Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 28 reacties

In de Amerikaanse staat Nevada is een wetsvoorstel ingediend dat het verbiedt om zonder toestemming andermans rfid-informatie uit te lezen. Er bestaat de vrees dat onderzoek naar de beveiliging ervan hierdoor strafbaar wordt.

Volgens het wetsvoorstel zal het een misdrijf worden om via rfid andermans persoonsgegevens uit te lezen of te bezitten. Overtreders kunnen worden bestraft met een boete van 10.000 dollar en vijf jaar gevangenisstraf. Onderzoekers en burgerrechtenorganisaties zijn tegen dit wetsvoorstel, omdat het in zijn huidige vorm praktijkonderzoek naar de zwakheden van rfid-toepassingen strafbaar stelt. Zij wijzen hierbij naar de vele lekken in de beveiliging die door hackers aan het licht zijn gebracht. In Nevada worden ieder jaar de hackersbijeenkomsten Defcon en Black Hat gehouden, en demonstraties van lekken in rfid-toepassingen zouden daar onder de nieuwe wet waarschijnlijk verboden zijn.

Rfid-tagsDe indiener van het wetsvoorstel, senator David Parks, had zijn wet vooral bedoeld om de privacy van de burgers te beschermen. Na de kritiek heeft hij toegezegd om een amendement aan de wet toe te voegen dat een uitzondering maakt voor bona fide onderzoek naar lekken in de beveiliging, zo meldt The Register. De rfid-wet die vorig jaar in Californië werd aangenomen, kent ook een dergelijke uitzondering. Aanstaande maandag zal de wet in het parlement van Nevada worden behandeld.

Moderatie-faq Wijzig weergave

Reacties (28)

*zucht* En dit komt uit hetzelfde land waar iedere burger met een geladen vuurwapen mag rondlopen omdat: "If carrying a gun is a crime, only criminals will carry a gun". Ja hoor.

We hoorden al jaren van waarschuwingen dat de huidige generatie RFID's niet (afdoende) beveiligd is (zie b.v. de publicaties van prof. Tanenbaum ). Zowel door de authoriteiten laatdunkend terzijde geschoven als door de fabrikanten uitgebreid gebagatelliseerd.

Er komen glasharde bewijzen dat iedereen nu zomaar al je gegevens uit je RFID paspoort kan lezen van een afstandje van 20 meter (http://www.zdnet.nl/news.cfm?id=53356).

Er wordt aangetoond dat de OV-jaarkaart ook niet goed beveiligd is. Prompt volgt de klassieke reactie van de betreffende fabrikant: een rechtszaak om publicatie van de belastende informatie tegen te houden. Gelukkig is het bewijs zo sterk dat de Radboud Universiteit zich niet laat intimideren door juridisch gedreig en het onderzoek gewoon publiceert. (http://www.depers.nl/binn...-negeert-kort-geding.html).

Prof. Tanenbaum (UVA) maakt een apparaatje om onbevoegd uitlezen van RFID chips (zoals die in je paspoort en/of je OV-jaarkaart) onmogelijk te maken door de gegevenstransmissie van RFID lezers die niet op de access control list staan van b.v. je paspoort / ov kaart te storen. (zie b.v. http://www.rfidguardian.org/index.php/Main_Page ). Hulde over de gehele wereld.

Well ... dat was quite a story, nietwaar?

Maar het kan nog gekker bewijst de staat Nevada. Verbieden maar dat ongeauthoriseerd uitlezen! Kan niemand meer misbruik maken van alle lekken in die RFID chip. Wij waken opdat U kunt slapen. Grr. Grr. Grr.

Dom en kortzichtig? Een beloning aan de industrie voor het invoeren van een lekke standaard? Een aansporing om vooral niets te doen aan de beveiliging (die is nu immer "juridisch" geregeld)? Een verdere belasting van het politie-apparaat dat nu verplicht is om tieners die met rfid lezers bezig zijn op te sporen, op de bon te slingeren dan wel te arresteren?

