidelijk zijn, ik zie die chip absoluut niet zitten.
Wat zijn dan de nadelen van zo'n chip t.o.v. een paspoort, creditcard, etc dan?

Als je wat moeite doet en genoeg geld hebt dan is het niet al te moeilijk om een andere identiteit aan te nemen dan waarmee je geboren bent.
Jouw informatie (identiteit) kan net zo goed gestolen worden, of het nu electronisch is opgeslagen (RFID) of op papier (paspoort).

Tevens wordt "al je info" niet in die chip gestopt! Het is een identifier van de persoon. Hierdoor kunnen instanties (Overheid, ziekenhuisen, etc) hun databanken raadplegen wanneer je bij hun aan de balie staat. Dus het gevaar waar jij overhebt bestaat niet. (In je paspoort staat toch ook niet al je persoonlijke info)

Blijkbaar zie jij de woorden onderhuids, chip en informatie en lopen de rillingen over rug. Dit is niet anders dan die "paardloze" koetsen van 100+ jaar geleden en wordt ook wel voorruitgang genoemd.
Dat je bij elke voorruitgang gezond verstand moet gebruiken en niet op de commerciele uitlatingen van 1 bedrijf moet uitgaan, lijkt me duidelijk.

Het grote probleem hier is dat het bedrijf VeriChip geclaimed heeft dat hun chip "veilig" was wat betreft diefstal, maar dat duidelijk niet is. Ik ben juist blij dat ze er op tijd achter zijn gekomen, voordat mijn rekening geplunderd is.

Overigens bestaat er wel degelijk 1 verschil tussen een papieren paspoort en de RFID chip. Wanneer het wordt gestolen ( / gekopieerd) merk je het bij een paspoort. Bij gestolen data kom je er waarschijnlijk pas veel later achter.
Maar dat is ook niets nieuws, aangezien het kopieren van magneetstrip bankpassen ook al een hobby is geworden van louche figuren.

@Glashelder:
Iemand kan ook je paspoort rollen.. (Juist in een drukke metro!).
Wanneer ze je RFID uitlezen, hebben ze toch eerst een databank met persoonsgegevens nodig voordat ze er acther zijn wie je bent.
Met je paspoort weten ze je gelijk te vinden.

Ik zeg zeker niet da RFID heilig en het paradijs is. Tot nu toe zie ik niet meer nadelen dan met de huidige identificatie methoden.

@progie
Gelukkig hangen er overal genoeg camera's of zijn er vaak getuigen.
Hetzelfde geld voor het paspoort. Wanneer ik met een vals paspoort (met jouw gegevens) een leuke lening open, hoe ga jij bewijzen dat jij die lening dan niet bent aangegaan?

@OpenMinded
Waar haal jij die 30m vandaan? De meeste RFID lezers hebben al moeite met meer dan 1m. Volgens mij is 2m zo'n beetje het maximum voor passieve RFID tags.
Als jij in een drukke metro staat dan ben je anoniem (als er geen bekenden van je zijn), of je nou je passport in je zak hebt of niet. In de drukke metro kan er zo iemand een RFID lezer langs je halen en je kan de lul zijn.
@standerman..
Tevens wordt "al je info" niet in die chip gestopt! Het is een identifier van de persoon. Hierdoor kunnen instanties (Overheid, ziekenhuisen, etc) hun databanken raadplegen wanneer je bij hun aan de balie staat. Dus het gevaar waar jij overhebt bestaat niet. (In je paspoort staat toch ook niet al je persoonlijke info)
Nou dat is leuk als dus RFID als indentificatie gebruikt gaat worden en ik loop met een "clone RFID" van jouw rond probeer dan maar eens te bewijzen dat je niet op de plek van een misdrijf geweest bent.
In het artikel staat 30 cm, en dat haalt mn arm wel.
@standeman
Dit werkt tot op 30 meter afstand, dat lijkt me wel ff iets makkelijker dan een paspoort rollen, die berg je namelijk goed op als je een beetje hersens hebt.
@albert_gerritsen
Je ziet alleen even over het hoofd dat er geen sprake is van een challenge/response situatie aangezien zo'n RFID chip niet in staat is te antwoorden. Zo'n RFID chip is eigenlijk niet veel meer dan een nieuw type streepjescode die op afstand uitgelezen kan worden.
Wellicht zou je je wat moeten verdiepen in RFID tags. Er is wel degelijk sprake van dat de RFID chip antwoord.

