Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 78 reacties
Bron: InfoWorld

Het bedrijf HID, fabrikant van toegangspasjes, wil de hackdemonstratie 'rfid voor beginners' die op de Black Hat-conferentie voor morgen op de agenda staat tegenhouden. De hack zou laten zien hoe pasjes van HID met een rfid-chip eenvoudig gekloond kunnen worden.

RFID HID kaartHet bedrijf heeft in een brief naar het beveiligingsbedrijf IOActive gedreigd met gerechtelijke stappen als de geplande presentatie toch doorgaat. Chris Paget, onderzoeker bij IOActive en voordrager van de lezing, zou patenten van HID schenden als hij toch besluit om de kraakmethode openbaar te maken. De organisatie van Black Hat is nog niet formeel benaderd om de hackdemontratie te annuleren, maar zegt 'op het ergste voorbereid te zijn.' IOActive heeft voor morgenochtend een persconferentie over de zaak aangekondigd.

Paget wil in zijn demonstratie de beveiligingsgaten aantonen in beveiligingssystemen die zijn gebaseerd op rfid-technologie. De pasjes met een rfid-chip worden vaak gebruikt om deuren binnen gebouwen te kunnen openen. Met behulp van een 'rfid-cloner', een apparaatje om de toegangscodes van pasjes te stelen, kan een kaartlezer voor de gek worden gehouden. Paget geeft een praktijkvoorbeeld: 'Als ik naast iemand in de lift ga staan, kan ik ongemerkt de sleutel op de kaart uitlezen en daarmee een gebouw binnenkomen.' Hoewel Paget de hack al eens eerder in besloten kring heeft gedemonstreerd, wil hij in zijn voordracht dieper op het onderwerp ingaan door bouwschema's en broncode te presenteren.

HID-woordvoerder Kathleen Carroll bevestigt dat er een brief is gestuurd naar IOActive, maar ontkent dat daarin iets over patentschending staat. Wel erkent ze dat sommige van HID's rfid-kaarten kwetsbaar zijn, maar 'niet in de mate die Paget beweert': 'Als iemand onze kaarten wil uitlezen moet hij tot minder dan 10 centimeter bij een kaart komen en in de baan van het signaal zitten.' Aangezien rfid-chips echter omnidirectioneel werken, lijkt het 'in de baan van de straling' komen geen al te grote opgave te zijn. Op de vraag of het bedrijf niet eerder actie had moeten ondernemen zegt HID dat haar klanten 'in paniek zouden raken'. Ook vreest het bedrijf dat de hackdemonstratie de nodige 'copycats' zal voortbrengen en daarmee veel klanten die het verouderde HID-systeem gebruiken in gevaar zal brengen: 'Waar is toch hun verantwoordelijkheidsgevoel?', verzucht de woordvoerder van het bedrijf dat het nog niet nodig acht zijn klanten te waarschuwen.

De problemen rond rfid-beveiligingssystemen zijn al vele jaren bekend. In 2006 werd tijdens een hackersconferentie aangetoond hoe chips van VeriChip gekloond konden worden en niet veel later viel het nieuwe rfid-paspoort ten prooi aan hackers. Veiligheidsexpert Jonathan Westhues zette vorige maand nog informatie online voor het maken van een 'test-apparaat' voor rfid-toepassingen. Hackers menen dat de techniek een prima opvolger is voor de streepjescode, maar van nature ongeschikt voor beveiligingsdoeleinden. HID zegt haar klanten in de toekomst te zullen adviseren om te upgraden naar duurdere systemen, waarbij betere encryptie toegepast wordt.

Lees meer over

Moderatie-faq Wijzig weergave

Reacties (78)

'Waar is toch hun verantwoordelijkheidsgevoel?', verzucht de woordvoerder van het bedrijf dat het nog niet nodig acht zijn klanten te waarschuwen.
errrrm...Wie z'n verantwoordelijkheidsgevoel? |:(
Precies! En daarom is het goed dat er een hackersgemeenschap is.

Het verantwoordelijkheidsgevoel van deze gemeenschap zit hem erin dat ze het gebrek aan verantwoordelijkheidsgevoel van luie bedrijven aantonen.
Waarom is de post van akadexter omlaag gemod?