Wat nou dom en kortzichtig? Ik vermoed dat iedereen met criminele bedoelingen dit initiatief handenwrijvend tegemoet ziet. Als ze het al niet gesponsord hadden.

Het staat garant voor een stroom veroordelingen van onbenullige gelegenheids-delinquenten (ongehoorzame tieners), en het geeft de indruk dat de betreffende gouverneur (wie is dat eigenlijk ?) daadkrachtig de misstanden bestrijdt. Het leidt ook af van de noodzaak om de beveiliging op orde te krijgen.

Intussen staan de echte criminelen tr trappelen om middels RFID tags van meters afstand herkenbare, kostbare, goederen snel en doeltreffend uit een voorbijschietende goederenstroom te halen. Goedkoop en anoniem te reizen met gecloonde paspoorten en toegangsbewijzen, en des avonds veel armslag te hebben in gebouwen met electronische beveiliging gebaseerd op RFID kaarten.

Soms vraag je je af wie een dergelijk wetsvoorstel nou eigenlijk dient.
Kleine correctie, prof. Tanenbaum is verbonden aan de Vrije Universiteit, niet de UVA, zie ook zijn website: http://www.few.vu.nl/~ast/

Het rfidguardian gerelateerde onderzoek is trouwens uitgevoerd door Melanie Rieback, onder supervisie van Tanenbaum. Haar website is hier te vinden: http://www.few.vu.nl/~melanie/

Het kraken van de protocollen en dergelijke is in nederland vooral gedaan door de groep in Nijmegen. Rfidguardian gaat vooral om het bieden van een platform waarmee onderzoek gedaan kan worden.
Het wetsvoorstel dient er, zo te zien, toe om ervoor te zorgen dat er een wettelijke basis is om mensen die zulk soort praktijken uitvoeren, aan te kunnen pakken. Het zorgt er inderdaad niet voor dat de lekken dichtgestopt worden, het geeft alleen de middelen om misbruik van die lekken aan te kunnen pakken.
Combineer dat met het apparaatje van Tanenbaum en Rieback (en eventuele soortgelijke apparaten), en de veiligheid is aan twee kanten geborgd: Het wordt moeilijker om misbruik te maken, en diegenen die dat alsnog doen, kunnen worden aangepakt.

Is dat zo slecht?
Het wetsvoorstel dient er, zo te zien, toe om ervoor te zorgen dat er een wettelijke basis is om mensen die zulk soort praktijken uitvoeren, aan te kunnen pakken. Het zorgt er inderdaad niet voor dat de lekken dichtgestopt worden, het geeft alleen de middelen om misbruik van die lekken aan te kunnen pakken.
Combineer dat met het apparaatje van Tanenbaum en Rieback (en eventuele soortgelijke apparaten), en de veiligheid is aan twee kanten geborgd: Het wordt moeilijker om misbruik te maken, en diegenen die dat alsnog doen, kunnen worden aangepakt.

Is dat zo slecht?
"Security through obscurity" (want je kan datgene niet onderzoeken) is inderdaad zeer, zeer slecht. Het wordt namelijk niet moeilijker om misbruik te maken. Het wordt alleen ontmoedigd, maar dit hoeft iemand niet tegen te houden.

Te snel rijden is ook strafbaar. Wordt het daarom niet meer gedaan? Als we de doodstraf op moord gaan invoeren, worden er dan geen moorden meer gepleegd? Als we preventief potentiŽle bronnen van kinderporno gaan censureren, wordt er dan ook geen kinderporno meer gemaakt?

Dit is typisch de Amerikaanse reactie "Move along, people. Nothing to see here!" waar sommige Europeanen zich ook schuldig aan maken. Een zeer kwalijke zaak, want je kan niet altijd je hoofd omdraaien. Vroeg of laat gaat het echt fout.

