Organisationen American Civil Liberties Union (ACLU) kritiserar i ett uttalande en skola i Kalifornien som försökt sätta RFID-taggar på alla elever i en skola. ACLU uppmanar föräldrar att vägra sätta på sina barn RFID-taggar som skolor delar ut.

Enligt en artikel i San José Mercury News är det en skola i Contra Costa County som vid terminstarten delat ut tröjor till alla elever. Tröjorna visade sig dock innehålla RFID-taggar. Det som skrämmer mig mest med denna nyhet är hur taggarna ses som en ren effektivitetslösning. Mercury News skriver:

RICHMOND, Calif.—California officials are outfitting preschoolers in Contra Costa County with tracking devices they say will save staff time and money.

The system was introduced Tuesday. When at the school, students will wear a jersey that has a small radio frequency tag. The tag will send signals to sensors that help track children’s whereabouts, attendance and even whether they’ve eaten or not.

School officials say it will free up teachers and administrators who previously had to note on paper files when a child was absent or had eaten.

Sung Kim of the county’s employment and human services department said the system could save thousands of hours of staff time and pay for itself within a year.

It cost $50,000 and was paid by a federal grant.

Mao, det viktiga är att spara pengar, och det verkar inte finnas några tankar om problem med tekniken. Undrar varför dom inte inför det på alla ställen i kommunen, exempelvis för skolpersonal och kommunens HR-avdelning…

Och när det väl uppdagas problem så blundar man istället. The Local rapporterar om en undersökning av de nya RFID-utrustade ID-korten i Tyskland.

Ett av de nya ID-korten i Tyskland som innehåller ett RFID-chip.

Dom nya ID-korten innehåller ett RFID-chip som bland annat lagrar fingeravtryck från två fingrar. Ett TV-program anlitade kända hacker-gruppen Chaos Communcation Club (CCC) för att testa säkerheten hos kortet. CCC lyckades extrahera information från korten. Men när de ansvariga ställdes inför faktum förnekade man att det ändå var möjligt:

In an interview with the show, Interior Minister Thomas de Maizière said he saw no immediate reason to act on the alleged security issue.

Meanwhile on Tuesday the Federal Office for Information Security (BSI) rejected the Plusminus’ criticism of the new ID card. The agency’s personal identification expert Jens Bender said the card was secure

Rätt skrämmande, inte minst för att det nya systemet är tänkt att användas för kommunikation med myndigheter, dvs det kommer att krävas ett RFID-utrustat kort för att komma åt tjänster som du som medborgare har behov av. Det blir därmed svårt att avstå från systemet. Det skall gå att istället använda en sexsiffrig PIN-kod, men frågan är hur länge det accepteras.

No related posts.

Related posts brought to you by Yet Another Related Posts Plugin.

Elektroniktidningen rapporterar att SAS planerar att sätta aktiva RFID-taggar på passagerare på Kastrups flygplats.

Problemet som SAS vill lösa är att ca fyra procent av alla försenade avgångar beror på att passagerarna inte tar sig till utgången till planet i tid. Enligt artikeln vill SAS lösa detta genom att:

Passagerarna vid incheckningen får en RFID- och Bluetoothförsedd plastbricka, som återlämnas vid ombordstigningen.

RFID-tekniken visar i realtid var passageraren befinner sig med en noggrannhet på omkring 100 meter. Systemet delar in passagerarna i tre grupper, grön för de som är nära gaten, gul för dem som kan hinna till gaten om de skyndar sig, och röd för de som inte har någon chans att komma i tid.

När det är dags för ombordstigning skickas ett SMS via Bluetooth till de “gula” passagerarens mobiltelefon. De “röda” passagerarna kan om nödvändigt bokas om, och deras bagage tas bort från flyget.

Enligt artikeln kallas systemet Gatecaller och är utvecklat av danska Lyngsø Systems i samarbete med Köpenhamns IT-universitet och Risø National Laboratory: Bluetooth-utrustning är levererad av Blip Systems. Danska staten har finansierat utvecklingen med 16 miljoner kronor.