Die chip haalt zijn energie uit het radio signaal dat hem gestuurd wordt. Die energie wordt omgezet in een elektrisch signaal (1), dat vervolgens gebruikt wordt om de interne waarde van de chip uit te lezen (2). Tot slot wordt deze waarde weer verstuurt middels weer een radio signaal (3) en opgepikt door de ontvanger.

Indien tussen stap 2 en 3 een extra stap toegevoegd wordt waarbij het signaal bij stap 1 versleuteld wordt met de waarde gevonden bij 2 en dit bij stap 3 terug gestuurd wordt heb je weer een degelijk challenge/response systeem.
met andere woorden, even veilig en nuttig als barcode's
Een barcode is veiliger, die kan je van 30cm afstand en zonder direct zicht niet uitlezen.
zonder direct zicht heb je gelijk in, maar die 30cm is echt geen probleem, scanners die ze bij ons in het magazijn gebruiken lezen af vanaf ongeveer 1 meter en dat zijn echt geen bijzonder dure dingen ofzo, vrij basic spul.
(Normale) RFID is dan ook geen goede oplossing voor zoiets. Als je iemands identiteit goed wilt vaststellen moet je gebruik maken van een challenge/response systeem met een security authority. Het probleem dat hierbij optreedt is alleen dat een standaard rfid unit hier geen logica voor heeft en normaliter ook geen data kan ontvangen.
Toppunt van arrogantie:
'Het is veel veiliger dan wat er ook in je portemonnee zit'
Toppunt van arrogantie:
'Het is veel veiliger dan wat er ook in je portemonnee zit'
Mijn portemonnee kan niemand vanaf 30 centimeter afstand uitlezen.

Overigens is een 'beveiliging' gebaseerd op enkel RFID (of biometrie) gedoemd om te falen. De basis van beveiliging: je moet iets hebben en je moet iets weten. Alles wat je alleen 'hebt' kan gekopieerd worden. In feite hebben de in het nieuwsartikel genoemde hackers een replay-att[urlack uitgevoerd.

@sired
Of mijn portemonnee zal een laagje lood bevatten indien dit gaat gebeuren of dat geld komt gewoon niet in mijn portemonnee, waardoor alternatieve betaalmiddelen gebruikt zullen worden.

[edit]
@mrprodent

[quote]
Je bent iemand, die iets weet en die iets heeft.
[/quote]

Iemand anders weet (nog) niet wie jij bent, dus alleen het weten en hebben klopt.

[quote]
Als je alleen kijkt naar wat je hebt en wat je weet dan zijn die beide van iemand te krijgen. Copieren bijv van dat wat je hebt en martelen voor dat wat je weet.. of afkijken..
[/quote]

Daarvoor heb je plausible deniability. En een wachtwoord welke bestaat uit een complete zin welke ik zelf bedacht heb is is zeer moeilijk af te kijken, vooral omdat ik zeer snel met tien vingers type. Bovendien heeft iemand mijn sleutel/certificaat nog steeds niet, omdat deze op een (zeer sterk ge-encrypte) memory key aanwezig is.

[quote]
Wat beveiliging sterker maakt is de combinatie van die dingen en de complexiteit van deze onderdelen. Een sterk password bijv. en een fingerprint lezer ipv een simpele handtekening.
[/quote]

Een fingerprint reader is iets dat je hebt (een fingerprint) en een password is iets dat je weet. Mijn theorie gaat nog steeds op. Wat je met die twee juist doet is jezelf identificeren. Een fingerprint reader alleen is niets waard en een password ook niet.

En de onderdelen hoeven helemaal niet complex te zijn. Dat is typisch het idee van security through obscurity. Neem producten als TrueCrypt of GNU Privacy Guard. Ze zijn zelfs open-source en maken gebruik van algoritmes welke zowel open als bewezen zijn. Bij encryptie is het principe: je mag alles van mij weten (zelfs het algoritme), behalve mijn pincode/password/tekenreeks.

Over fingerprint readers gesproken, deze zijn makkelijk te omzeilen. Zelfs diegene waar je je vinger overheen moet wrijven in plaats van erop moet leggen.
@Zepman

Mijn portemonnee kan niemand vanaf 30 centimeter afstand uitlezen.



