Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Staat Nevada wil onderzoek naar rfid verbieden'

In de Amerikaanse staat Nevada is een wetsvoorstel ingediend dat het verbiedt om zonder toestemming andermans rfid-informatie uit te lezen. Er bestaat de vrees dat onderzoek naar de beveiliging ervan hierdoor strafbaar wordt.

Volgens het wetsvoorstel zal het een misdrijf worden om via rfid andermans persoonsgegevens uit te lezen of te bezitten. Overtreders kunnen worden bestraft met een boete van 10.000 dollar en vijf jaar gevangenisstraf. Onderzoekers en burgerrechtenorganisaties zijn tegen dit wetsvoorstel, omdat het in zijn huidige vorm praktijkonderzoek naar de zwakheden van rfid-toepassingen strafbaar stelt. Zij wijzen hierbij naar de vele lekken in de beveiliging die door hackers aan het licht zijn gebracht. In Nevada worden ieder jaar de hackersbijeenkomsten Defcon en Black Hat gehouden, en demonstraties van lekken in rfid-toepassingen zouden daar onder de nieuwe wet waarschijnlijk verboden zijn.

Rfid-tagsDe indiener van het wetsvoorstel, senator David Parks, had zijn wet vooral bedoeld om de privacy van de burgers te beschermen. Na de kritiek heeft hij toegezegd om een amendement aan de wet toe te voegen dat een uitzondering maakt voor bona fide onderzoek naar lekken in de beveiliging, zo meldt The Register. De rfid-wet die vorig jaar in Californië werd aangenomen, kent ook een dergelijke uitzondering. Aanstaande maandag zal de wet in het parlement van Nevada worden behandeld.

Door Arie Jan Stapel

Nieuwsposter / PowerMod

22-02-2009 • 12:42

28 Linkedin Google+

Reacties (28)

Wijzig sortering
*zucht* En dit komt uit hetzelfde land waar iedere burger met een geladen vuurwapen mag rondlopen omdat: "If carrying a gun is a crime, only criminals will carry a gun". Ja hoor.

We hoorden al jaren van waarschuwingen dat de huidige generatie RFID's niet (afdoende) beveiligd is (zie b.v. de publicaties van prof. Tanenbaum ). Zowel door de authoriteiten laatdunkend terzijde geschoven als door de fabrikanten uitgebreid gebagatelliseerd.

Er komen glasharde bewijzen dat iedereen nu zomaar al je gegevens uit je RFID paspoort kan lezen van een afstandje van 20 meter (http://www.zdnet.nl/news.cfm?id=53356).

Er wordt aangetoond dat de OV-jaarkaart ook niet goed beveiligd is. Prompt volgt de klassieke reactie van de betreffende fabrikant: een rechtszaak om publicatie van de belastende informatie tegen te houden. Gelukkig is het bewijs zo sterk dat de Radboud Universiteit zich niet laat intimideren door juridisch gedreig en het onderzoek gewoon publiceert. (http://www.depers.nl/binn...-negeert-kort-geding.html).

Prof. Tanenbaum (UVA) maakt een apparaatje om onbevoegd uitlezen van RFID chips (zoals die in je paspoort en/of je OV-jaarkaart) onmogelijk te maken door de gegevenstransmissie van RFID lezers die niet op de access control list staan van b.v. je paspoort / ov kaart te storen. (zie b.v. http://www.rfidguardian.org/index.php/Main_Page ). Hulde over de gehele wereld.

Well ... dat was quite a story, nietwaar?

Maar het kan nog gekker bewijst de staat Nevada. Verbieden maar dat ongeauthoriseerd uitlezen! Kan niemand meer misbruik maken van alle lekken in die RFID chip. Wij waken opdat U kunt slapen. Grr. Grr. Grr.

Dom en kortzichtig? Een beloning aan de industrie voor het invoeren van een lekke standaard? Een aansporing om vooral niets te doen aan de beveiliging (die is nu immer "juridisch" geregeld)? Een verdere belasting van het politie-apparaat dat nu verplicht is om tieners die met rfid lezers bezig zijn op te sporen, op de bon te slingeren dan wel te arresteren?

Wat nou dom en kortzichtig? Ik vermoed dat iedereen met criminele bedoelingen dit initiatief handenwrijvend tegemoet ziet. Als ze het al niet gesponsord hadden.

