RFID Angriffsmethoden

Am leichtesten für den Angreifer zugänglich ist in der Regel der Transponder des jeweiligen RFID-Systems. Der Transponder steht in den meisten Fällen jederzeit und zeitlich unbegrenzt dem Angreifer zu Verfügung, weshalb ihm gegenüber ein besonderes Gefahrenpotential ausgeht und es eine Vielzahl an möglichen Angriffsmethoden gibt.

Dauerhaftes Zerstören des Transponders

Die vermutlich einfachste Methode für eine Attacke auf ein RFID-System besteht darin, den Transponder durch mechanische oder chemische Einwirkung zu zerstören. In den meisten Fällen lässt sich die Antenne mit relativ einfachen Mitteln durchtrennen oder abschneiden, sodass der Transponder “unbrauchbar” wird. Auch der Chip des Transponders kann durch mechanische Einwirkung (Schlag mit einem Hammer oder durch Knicken des Chips) zerstört werden.

Eine weitere Methode einen RFID Transponder dauerhaft zu zerstören, liegt darin, den Chip mit Hilfe eines sogenannten RFID-Zappers zu deaktivieren. Hier wird durch eine Spule kurzzeitig ein starkes elektromagnetisches Feld erzeugt, ähnlich wie bei einem EMP (Elektromagnetischer Impuls). Dieses Feld induziert wiederum eine Spannung in der Spule des RFID-Tags, die so hoch sein soll, dass ein Bauelement der Schaltung im RFID-Chip durchbrennt.

Das folgende Video zeigt, wie einfach sich so ein RFID-Zapper mit Hilfe einer Einwegkamera herstellen lässt:

Abschirmen des Transponders

Eine sehr effektive Vorgehensweise ist das Abschirmen des Transponders gegenüber der magnetischen oder elektromagnetischen Strahlung des Lesegeräts durch Metallflächen. Die einfachste Variante wäre den Transponder in eine metallische Folie einzuwickeln, wie zum Beispiel Alu-Haushaltsfolie. Bei Transpondern welche induktiv gekoppelt sind, wird der Antennenschwingkreis des Transponders durch eine Metalloberfläche, welche sich in unmittelbarer Nähe befindet, stark verstimmt. Hinzu kommt, dass durch Wirbelstromverluste in der Metallfolie das magnetische Feld des Lesegerätes gedämpft wird. Daher kann es schon ausreichen einen Transponder auf einer Seite einer Metallfläche zu befestigen. Durch eine Metallfläche werden die elektromagnetischen Felder eines UHF-Backscatter-Systems (Bsp auf 868 MHz) reflektiert und so wirkungsvoll vom Transponder abgehalten. Ein passiver Transponder wird im besten Falle überhaupt nicht mit ausreichend Energie zum Betrieb des Chips versorgt. Diese Vorgehensweise taugt vor allem dafür, um einen Transponder nur zeitweise außer Betrieb zu nehmen. Wenn die Abschirmung entfernt wird, ist der Transponder wieder uneingeschränkt einsetzbar.

Emulieren und Klonen des Transponders

Um Informationen in einem Transponder zu speichern gibt es unterschiedlich komplexe Methoden. Die einfachste Variante wäre mit einem Read-only-Transponder, welcher lediglich über eine fest programmierte Kennung, nämlich die Seriennummer, verfügt. Wenn ein Read-only-Transponder in ein ausreichend starkes Feld eines Lesegerätes gelangt, beginnt der Transponder automatisch mit der periodischen Aussendung seiner Seriennummer, so dass die Möglichkeit besteht sie Problemlos mit einem geeigneten Lesegerät zu lesen. Das heißt, dass der Angreifer keinen pysischen Zugriff auf den Transponder benötigt, sondern sich mit einem Lesegerät unbemerkt auf Lesereichweite an den zu klonenden Transponder annähern muss. Nun könnte ein Angreifer mit dem nötigen Know-How und diskreten Bauelementen selbst einen Read-only-Transponder (Transponderklon) aufbauen und das PROM, welches die Seriennummer des Transponders enthält, durch einen mehrfach programmierbaren Speicher (EEPROM) oder, wenn der Anhgreifer es sich einfacher machen möchte, durch eine Reihe von DIP-Schaltern ersetzen. Wenn der Angreifer anschließend die Seriennummer eines beliebigen Transponder ausließt, kann er diese Seriennummer nun in seinem Transponderklon einprogrammieren. Der Transponderklon wird dann, wenn er in das Feld eines Lesegerätes gehalten, sendet er die zuvor aus dem echten Transponder ausgelesene Seriennummer aus und kann somit die Anwesenheit des originalen Transponders dem Lesegerät vortäuschen. Das Lesegerät kann nicht zwischen originalem Transponder und Transponderklon unterscheiden.

Wichtig daher ist der Einsatz von Authentifizierung und verschlüsselter Datenübertragung um das Klonen von Transpondern wirkungsvoll zu verhindern. Bei Zutrittsystemen oder Ticketsystemen sollte man grundsätzlich auf die Anwendung der Read-only-Transponder oder den unverschlüsseltem Zugriff auf Datenbereiche verzichten.