[Reactie gewijzigd door The Zep Man op 22 februari 2009 20:35]

Sorry hoor maar wat een onzin verhaal. Dit heeft helemaal niks maar dan ook niks met security through obscurity te maken. Het onderzoek is gewoon nog steeds mogelijk alleen niet op mensen die niet weten dat ze ondezocht worden. Dit lijkt mij niet meer dan logisch, je krijgt toch ook geen experimenteel medicijn toegedient zonder dat je daar toestemming voor hebt gegeven. Als ze gewoon toestemming vragen of zelf de chips kopen is er geen enkele belemmering.

Dat het nu strafbaar is om RFID gegevens te stelen staat compleet los van de vraag of RFID toepassingen niet veiliger moeten en kunnen worden. Het zorgt er alleen voor dat mensen die iets fout doen opgepakt kunnen worden.
Te snel rijden is ook strafbaar. Wordt het daarom niet meer gedaan?
Te snel rijden is inderdaad ook strafbaar en volgens jou zouden we dat dus niet meer strafbaar moeten maken en alle auto's met een onkraakbaar systeem limiteren op de op de plek waar die auto op dat moment is geldende snelheidslimiet.
Als we de doodstraf op moord gaan invoeren, worden er dan geen moorden meer gepleegd
Dus moet moord maar helemaal niet strafbaar zijn? Als je een wet maakt die iets verbiedt betekend dat niet dat je er dan van uit gaat dat het niet meer gebeurt, het heeft wel een afschrikende werking maar het zorgt er ook voor dat als er iets gebeurt je het kan stoppen en de daders kan vervolgen. Je wil toch niet dat als de identiteit van mensen gestolen is dat de politie vervolgens moet zeggen: oh ja dat mag gewoon hoor we kunnen niks voor u doen.

Wat de ondezoekers zeggen is dat ze niet meer zo goed 'public awareness' kunnen kweken niet dat ze hun ondezoek niet kunnen doen. Dat is hetzelfde als dat je bij mensen thuis gaat inbreken om ze te laten zien dat er ingebroken kan worden omdat hun sloten niet goed genoeg zijn (inbraak moet volgens jou zeker ook gelegaliseert worden, hadden de mensen maar betere sloten moeten nemen).

[Reactie gewijzigd door jmzeeman op 23 februari 2009 11:28]

Het voorstel is absoluut geen kwestie van "security through obscurity". Men wil alleen misbruik straffen. Er is geen sprake van dat men het onderzoek naar security wil tegenhouden.

Dat misbruik strafbaar wordt, is alleen maar toe te juichen, ongeacht wat voor veiligheidsmaatregelen er zijn. Dat mijn auto een autoalarm en start onderbreking heeft, wil niet zeggen dat er niet in de wet hoeft te staan dat het stelen van auto's strafbaar is.

Enne... Er wordt inderdaad wel degelijk minder te snel gereden, omdat het strafbaar is. Ik Nederland rijd ik keurig 120km/h. In Duitsland 170km/h Rara waarom.
Als je denkt dat men in Nederland i.h.a. te hard rijdt, dan nodig ik je uit om eens bij mij in Duitsland te komen kijken, om te zien wat daadwerkelijk hard rijden is.
Golodh schreef:
En dit komt uit hetzelfde land waar...
Zep Man schreef:
Dit is typisch de Amerikaanse reactie
In Europa volgt men uiteindelijk echt wel, hoor. Hier zijn de politici even onnozel en willen graag 'vooroplopen' met 't volgen van de USA.
In plaats van 't volgen van deze totaal mislukte vnl. USA-uitvinding kan Europa beter RFID volledig gaan verbieden (in elk geval totdat alle security-problemen volledig zijn opgelost).
In plaats van 't volgen van deze totaal mislukte vnl. USA-uitvinding kan Europa beter RFID volledig gaan verbieden (in elk geval totdat alle security-problemen volledig zijn opgelost).
Je vergeet dat RFID legio toepassingen heeft waarbij security geen issue is.
Nu weet ik dat de verschillende staten in het grote Amerika allemaal apart geregeerd worden, en aparte wetten hebben, maar kunnen ze niet gewoon van elkaar leren?
Als de 'regering' in Nevada gewoon even had gekeken naar de wet in CaliforniŽ had de uitzondering voor onderzoek er meteen in gezeten :/
Maar waarschijnlijk hebben ze alles weer vanaf nul zelf willen uitvinden en voelde zich te goed om een ander na te doen (je moet een ander ook niet altijd na doen....maar als je dan toch hetzelfde wil, en het werkt bij de ander....)
Dit is net zoiets als iedereen verplichten in een bepaald nieuw type auto te gaan rijden. Het betreft dan een auto zonder sloten. Met een druk op een knop is de auto te starten.
Zelfs zelf een fatsoenlijk slot erop zetten is niet mogelijk. Vervolgens wordt (want er blijken nu opeens wel erg veel auto's gestolen te worden) een extra wet speciaal ingevoerd om 't stelen van zulke auto's te verbieden. Jaaaa hoor!!!