Het staat garant voor een stroom veroordelingen van onbenullige gelegenheids-delinquenten (ongehoorzame tieners), en het geeft de indruk dat de betreffende gouverneur (wie is dat eigenlijk ?) daadkrachtig de misstanden bestrijdt. Het leidt ook af van de noodzaak om de beveiliging op orde te krijgen.

Intussen staan de echte criminelen tr trappelen om middels RFID tags van meters afstand herkenbare, kostbare, goederen snel en doeltreffend uit een voorbijschietende goederenstroom te halen. Goedkoop en anoniem te reizen met gecloonde paspoorten en toegangsbewijzen, en des avonds veel armslag te hebben in gebouwen met electronische beveiliging gebaseerd op RFID kaarten.

Soms vraag je je af wie een dergelijk wetsvoorstel nou eigenlijk dient.
Kleine correctie, prof. Tanenbaum is verbonden aan de Vrije Universiteit, niet de UVA, zie ook zijn website: http://www.few.vu.nl/~ast/

Het rfidguardian gerelateerde onderzoek is trouwens uitgevoerd door Melanie Rieback, onder supervisie van Tanenbaum. Haar website is hier te vinden: http://www.few.vu.nl/~melanie/

Het kraken van de protocollen en dergelijke is in nederland vooral gedaan door de groep in Nijmegen. Rfidguardian gaat vooral om het bieden van een platform waarmee onderzoek gedaan kan worden.
Het wetsvoorstel dient er, zo te zien, toe om ervoor te zorgen dat er een wettelijke basis is om mensen die zulk soort praktijken uitvoeren, aan te kunnen pakken. Het zorgt er inderdaad niet voor dat de lekken dichtgestopt worden, het geeft alleen de middelen om misbruik van die lekken aan te kunnen pakken.
Combineer dat met het apparaatje van Tanenbaum en Rieback (en eventuele soortgelijke apparaten), en de veiligheid is aan twee kanten geborgd: Het wordt moeilijker om misbruik te maken, en diegenen die dat alsnog doen, kunnen worden aangepakt.

Is dat zo slecht?
Het wetsvoorstel dient er, zo te zien, toe om ervoor te zorgen dat er een wettelijke basis is om mensen die zulk soort praktijken uitvoeren, aan te kunnen pakken. Het zorgt er inderdaad niet voor dat de lekken dichtgestopt worden, het geeft alleen de middelen om misbruik van die lekken aan te kunnen pakken.
Combineer dat met het apparaatje van Tanenbaum en Rieback (en eventuele soortgelijke apparaten), en de veiligheid is aan twee kanten geborgd: Het wordt moeilijker om misbruik te maken, en diegenen die dat alsnog doen, kunnen worden aangepakt.

Is dat zo slecht?
"Security through obscurity" (want je kan datgene niet onderzoeken) is inderdaad zeer, zeer slecht. Het wordt namelijk niet moeilijker om misbruik te maken. Het wordt alleen ontmoedigd, maar dit hoeft iemand niet tegen te houden.

Te snel rijden is ook strafbaar. Wordt het daarom niet meer gedaan? Als we de doodstraf op moord gaan invoeren, worden er dan geen moorden meer gepleegd? Als we preventief potentiŽle bronnen van kinderporno gaan censureren, wordt er dan ook geen kinderporno meer gemaakt?

Dit is typisch de Amerikaanse reactie "Move along, people. Nothing to see here!" waar sommige Europeanen zich ook schuldig aan maken. Een zeer kwalijke zaak, want je kan niet altijd je hoofd omdraaien. Vroeg of laat gaat het echt fout.

[Reactie gewijzigd door The Zep Man op 22 februari 2009 20:35]

Sorry hoor maar wat een onzin verhaal. Dit heeft helemaal niks maar dan ook niks met security through obscurity te maken. Het onderzoek is gewoon nog steeds mogelijk alleen niet op mensen die niet weten dat ze ondezocht worden. Dit lijkt mij niet meer dan logisch, je krijgt toch ook geen experimenteel medicijn toegedient zonder dat je daar toestemming voor hebt gegeven. Als ze gewoon toestemming vragen of zelf de chips kopen is er geen enkele belemmering.