Abhören der Kommunikation

Eine der spezifischsten Bedrohungen der RFID-Technologie ist das Abhören zwischen einem Lesegerät und einem Transponder. Da RFID-Systeme mittels elektromagnetischen Wellen miteinander Kommunizieren, ist das Abhören der Systeme mit einfachen Mitteln möglich. Für die aktive Kommunikation gelten angegebene Reichweiten von RFID-Systemen von wenigen Zentimetern bis hin zu mehreren Metern. Da der Transponder noch mit Energie versorgt werden muss, ist es von Nöten, dass eine Spannung von mehreren Volt an der Antenne erzeugt wird. Um brauchbare Signale zu erhalten benötigt es bei Funkempfängern eine um Zehnerpotenzen kleinere Ausgangsspannung der Antenne, weswegen man daraus schließen könnte, dass das passive Abhören einer Kommunikation auf eine weit größere Entfernung möglich ist.

Störsender

Mit einem Störsender ist es sehr einfach und zudem sehr wirkungsvoll die Datenübertragung zwischen einem Transponder und einem Lesegerät zu unterbrechen, welches durch ein simples Störsignal erreicht werden kann. Zu beachten ist, dass bei einem starken Trägersignal eines Lesegerätes, das überdeckt werden soll, um damit die Datenübertragung vom Lesegerät zu einem Transponder zu stören, Abstand, Sendeleistung und Antennengewinn bzw. Antennendurchmesser mindestens dem eingesetzten Lesegrät entsprechen müssen. Hingegen das schwache Antwortsignal des Transponders, womit die Datenübertragung vom Transponder zum Lesergerät gemeint ist, mit deutlich geringerem Aufwand zu stören ist. Man kann, wenn der Störsender auf den Frequenzen der Modulationsseitenbänder des Transponders liegt und die Entfernung zum Lesegerät gleich der Entferung zum Transponders ist, bereits mit einer Sendeleistung von wenigen mW erheblichen Schaden anrichten Die Verhältnisse bei induktiv gekoppelten Systemen sind ähnlich, wobei man hier berücksichtigen muss, dass ein Störsender entweder entsprechend nahe am Lesegerät positioniert werden muss, oder man mit passend großen Antennen sowie Sendeleistungen arbeiten muss.

Zum Schluss sollte hinzugefügt werden, dass ein Störsender auch eine Funkanlage darstellt und das Benutzen eines Störsenders in den meisten Ländern illegal sein dürfte.

Lesen mit erhöhter Reichweite

Die Vergrößerung der Lesereichweite eines Lesegerätes ist eine für den Angreifer interessante Möglichkeit einen Transponder aus sicherer Entferung unentdeckt auszulesen. Jedoch werden die technischen Möglichkeiten sowie die physikalischen Grenzen der Lesereichweite von RFID-Systemen häufig weit überschätzt. Dadurch dass zwischen induktiver Kopplung und Backsccatter-Verfahren Unterschiede herrschen werden diese im Folgenden getrennt behandelt.

Denial-of-Service Attacken durch Blocker-Tags

Moderne RFID-Lesegeräte können ohne Probleme auch mit einer größeren Anzahl von Transpondern, welche sich in Lesereichweite befinden, kommunizieren. Dazu wird ein Antikollisionsalgorithmus eingesetzt, mit dem die einzelnen Transponder selektiert werden können, um daraufhin mit dem Transponder eine Kommunikation herzustellen. Es kann für einige Anwenudungen auch ausreichen, nur die Seriennummern der in Lesereichweite befindlichen Transpondern zu ermitteln, da die dazugehörigen Dateien in einer Datenbank geführt werden. In der Praxis haben sich hauptsächlich zwei Antikollisionsalgorithmen durchgesetzt, der binäre Suchbaum (Binary-Search-Tree-Algorithmus) sowie das Slotted-ALOHA-Verfahren.

Relay-Attacken

Diese Vorgehensweise ist eine besondere Art des Angriffes, dader Angreifer die Reichweite zwischen Lesegerät und Transponder durch eine zwischengeschaltete Übertragungsreichweite (Relais) fast beliebig erweitern kann. Dabei geht der Angreifer so vor, dass er sich dem Transponder kurzfristig nähert, heißt dass er keinen physischen Kontakt zu dem Gerät benötigt, sondern sich nur in Lesereichweite befinden muss, und täuscht daraufhin mit dem Relais dem Lesegerät vor, dass sich der Transponder selbst im Ansprechbereich des Lesegerätes befände. Der Inhaber des Transponders bekommt im Normalfall den Angriff nicht mit, oder erst zu einem späteren Zeitpunkt, wenn unter Verwendung des angegriffenen Transponders kostenpflichtige Aktionen ausgelöst wurden (z.B. Einkäufe oder Bahnfahrten).