Söker man på nätet efter Gatecaller träffar man istället på ett system kallat SPOPOS, som dock verkar vara samma system som Gatecaller.

På SPOPOS finns en hel del mer information om systemet. Följande är direkt från webbplatsen:

In Copenhagen Airport, Kastrup, which is the test area for the SPOPOS project, we have set up 19 fixed zones/reading points and one mobile zone/reader that can be moved around as required.

Each zone contains an antenna for tracking RFID tags, and an antenna for tracking Bluetooth receivers in mobile phones. Each of the zones covers an area of up to 2000 square metres, corresponding to a radius of 25 metres, depending on the layout of the room and its location. These zones cover approximately 25 per cent of the total area in the transit hall of the airport.
The main elements of the SPOPOS system

The SPOPOS system comprises 6 main elements:

• An RFID tracking system based on tags mounted on mobile equipment.

• An RFID tracking system based on tags worn as “badges”.

• A Bluetooth tracking system that can register mobile phones with accessible Bluetooth connections.

• A Bluetooth-based communication system for mobile units which provides subscribers who are connected with a number of time and location-based services.

• An analysis system for filtering and displaying the tracking data that are collected by means of the systems listed above.

• A web questionnaire that can integrate individual tracking data in real time.
  

Det finns även en sida som lite mer i detalj beskriver tekniken bakom med bild och text om basstationerna och brickorna.

Om man jämför med storleken på Ethernetporten och antennerna borde brickan vara närmare 5×10 cm.

SPOPOS-gruppen har även genomfört en undersökning om passagerarnas inställning till systemet. Tanken jag får när jag läser resultatet är att som man ropar får man svar…

Slutligen finns det en sida som försöker besvara en del frågor om säkerheten, speciellt vad gäller integriteten. Bland annat får man reda på att:

Does SPOPOS save my information?

YES and NO. When you have used the SPOPOS service in the airport, you will subsequently have the opportunity to log onto a homepage and see your own unique route on a map. This is possible because SPOPOS saves the information in the system. However, you are the only one who has the identification code required to log in. This number will be allocated to you personally when you use the SPOPOS service.

As soon as you have left the airport, the information that has identified you in relation to the airline and the airport will be deleted. From then on, your route will exist merely as a statistic in the system.

Konceptet är egentligen bra, men när jag funderar på systemet dyker det upp ett antal frågor.

När jag funderar på det här systemet dyker det upp ett stort antal frågor, exempelvis:

Varför behöver systemet över huvud taget koppling till passagerarens mobiltelefon? Problemet systemet försöker lösa borde gå att lösa utan att passagerarens namn + mobilnummer registreras. I enklaste fallet får en passagerare en slumpmässigt vald aktiv enhet (en bricka) med ett specifikt ID. Brickan stödjer positionering och som går att fås att larma när det är dags att gå till utgången. Dvs man får bort mobilnumret som beroende.

Kravet på en mobiltelefon är över huvud taget märkligt. Det borde göra systemet mer sprött i och med att mobiltelefonen måste nås för att passageraren skall kunna larmas. Skall SAS börja kräva att personer ser till att ha mobiler som är laddade?

Varför behöver passagerarna över huvud taget en möjlighet att logga in på en webbplats? Genom att det finns en koppling mellan person, resa och mobilnummer exponerar en sådan access privat information om passagerarna på ett onödigt sätt.

Vilka garantier har jag för att SAS verkligen förstör den insamlade informationen på rätt sätt? På vilket sätt raderas informationen?

En annan sak, vad händer om brickan kommer bort? Får man inte åka med? Får man böta? Vad händer om en person dyker upp med fel bricka – finns det risk att fel person får följa med?

Kommer detta innebära att man som passagerare förväntas ha en mobiltelefon? Med tanke på att länder som USA och England börjat kopiera minnen från datorer, telefoner etc som tillhör passagerare är det inte säkert att man vill ha med sig en telefon.

