Het bedrijf HID, fabrikant van toegangspasjes, wil de hackdemonstratie 'rfid voor beginners' die op de Black Hat-conferentie voor morgen op de agenda staat tegenhouden. De hack zou laten zien hoe pasjes van HID met een rfid-chip eenvoudig gekloond kunnen worden.
Het bedrijf heeft in een brief naar het beveiligingsbedrijf IOActive gedreigd met gerechtelijke stappen als de geplande presentatie toch doorgaat. Chris Paget, onderzoeker bij IOActive en voordrager van de lezing, zou patenten van HID schenden als hij toch besluit om de kraakmethode openbaar te maken. De organisatie van Black Hat is nog niet formeel benaderd om de hackdemontratie te annuleren, maar zegt 'op het ergste voorbereid te zijn.' IOActive heeft voor morgenochtend een persconferentie over de zaak aangekondigd.
Paget wil in zijn demonstratie de beveiligingsgaten aantonen in beveiligingssystemen die zijn gebaseerd op rfid-technologie. De pasjes met een rfid-chip worden vaak gebruikt om deuren binnen gebouwen te kunnen openen. Met behulp van een 'rfid-cloner', een apparaatje om de toegangscodes van pasjes te stelen, kan een kaartlezer voor de gek worden gehouden. Paget geeft een praktijkvoorbeeld: 'Als ik naast iemand in de lift ga staan, kan ik ongemerkt de sleutel op de kaart uitlezen en daarmee een gebouw binnenkomen.' Hoewel Paget de hack al eens eerder in besloten kring heeft gedemonstreerd, wil hij in zijn voordracht dieper op het onderwerp ingaan door bouwschema's en broncode te presenteren.
HID-woordvoerder Kathleen Carroll bevestigt dat er een brief is gestuurd naar IOActive, maar ontkent dat daarin iets over patentschending staat. Wel erkent ze dat sommige van HID's rfid-kaarten kwetsbaar zijn, maar 'niet in de mate die Paget beweert': 'Als iemand onze kaarten wil uitlezen moet hij tot minder dan 10 centimeter bij een kaart komen en in de baan van het signaal zitten.' Aangezien rfid-chips echter omnidirectioneel werken, lijkt het 'in de baan van de straling' komen geen al te grote opgave te zijn. Op de vraag of het bedrijf niet eerder actie had moeten ondernemen zegt HID dat haar klanten 'in paniek zouden raken'. Ook vreest het bedrijf dat de hackdemonstratie de nodige 'copycats' zal voortbrengen en daarmee veel klanten die het verouderde HID-systeem gebruiken in gevaar zal brengen: 'Waar is toch hun verantwoordelijkheidsgevoel?', verzucht de woordvoerder van het bedrijf dat het nog niet nodig acht zijn klanten te waarschuwen.
De problemen rond rfid-beveiligingssystemen zijn al vele jaren bekend. In 2006 werd tijdens een hackersconferentie aangetoond hoe chips van VeriChip gekloond konden worden en niet veel later viel het nieuwe rfid-paspoort ten prooi aan hackers. Veiligheidsexpert Jonathan Westhues zette vorige maand nog informatie online voor het maken van een 'test-apparaat' voor rfid-toepassingen. Hackers menen dat de techniek een prima opvolger is voor de streepjescode, maar van nature ongeschikt voor beveiligingsdoeleinden. HID zegt haar klanten in de toekomst te zullen adviseren om te upgraden naar duurdere systemen, waarbij betere encryptie toegepast wordt.
/i/1215708744.png?f=fpa)
/i/1218010806.png?f=fpa)
:strip_exif()/i/1082218403.jpg?f=fpa)
:strip_exif()/u/125454/7753_096.gif?f=community){kind=small}
:strip_icc():strip_exif()/u/111342/crop59c23ae9896fe_cropped.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/178794/Iron_Maiden_klein.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/19782/flycowicon.jpg?f=community){kind=small}
:strip_exif()/u/14387/Animation-2.gif?f=community){kind=small}
:strip_icc():strip_exif()/u/59027/crop643fc1d5bdbb2_cropped.jpg?f=community){kind=small}
/u/100867/crop5601ca928ac47_cropped.png?f=community){kind=small}
:strip_exif()/u/12408/dm_u_judi.gif?f=community){kind=small}
/u/40481/crop63f777c898038_cropped.png?f=community){kind=small}
:strip_icc():strip_exif()/u/3572/mashell%2520avatar_klein.jpg?f=community){kind=avatar}
/u/14754/avatar_small.png?f=community){kind=avatar}
/u/4739/logo-clean-icon.png?f=community){kind=icon}