Je kunt je inderdaad afvragen wie er geen verantwoordelijkheids gevoel heeft.
De hackers of het bedrijf dat bewust rommel verkoopt.
Dat is toch juist de hele grap van de auteur..... :>
Dat is eigenlijk wel geniaal:

Patent aanvragen op "een methode om de RFID pasjes die door ons gemaakt worden, te klonen". Hey presto "security through absurdity"... ;)
"A device that picks up information send into the air, without damaging the source of that information"
Hey... je hebt zojuist de microfoon gepatenteerd.
@BartS12
send into the air
Dat doet een radio over het algemeen niet hoor, die ontvangt alleen maar informatie.
Gelijk doen, al zou ik de omschrijving wel iets vager maken. Dit is nog te specifiek..
Te vaag en je krijgt geen patent..
Er mag dus niet verteld worden dat hun pasjes makkelijk te hacken zijn :X
Op de vraag of het bedrijf niet eerder actie had moeten ondernemen zegt HID dat haar klanten 'in paniek zouden raken'. Ook vreest het bedrijf dat de hackdemonstratie de nodige 'copycats' zal voortbrengen en daarmee veel klanten die het verouderde HID-systeem gebruiken in gevaar zal brengen: 'Waar is toch hun verantwoordelijkheidsgevoel?', verzucht de woordvoerder van het bedrijf dat het nog niet nodig acht zijn klanten te waarschuwen.
Toch wel bijzonder komisch dat een bedrijf dat een onveilig beveiligingssysteem levert en dat dondersgoed weet betr. de ontmaskeraar van hun slechte product begint te klagen over het "verantwoordelijkheidsgevoel" van de laatste.
En betreffend bedrijf het tevens in dezelfde zin niet nodig vind de klanten op de hoogte te brengen van de onveiligheid zodat deze maatregelen kunnen nemen of hun personeel extra instructies kunnen geven.
"Verantwoordelijkheidsgevoel" he?? Over hypocrisie gesproken zeg :z
"Verantwoordelijkheidsgevoel" zou zijn om, als bedrijf zijnde, vroegtijdig met die hacker in contact te komen om zo samen hun systeem te verbeteren en dit gratis aan hun klanten te verspreiden. Verantwoordelijkheid begint bij jezelf.
Bank passen copieren.
Creditcards copieren / onthouden en gegevens misbruiken.
Login/passwords van banklogin, game logins etc keyloggen (ook copieren van access)
Allemaal standaard praktijken en alle betrokkenen in het vak zijn er van op de hoogte. Maar het blijkt ook dat de klant ook niet bereid is meer te betalen voor deze beveiliging(zie onderstaande post over alternatieven).
Dit meestal willens en wetens.

2000 pasjes a 2 euro die zeer lastig te kopieren zijn (want makkelijk is het nou ook weer niet om aan alle voorwaarden te voldoen, kennis, gelegenheid, apparatuur,motief)
of
2000 pasjes a 10euro die niet te kopieren zijn

de keuze is snel gemaakt!
2000 pasjes a 2 euro die zeer lastig te kopieren zijn (want makkelijk is het nou ook weer niet om aan alle voorwaarden te voldoen, kennis, gelegenheid, apparatuur,motief)
of
2000 pasjes a 10euro die niet te kopieren zijn

de keuze is snel gemaakt!
Je zegt het zelf, heel correct. De keuze is door de bank gemaakt niet door de consument die Łberhaubt geen keuze heeft. Lijkt mij dat als de bank dat risico wil lopen. Dat zij ook het misbruik moeten betalen.
Dat mag wel, maar een complete handleiding, maakt het alleen nog maar erger.

Misschien dat ze tijd moeten gunnen aan het bedrijf, om de boel veilig te maken. Anders gooi je wel een hoop bedrijven open die gebruik maken van dit systeem.
ach, iedereen weet toch dat RFID "van nature ongeschikt voor beveiligingsdoeleinden." is.. Ze hebben gewoon een onveilig produkt verkocht! En iemand die kwaad wil, die kan het heus zelf ook wel uitvogelen.
idd
rfid kent genoeg handige toepassingen waar ze wťl geschikt voor zijn...
Het bedrijf tijd gunnen? Waarom?
Ze kennen dit probleem al vanaf het ontwerpstadium.
Ze hebben toe een veiligheid/kosten afweging gemaakt.
Het liefst zouden ze het stil houden natuurlijk en vervolgens verder pitten.
Beetje eenzelfde verhaal als met de stemcomputers.
Ik nam aan dat dit een man in the middel attack is

RF lezer <==> cloner <--> cloner <==> pasje
RF lezer ziet pasje pasje ziet RF lezer. alleen het passje is helemaal niet bij de lezer. zodat die toegang verleent aan iemand zonder pasje.

maar dit is allang bekend. dus moet het een echte RF ID steler zijn.
Hoeft niet. Als een pasje een vaste respons geeft, kan je ook zelf iets maken wat dezelfde response geeft.
In beveiligingstermen heet dit een 'Replay' aanval.