Och ökar detta system risken för att personer har på sina mobiltelefoner under flygning? (Om det nu egentligen är ett problem är en anan fråga.)

Vad tror ni?

No related posts.

Related posts brought to you by Yet Another Related Posts Plugin.

Det huvudsakliga innehållet i artikeln – hur man utvecklar RFID-produkter med Python var relativt ointressant, det mest intressanta var hur man enkelt pratar med seriellt anslutna enheter och bygger upp ett API för att prata med en RFID-läsare.

Men det som fick mig att reagera var den dryga sidan långa harangen om RFID, säkerhet och integritet, en harang som inleds med:

There have been many articles published recentlydiscussing the privacy implications of RFID. Most of them are overhyped and inaccurate, to such a degree that one could conclude that some articles are FUD from other identification industries, which see RFID as a threat.

Några av argumenten som förs fram är:

The RFID industry as a whole is extremely fragmented, with many different frequencies, tag types and low-level protocols, which makes large-scale tag reading in a public space near to impossible. Even with a single, widely used tag, each market stores data on the tag in its own format, making multi-supplier analysis of a user through RFID difficult.
...
...
...
There is also the issue of read range. Apart from powered tags, which are commonly used in cars for freeway tolls, RFID tags must get enough powering field from the reader to make them function. Most tags have a range limit of under a meter, because human RF exposure laws limit the power of the transmitters.

So the idea of scanning people as they walk along the street is a little fanciful. There are no doubt scenarios where it would be possible, but there are very definite technical limits as to range.

Slutklämmen tycker jag är speciellt fin:

Big Brother already knows what you are doing. If you don’t want him to know, you can take steps to limit the information that is being recorded about you. You would take the same steps in an RFID information tracking environment.

This technology does not make possible any significant increase in invasion of privacy beyond what already exists.

Så ligger det till, bara så du vet. Jösses…

No related posts.

Related posts brought to you by Yet Another Related Posts Plugin.

Minst sagt skrämmande. Skrämmande att ett företag som sysslar med krediter 2008 kan släppa en sådan här osäker produkt och skrämande att man uppenbarligen bryr sig så lite om sina kunders säkerhet.

Pablos Holman mannen i videon som demonstrerar attacken, använder en RFID-läsare han enligt egen utsago köpt på Ebay för 8 USD, så mycket är American Express kunder säkerhet värd.

No related posts.

Related posts brought to you by Yet Another Related Posts Plugin.

Enligt artikeln lagras bildinformation på RFID-chippet i passet i JPEG200-format. Datat i en JPEG200-bild är komprimerat med en aritmetisk kompressor. Lukas attack går ut på att konstruera en speciell, patalogisk JPEG2000-bild, som när den expanderas, sväller över alla bredder och spränger det minne som används för dekompressionen. En klassisk buffertöverskrivningsattack som resulterar i att RFID-läsaren (eller det bakomliggande pass-systemet) slås ut.

Lukas Grunewald hävdar att det faktum att RFID-läsaren slås ut innebär att RFID-läsaren går att injektera med elak kod, exempelvis för att få den att istället använda en gammal bild och därmed sätta säkerheten i ett pass-system med RFID-utrustade pass ur spel.

Jag håller inte med om att en buffertöverskrivning som leder till en utslagning automatiskt implicerar en möjlighet att injektera kod eller på annat sätt manipulera det attackerade systemet, och Wireds artikel är för kort och luddig för att dra några egentliga slutsatser om vad Lukas åstadkommer i det attackerade systemet.

Men, bara det faktum att det går att gravt påverka/slå ut de nya pass-systemen på detta sätt tycker jag är mycket intressant i sig. Jag tycker att detta visar, och här delar jag Lukas åsikt, är att inbyggda system i allt för liten grad implementeras utifrån en kravställning som tittar på IT-säkerhet och hantering av felfall. Precis som Lukas säger har man antagligen tagit ett standardbibliotek för JPEG200-hantering och sedan helt struntat i att övervaka bildexpansionen. Indata från externa källor, speciellt i ett publikt säkerhetssystem som ett pass-system är, skall betraktas som potentiellt fientlig och behandlas därefter.