Dat het nu strafbaar is om RFID gegevens te stelen staat compleet los van de vraag of RFID toepassingen niet veiliger moeten en kunnen worden. Het zorgt er alleen voor dat mensen die iets fout doen opgepakt kunnen worden.
Te snel rijden is ook strafbaar. Wordt het daarom niet meer gedaan?
Te snel rijden is inderdaad ook strafbaar en volgens jou zouden we dat dus niet meer strafbaar moeten maken en alle auto's met een onkraakbaar systeem limiteren op de op de plek waar die auto op dat moment is geldende snelheidslimiet.
Als we de doodstraf op moord gaan invoeren, worden er dan geen moorden meer gepleegd
Dus moet moord maar helemaal niet strafbaar zijn? Als je een wet maakt die iets verbiedt betekend dat niet dat je er dan van uit gaat dat het niet meer gebeurt, het heeft wel een afschrikende werking maar het zorgt er ook voor dat als er iets gebeurt je het kan stoppen en de daders kan vervolgen. Je wil toch niet dat als de identiteit van mensen gestolen is dat de politie vervolgens moet zeggen: oh ja dat mag gewoon hoor we kunnen niks voor u doen.

Wat de ondezoekers zeggen is dat ze niet meer zo goed 'public awareness' kunnen kweken niet dat ze hun ondezoek niet kunnen doen. Dat is hetzelfde als dat je bij mensen thuis gaat inbreken om ze te laten zien dat er ingebroken kan worden omdat hun sloten niet goed genoeg zijn (inbraak moet volgens jou zeker ook gelegaliseert worden, hadden de mensen maar betere sloten moeten nemen).

[Reactie gewijzigd door jmzeeman op 23 februari 2009 11:28]

Het voorstel is absoluut geen kwestie van "security through obscurity". Men wil alleen misbruik straffen. Er is geen sprake van dat men het onderzoek naar security wil tegenhouden.

Dat misbruik strafbaar wordt, is alleen maar toe te juichen, ongeacht wat voor veiligheidsmaatregelen er zijn. Dat mijn auto een autoalarm en start onderbreking heeft, wil niet zeggen dat er niet in de wet hoeft te staan dat het stelen van auto's strafbaar is.

Enne... Er wordt inderdaad wel degelijk minder te snel gereden, omdat het strafbaar is. Ik Nederland rijd ik keurig 120km/h. In Duitsland 170km/h Rara waarom.
Als je denkt dat men in Nederland i.h.a. te hard rijdt, dan nodig ik je uit om eens bij mij in Duitsland te komen kijken, om te zien wat daadwerkelijk hard rijden is.
Nu weet ik dat de verschillende staten in het grote Amerika allemaal apart geregeerd worden, en aparte wetten hebben, maar kunnen ze niet gewoon van elkaar leren?
Als de 'regering' in Nevada gewoon even had gekeken naar de wet in CaliforniŽ had de uitzondering voor onderzoek er meteen in gezeten :/
Maar waarschijnlijk hebben ze alles weer vanaf nul zelf willen uitvinden en voelde zich te goed om een ander na te doen (je moet een ander ook niet altijd na doen....maar als je dan toch hetzelfde wil, en het werkt bij de ander....)
Zoals al menig keer bewezen (en vaak hier geroepen) is elke beveiliging kraakbaar. Een wet als deze zorgt dat als het gekraakt is en door iemand de gegevens ongewenst gebruikt worden die persoon strafbaar is. Het verbieden van RFID toepassingen totdat de beveiliging beter is is klinklare onzin. Er zijn toepassingen waarbij de inforamtie op de tags niet beveiligt hoeft te worden.
Zoals het er nu staat is het verboden om uberhaubt onderzoek er naar te doen.
Hoezo? in een lab met eigen (gekochte) RFID chips mag je nog gewoon onderzoek doen. De chips moeten alleen jouw eigendom zijn. In het veld onderzoeken of je chips van anderen kan uitlezen mag niet.
Waarom zouden die onderzoeken en demonstraties ineens niet meer wettelijk toegestaan zijn?

Ik neem aan dat bij dergelijke onderzoek er weldelijk toestemming is verleend door de eigenaar van de chip, OF dat ze daarbij eigen chips gebruiken die ze proberen uit te lezen.
Dat lijkt mij een volledig onterechte aanname, kijk bijvoorbeeld naar de hele discussie die is ontstaan doordat bleek dat de chips in de OV-chipkaart onveilig zijn; die 'onderzoeken' zijn echt niet gedaan met toestemming van de fabrikanten.

Met wetgeving als deze krijg je alleen de welbekende security through obscurity; geen enkele fabrikant zal publiekelijk toestemming geven om hun chips te laten onderzoeken als ze ook het hele risico op negatieve publiciteit kunnen vermijden door het niet toe te staan.

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S9 Dual Sim Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True