Alleen in dit geval is 't dan nog erger, want met RFID-diefstal kunnen ze niet alleen je auto stelen, maar gewoon je hele identiteit (want 't wordt immers overal verplicht) en daarmee kan een crimineel 'bewijzen' dat allerlei zaken (incl. die glimmende bolide) van hem is.

Een uiterst sterk staaltje van struisvogelpolitiek.
Hij had juist dit wetsvoorstel moeten indienen: "Elke toepassing van RFID wordt algeheel verboden totdat de beveiliging ervan minstens 1000000000000000000000000000000000000000x beter is dan huidig (feb-2009)."
Zoals al menig keer bewezen (en vaak hier geroepen) is elke beveiliging kraakbaar. Een wet als deze zorgt dat als het gekraakt is en door iemand de gegevens ongewenst gebruikt worden die persoon strafbaar is. Het verbieden van RFID toepassingen totdat de beveiliging beter is is klinklare onzin. Er zijn toepassingen waarbij de inforamtie op de tags niet beveiligt hoeft te worden.
Ik vind de titel wel een erg hoog Telegraaf-gehalte hebben. Nevada wil onderzoek helemaal niet verbieden, maar het zonder toestemming uitlezen van RFID-informatie.
Zoals in het artikel staat geeft de bedenker van de wet zelf al aan dat het niet zijn bedoeling is om onderzoek strafbaar te stellen. Hij wil er zelfs een uitzondering voor opnemen.
Er is dus geen sprake van dat Nevada bewust onderzoek wil verbieden, zoals de titel suggereert.
Zoals het er nu staat is het verboden om uberhaubt onderzoek er naar te doen.
Wetten hebben wel vaker de vervelende neiging om ongewilde inplicaties te hebben. Zoals nu dus. En de term "bonafide" vind ik ook wat eng, dat lees ik namelijk als overheidsgecontroleerd. Wie bepaald wie bonafide is? Dan krijg je van die grappen als Balkenende die zelf een team aanwijst om de regering die hij zelf leid te controleren.
Zoals het er nu staat is het verboden om uberhaubt onderzoek er naar te doen.
Hoezo? in een lab met eigen (gekochte) RFID chips mag je nog gewoon onderzoek doen. De chips moeten alleen jouw eigendom zijn. In het veld onderzoeken of je chips van anderen kan uitlezen mag niet.
Klopt, de inhoud van de wet heeft inderdaad tot gevolg dat het verboden wordt om er onderzoek naar te doen. Maar het ging mij om de titel van dit artikel. 'Staat Nevada wil ...'. Het woordje 'wil' betekent dat het de intentie is om onderzoek te verbieden, terwijl ui het artikel en de bron blijkt dat het een onbedoeld neveneffect is. En dat is sensatiejournalistiek, iets waar de Telegraaf bekend om staat, maar wat mij beneden de stand van Tweakers.net lijkt.
Waarom zouden die onderzoeken en demonstraties ineens niet meer wettelijk toegestaan zijn?

