Vrije Universiteit Amsterdam

Persbericht

Digitaal ongedierte blijkt reële bedreiging voor RFID tags

Is uw huisdier besmet met een computervirus?

Is uw hond of kat besmet met een computervirus? Dat zou zo maar kunnen. Bij veel huisdieren en vee is namelijk een kleine chip geïnjecteerd die de dieren kan identificeren als ze zoekraken of besmet blijken te zijn met een ziekte. Omdat de geheugenruimte op deze chips beperkt is, nam iedereen tot nu toe aan dat deze niet geïnfecteerd konden worden met een computervirus. Onderzoekers aan de Vrije Universiteit hebben echter ontdekt dat dit wel degelijk mogelijk is. Gelukkig bedachten zij ook enkele adequate tegenmaatregelen.

De chips waar het hier om gaat, heten Radio Frequency Identification Tags, ofwel RFID tags. Het zijn kleine, relatief goedkope microchips die je bijvoorbeeld aan producten in een supermarkt kunt bevestigen. Maar je kunt ze ook injecteren in huisdieren of vee. En je komt ze tegen op de OV-chipkaart, je skipas of op bagagelabels op vliegvelden.

Dankzij die tags kunnen wij binnenkort boodschappen doen zonder in de rij te staan voor de kassa. Een RFID-scanner bij de uitgang zendt een radiogolf uit, die opgevangen wordt door de RFID tags in je boodschappenmandje. De tags identificeren zich, de scanner registreert welke producten je hebt gekocht en het totaalbedrag kan worden afgeschreven van je bankrekening. Walmart, de grootste winkelketen ter wereld, verwacht binnen een paar jaar helemaal te zijn overgestapt op producten met RFID-chips.

Maar deze tags blijken toch kwetsbaarder te zijn dan verwacht. Promovenda Melanie Rieback en haar begeleider prof.dr. Andrew Tanenbaum hebben namelijk ontdekt hoe je een computervirus op een RFID tag kan plaatsen. Iets dat vanwege de beperkte geheugenruimte voorheen voor onmogelijk werd gehouden. Melanie Rieback zal op woensdag 15 maart op de jaarlijkse IEEE Conference on Pervasive Computing and Communications in Pisa hier een demonstratie van geven.

Digitale plaag
Het mogen dan kleine chips zijn, toch kan één geïnfecteerde RFID-tag al een heel systeem ontregelen, met alle catastrofale gevolgen van dien. Stelt u zich bijvoorbeeld het vliegveld van Las Vegas voor, dat maandelijks twee miljoen stuks bagage verwerkt. Vanaf mei 2006 willen ze daar RFID tags bevestigen aan koffers om de bagageafhandeling te versnellen. Als iemand met kwade bedoelingen een geïnfecteerde RFID tag aan zijn koffer bevestigt, kan hij de boel aardig in de war schoppen. Zodra zijn koffer wordt gescand kan de besmette tag de hele bagagedatabase van het vliegveld aantasten en raakt alle daarna ingecheckte bagage eveneens besmet. Bij aankomst op andere vliegvelden scant men deze koffers opnieuw, waardoor binnen 24 uur honderden vliegvelden, overal ter wereld, kunnen worden besmet. Ideaal voor smokkelaars en terroristen die hun verdachte bagage ongezien de wereld over willen sturen.

Tegenmaatregelen
Gelukkig kan de virusdreiging met gangbare maatregelen worden tegengegaan. Rieback benadrukt dan ook dat ontwikkelaars hun RFID- systemen moeten controleren en veiligheidsprocedures en veilige programmeertechnieken moeten toepassen. Deze tegenmaatregelen kunnen de dreiging van RFID-virussen beperken, maar er zal tijd, geld en menskracht moeten worden geïnvesteerd om deze in te voeren. Daarom is het noodzakelijk dat ontwikkelaars en gebruikers van RFID- systemen de veiligheid van hun systemen nu controleren, voor deze op grote schaal worden gebruikt.