Als dit niet mogelijk is, kan je een "man in the middle" aanval uitvoeren (ook wel "digitaal zakkenrollen" in deze context genoemd) Je handlanger gaat met een lezer dichtbij het slachtoffer staan en je staat met een radioverbinging in kontakt met je handlanger. Elke vraag van het toegangssysteem stuur je door naar de echte RFID en met het onvangen resultaat kom je binnen.
Ja, dat zou vermoedelijk betekenen dat hun patent op 'beveiligingsmethoden via rfid' ongeldig wordt, aangezien de axiomas van de beveiliging die het tot doel heeft geschonden worden.
Lang leve security through obscurity!

Maar de verdediging is schizofrener dan jij beschrijft: niet mogen zeggen dat iets makkelijk te hacken is, is meestal inderdaad niet toegelaten (en strafbaar, want laster) als je dat niet hard kunt maken.

Hier zegt ze: je mag niet aankondigen dat je gaat aantonen dat het makkelijk te hacken is. Onderverstaan: want die zwakte is onbewezen, dus je belastert ons. [Plus de FUD in persconferentie van procesdreiging als ze het *wel* hard maken, ivm `patentschendingen'.]
HID zegt haar klanten in de toekomst te zullen adviseren om te upgraden naar duurdere systemen, waarbij betere encryptie toegepast wordt.
alsof de slotenbouwer adviseert vooral het ingebouwde slot te vervangen, omdat het slecht gebouwd is en de deur niet werkelijk afsluit; maar voor een leuk bedragje biedt hij aan een nieuw slot in te bouwen ....

De vraag is dan: Geeft U dan dezelfde slotenmaker opdracht een nieuw slot in te bouwen voor een flinke meerprijs?
Dat dacht ik nu ook! Wel slim opzich, eerst geld scoren voor je zooi en dan zeggen "kunnen wij niets aan doen. maar u kunt wel een duurdere bij ons kopen!". hoppa 2x geld verdient! Ben benieuwd om hoeveel "klanten"(of moet ik gedupeerden zeggen) het gaat.
Het probleem waar je mee zit is dat HID's upgrade kit waarschijnlijk enkel bestaat uit nieuwe kaarten/lezer en niet het gehele systeem wat erachter zit qua machnetische sloten, data loggers en wat er nog meer bij hoort. Dus upgraden naar iets beters van hun is hoogst waarschijnlijk stukke goedkoper en eenvoudiger.
quote RM-rf
alsof de slotenbouwer adviseert vooral het door hem aangebrachte ingebouwde slot te vervangen, omdat het slecht gebouwd is en de deur niet werkelijk afsluit; maar voor een leuk bedragje biedt hij aan een nieuw slot in te bouwen ....
* A4-tje maakt de vergelijking kloppend. 8-)
Je mag toch een kopietje maken voor eigen gebruik :P
*Kijkt naar z'n pasje

Inderdaad tis ook een HID. Dat encryptie decryptie gebeuren is allemaal leuk maar uiteindelijk stuurt mn pasje alleen data en doet het daar verder niks mee. Kan je er nog zoveel encryptie opgooien, je hoeft het ding alleen maar te kopieeren en dat kan al vrij gemakkelijk als je tegen iemand aan stoot met een kaarten lezer verstopt in z'n tas bijvoorbeeld. Uiteindelijk maakt de lezer van het kaartje geen onderscheid tussen twee pasjes die hetzelfde signaal uitzenden..
Helemaal niet into deze dingen, dus kan misschien poep praten...
Voorzie deze dingen van een encryptie key. Laat "het slot" een challenge sturen, sleutel berekent op basis van zijn laatst gekregen sleutelcode een antwoord, geeft dit terug aan het slot, deze geeft vervolgens weer een nieuwe code (geencrypt mbv de oude code), pasje zegt "ontvangen", slot gaat los en nieuwe key word in een database opgeslagen.

Volgens mij hoeft dit helemaal niet bijzonder duur of groot te zijn, en de kans dat dit gekraakt word is bijzonder miniem als ik mn net verzonnen systeem nalees. Volgens mij zelfs erg eenvoudig en daarom goedkoop te implementeren.