Ik neem aan dat bij dergelijke onderzoek er weldelijk toestemming is verleend door de eigenaar van de chip, OF dat ze daarbij eigen chips gebruiken die ze proberen uit te lezen.
Dat lijkt mij een volledig onterechte aanname, kijk bijvoorbeeld naar de hele discussie die is ontstaan doordat bleek dat de chips in de OV-chipkaart onveilig zijn; die 'onderzoeken' zijn echt niet gedaan met toestemming van de fabrikanten.

Met wetgeving als deze krijg je alleen de welbekende security through obscurity; geen enkele fabrikant zal publiekelijk toestemming geven om hun chips te laten onderzoeken als ze ook het hele risico op negatieve publiciteit kunnen vermijden door het niet toe te staan.
Ik geloof dat de wet aanduidt dat het gaat om het willens en wetens bezitten, uitlezen of onderscheppen van de persoonlijke identificatiegegevens van iemand anders via RFID, zonder dat deze persoon daar weet van heeft en/of toestemming voor heeft gegeven.

Wat de fabrikant wil, heeft er niets mee te maken (en zou er naar mijn mening ook niets mee te maken moeten hebben!)
Zoals ik het lees, gaat het niet om toestemming van de fabrikant, maar toestemming van de eigenaar van het produkt waarin de tag zit...

Maar misschien dat de letterlijke tekst van het voorstel anders interpreteerbaar is....
Dat klopt. Het gaat om de gegevens van de eigenaar die in de tag zitten en dan met name persoonsgegevens. Natuurlijk mag de fabrikant zijn eigen rfids testen zolang deze zich nog in de fabriek bevinden.
Totdat in de algemene voorwaarden staat dat de kaart eigendom blijft van <bedrijf dat hem uitgegeven heeft>. Dan is dat bedrijf ineens eigenaar en kan je dit soort onderzoek inderdaad wel vergeten. Dit soort constructies zijn heel gebruikelijk in de praktijk.
Ook dit ligt er weer precies aan hoe de algemene voorwaarden zijn gedefinieerd, maar meer nog hoe de wet is geformuleerd.

Als de kaart namelijk eigendom blijft van het bedrijf dat de kaart uitgeeft, maar mijn persoonlijke gegevens staan op de kaart, dan is het bedrijf ineens strafbaar. Natuurlijk zal het bedrijf aangeven in de gebruiksvoorwaarden dat ik daar toestemming voor geef, maar zeker in de verenigde staten is die clausule lang niet altijd geldig. Ook daar geld dat als er geen andere optie is dan tekenen voor de gebruikersvoorwaarde, dan moeten deze aan bepaalde minimale voorwaarden voldoen.
Het vrijgeven van privacy gevoelige gegevens, mag dan alleen onder zeer strikte voorwaarden.
Een goed voorbeeld hoe privacy van de burger zich tegen zijn eigen belangen kan keren. Wat je ook best vaak leest is dat 'privacy' wordt misbruikt om dingen 'onder de pet' te kunnen houden terwijl de persoon in kwestie daar helemaal niet om vraagt. 'Vanwege de privacy kunnen wij niet op deze individuele situatie ingaan', is zo'n gevleugelde uitspraak.
Off-topic:
Heeft volgens mij helemaal geen bal met RFID te maken en is dus niet meer als een beetje trollen. Als je kritiek hebt op de VS doe dat dan in ieder geval naar aanleiding van het artikel.

On-topic:
Persoonlijk vind ik het beetje onzinnig om te verbieden om RFID uit te lezen. De karakteristiek van RFID is juist dat het makkelijk uitgelezen kan worden. Wil je dit niet dan moet je volgens mij even voor een ander chip/protocol/standaard kiezen.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True