Och, det viktigaste, så länge som beställarna/kravställarna av inbyggda system inte tar med krav på säkerhet i sina beställningar kommer de allra flesta konstruktörer (de som inte är IT-säkerhetsparanoida redan innan) att implementera för att uppfylla de funktionella kraven och minimera implementationen i den normala kostnadsjakten. Det är så inbyggda system konstruerats i årtionden, men det börjar bli hög tid att vakna upp. Buffertöverskrivningsattacker är ingen nyhet precis, och bara för att man bygger inbyggda system får man inte vara omedveten om dessa problem.

No related posts.

Related posts brought to you by Yet Another Related Posts Plugin.

När information om våra rörelser väl finns lagrad någonstans blir kraven på polisiärt utnyttjande snart oemotståndliga.
Nyhetsmedia frossar i de mest avskyvärda brotten, varvid den allmänna opinionen piskas upp till den grad att alla sekretessbestämmelser knäcks. Ska sekretessen få skydda mördares, våldtäktsmäns eller pedofilers identitet?

Bit för bit byggs polisstatens tekniska infrastruktur. Pär Ström är kunnig och skriver föredömligt enkelt. Av allt att döma lär varken tekniska eller juridiska knep skydda oss, i längden, mot missbruk av rfid.

Lagstiftning behövs ändå, naturligtvis. Något motstånd är bättre än inget alls, men framförallt är det allmän upplysning och offentlig debatt vi behöver.

Jag tycker att Pär Ströms rapport är värd att läsa inte minst för att den sätter perspektiv på takesmedjan Eudoxas rapport Den hänsynsfulla taggen som kom för nåot år sedan och jag bloggat om tidigare. Skillnaden mellan de hotbilder och risker med ökad RFID-användning som tankesmedjorna Den Nya Välfärden och Eudoxa målar upp kan knappast bli större.

Pär Ströms rapport finns nu även att ladda ner som podradio/ljudbok så du kan lyssna på den i hängmattan. Och för den som funderar på hur man tekniskt skall arbeta med RFID för att hantera en del av de tekniska problem som Ström pekar på rekommenderas NISTs rapport om RFID och säkerhet.

No related posts.

Related posts brought to you by Yet Another Related Posts Plugin.

The goal of our report is to give organizations practical ways in a structured format with checklists and specific recommendations to address potential RFID security risks.

No related posts.

Related posts brought to you by Yet Another Related Posts Plugin.

Identitetsteknologi omfattar automatisk objektidentifikation, att på ett snabbt och effektivt sätt avgöra vad ett föremål är, och att förse fysiska föremål med virtuella “identiteter” av lagrad information som är tillgängliga och bearbetningsbara. I dag används framför allt streckkoder för att identifiera varor, men inom en snar framtid förutspås det att radiofrekvenstaggar (RFID) inte bara kommer att ersätta koderna utan att även expandera teknologin till nästan alla samhällsområden.

I USA och Europa har dock tekniken lett till en debatt om integritet, där konsumentgrupper vänt sig mot introduktionen. Hur kan tekniken appliceras för att dra fördel av den, samtidigt som man undviker dess nackdelar?

NIST har nämligen släppte ett utkast till en mycket välmatad rapport om RFID och säkerhet. NIST SP800-98 Guidance for Securing Radio Frequency Identification (RFID) Systems. Dokumentet beskriver på ett ypperligt sätt olika typer av RFID-system, attackmodeller och skyddsmekanismer – inte bara mot attacker utan även rena problem och icke avsiktliga störningar. Många ger sig på att använda RFID, en hel del försöker sig på att attackera RFID-system. Men så vitt jag vet är det få som systematiskt analyserar och arbetar med säkerhet för RFID på det sätt som NISTs dokument beskriver – och det behövs. Dagens viktigaste lästips är det i alla fall.

No related posts.

Related posts brought to you by Yet Another Related Posts Plugin.