Dit heet denk ik niet maar RFID, RFID is een op afstand uitleesbare streepjescode. Nogal wiedes dat dat onveilig is?
Ik ook niet echt hoor. Volgens mij is mijn pasje niet meer dan een magnetische strip en er zullen best wel geavanceerdere versies in omloop zijn van dit systeem, zoals jij het voorsteld lijkt me een vrij logische stap en goed te realiseren. Probleem is dan wel dat de pasjes significant duurder worden lijkt me...
Duurder, complexer en dus foutgevoeliger....
Het probleem van "proximity" versie van een magnetische strip is dat hij op afstand te lezen is. En dat was waar het net om ging ^^ En dus ook op afstand te kopieren hetgeen makkelijker is dan met een magnetische kaart waar physiek contact nodig is.

Elk voordeel heb zijn nadeel.

Het feit van de overgang naar proximity dwingt dus een extra beveiliging op. Deze mag op zijn beurt weer niet te duur zijn..
zie link voor meer info voor een voorbeeld geavanceerde oplossing.

Overigens kan de software oplossing ook helpen bij het opsporen van misbruik.
ons systeem Logitime ondersteund bijvoorbeeld foto bewaking van zones. Zo kan een bewaker bijvoorbeeld netjes de foto van de medewerker zien elke keer dat iemand langs loopt.

Als die er dus anders uit ziet dan de foto loopt hij erg snel tegen de lamp!
Uiteindelijk allemaal heel leuk en aardig maar voor een mooie dame houd ik de deur toch wel even open :+

Serverruimten enzo natuurlijk weer niet tenzij ik de persoon in kwestie ken en weet dat hij/zij er mag komen, maar daar zijn de beveiligingsmaatregelen ook wel een stukje hoger dan alleen zo'n pasje.
RFID wordt meer als verzamelnaam gebruikt.
De eerste generatie kan je inderdaad het beste vergelijken met een streepjescode.
Volgende generatie had al uniek password
Weer een volgende uniek password met encryptie
en tegenwordig zijn het complete microcontrollers met
ingebouwde hardwarematige encryptie.

Indien echter je niet volledig gebruik maakt van de mogelijkheden van de beveiliging of je maakt een denkfout, dan zet je de deur open voor hackers
Domme Zwarte Hoed hackers, ze kennen de uitdrukking "dat moet onder de pet blijven" niet eens.
Hoe zie je dat 'onder de pet houden' met RFID tags eigenlijk ? Da's nou net de gein van het geheel.....
Hoe scherm ik mijn rfid-paspoort zo af dat hij niet gelezen kan worden? In aluminium folie wikkelen?
Portomonnee voeren met Ductape...
ducktape zal niet helpen. Aluminium folie wel daarentegen! Maar dan kan je je portomonee ook niet meer tegen de badgelezer aanhouden om de deur open te doen. Gemak dient de mens ^^
Mijn portemonnee is niet zo groot dat er een paspoort in past!
aluminium folie helpt alleen tegen straling vanuit een alien ruimteschip!
10 Centimeter? Met de standaard antenne ja. Als je een antenne neemt die niet-omnidirectioneel is en/of een wat groter zendvermogen heeft dan normaal, dan kan je veel grotere afstanden bereiken lijkt me... (8>
Nee de afstand zal niet groter worden!

namelijk dit betreffen "passieve badges"

in de badge zit een spoeltje. de lezer zend een magnetische straal uit die de badge van stroom voorziet. Dit activeerd het pasje met een leesafstand van +- 10 Cm.
Door groter zendvermogen brand je alleen de chip eruit.

wat wel kan is een richt antenne. deze zijn echter groot en log erg "richting gevoelig". En dus niet echt handig voor hack attempts. Maar als je iemand op een andere locatie door je "poortje" zou kunnen lokken zou dit op zich wel kunnen werken.

Voor lange afstand oplossingen worden actieve badges gebruikt. Deze hebben intern een batterij en kunnen dus zelf een stuk verder zenden.
Wat maatgevend is, is de veldsterkte ter plaatse van de RFID. Goed, je kan het zendvermogen niet onbeperkt opvoeren, als plotseling TL buizen gaan branden zonder dat ze aangeschakelt zijn valt het natuurlijk op ;)

Behalve een magnetisch signaal zend een pasje ook een elektrisch signaal uit, wat veel verder rijkt. 5-10 meter wordt algemeen als haalbaar gezien
Als het een rechtzaak wordt zal die nog wel eens interessante gevolgen kunnen hebben tov Full Disclosure.

Tevens is RFID natuurlijk alleen maar in combinatie met andere methodes voor toegangscontrole toe te passen.
"Tevens is RFID natuurlijk alleen maar in combinatie met andere methodes voor toegangscontrole toe te passen."

Ik gok er op dat daar het probleem zit, het zal wel verkocht zijn als een soort makkelijke sleutel, aka, zonder sleutel en geklooi toch naar binnen!

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True