Tenzij je geld is voorzien van rfid tags, dan kan je je geld virtueel verliezen. Als deze tags dan weer worden geimplanteerd in vals geld is de cirkel weer rond :9
Tuurlijk heeft Big Brother daar ook al aan gedacht :)

klik

edit: typo
Een 'replay-attack' is ietwat oud. Alsof je in de bosjes naast de poortwachter gaat liggen, wacht tot er iemand langs komt, het geheime wachtwoord afluistert en vervolgens met dat wachtwoord naar binnen wandelt. Die 'aanval' is vele eeuwen oud, en dat verisign hier niet tegen bestand is, is zondermeer een schandelijke blamage te noemen. Prutswerk.
Zepman het is meer dan dat..

Je bent iemand, die iets weet en die iets heeft.

Als je alleen kijkt naar wat je hebt en wat je weet dan zijn die beide van iemand te krijgen. Copieren bijv van dat wat je hebt en martelen voor dat wat je weet.. of afkijken..

Wat beveiliging sterker maakt is de combinatie van die dingen en de complexiteit van deze onderdelen. Een sterk password bijv. en een fingerprint lezer ipv een simpele handtekening.
maar ze liegen niet natuurlijk - het stelen van de chip is een stuk moeilijker, of je moet al iemand's arm/nek open willen snijden.

Erg subtiel van ze, maar het stelen van de chip, het fysieke deel, daar gaat het natuurlijk niet om.
Precies.

Sterker nog, je hoeft bij RFID niet per se iets te kraken om er voordeel uit te halen, kopieeren is genoeg!

met zijn allen op een verzekering..
met zijn allen op een verzekering..
Ja meneer [vul naam in] Ik weet niet hoe ik het moet zeggen, maar u heeft nog maar een week te leven. U heeft zowel Aids als longontsteking en teelbalkanker. En ik weet niet hoe, maar u heeft ook borstkanker.
Waarom zou je hem fysiek willen stelen??? Je maakt een kloon en vervolgens zorg je dat de originele opgeblazen word... (te hoge straling geven op zijn eigen frequentie)

De chip krijgt namelijk stroom doordat er een spoel inzit die radiofrequenties omzet in een kleine spanning. Op het moment dat de chip spanning krijgt gaat hij zijn ID en eventuele andere info uitzenden.

Heb je dus een apparaatje dat dezelfde frequentie uitzend als de reader voor die chip maar dan x keer sterker dan kan je de chip dus vernietigen door overspanning.
Daarentegen kunnen ze m'n pinpasnummer niet vanaf 30cm afstand vanuit m'n hoofd overstralen.
Wat dacht je van de data coderen met een pincode? voornaam+achternaam? of iets dergelijks..

Alles wat gemaakt word kan gekraakt worden, misschien lossy maar ze zullen je signaal kunnen faken, onderscheppen enz..
maar de gegenereerde code kan ook ontvangen en weer opgeslagen worden. ongeveer vergelijkbaar met alle cd/dvd en dergelijke. als je het kan uitlezen kan je het (eventueel raw) kopieeren...
Als je de code (alles wat ie leest) exact dupliceert en in een 'lege' RFID (of een simpel zendertje) terug zet, dan ben je er toch al? Hoef je niets te hacken...

Of kun je die RFID's ook 'zware' berekeningen laten doen, code van de aanvrager, berekening, code terug, verificatie, poortje open. Zo niet, dan is het inderdaad niet meer dan een veredelde barcode, die je van een iets grotere afstand uit kan lezen.
Een RFID chip kan rekenen, maar er is natuurlijk een practische grens aan.
'Het is veel veiliger dan wat er ook in je portemonnee zit',
Wat een kromme en misleidende vergelijking. De rest in je portemonnee zendt niet zomaar signalen uit waardoor een boef het kan signaleren -en blijkbaar zelfs klonen- zonder het maar aan te raken of dat het zichtbaar is.

Misschien is de beveiliging an sich beter dan een creditcard, maar die moet je fysiek laten zien aan iemand en door een apparaat halen voordat ermee geknoeid kan worden. We hebben het nu over technologie die blijkbaar gejat kan worden als iemand ook maar langs je loopt zonder je aan te raken?
* Splorky kijkt in zijn portemonnee
ahhhhh, kut mijn pasport is gestolen

* Splorky kijkt later weer eens in zijn portemonnee
gelukkig maar, de Rfid kaartjes zitten nog in mijn portemonnee, hier uit concludeer ik maar dat niemand het gestolen heeft.

[ en over dat geld met Rfid's]
slecht idee, zeker handig boor dieven, die kunnen zo de mensen laten lopen die niet genoeg geld mee shouwen
Heet deze chip ook Dolly ?

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True