RFID-baserad utslagningsattack mot pass-system
Wired har publicerat en (kort) artikel om den tyska säkerhetsforskaren Lukas Grunwald
Artikeln berättar att Lukas, som tidigare visat att han kan klona RFID-chip i pass nu utvecklat en RFID-baserad attack mot pass-systemen.
Enligt artikeln lagras bildinformation på RFID-chippet i passet i JPEG200-format. Datat i en JPEG200-bild är komprimerat med en aritmetisk kompressor. Lukas attack går ut på att konstruera en speciell, patalogisk JPEG2000-bild, som när den expanderas, sväller över alla bredder och spränger det minne som används för dekompressionen. En klassisk buffertöverskrivningsattack som resulterar i att RFID-läsaren (eller det bakomliggande pass-systemet) slås ut.
Lukas Grunewald hävdar att det faktum att RFID-läsaren slås ut innebär att RFID-läsaren går att injektera med elak kod, exempelvis för att få den att istället använda en gammal bild och därmed sätta säkerheten i ett pass-system med RFID-utrustade pass ur spel.
Jag håller inte med om att en buffertöverskrivning som leder till en utslagning automatiskt implicerar en möjlighet att injektera kod eller på annat sätt manipulera det attackerade systemet, och Wireds artikel är för kort och luddig för att dra några egentliga slutsatser om vad Lukas åstadkommer i det attackerade systemet.
Men, bara det faktum att det går att gravt påverka/slå ut de nya pass-systemen på detta sätt tycker jag är mycket intressant i sig. Jag tycker att detta visar, och här delar jag Lukas åsikt, är att inbyggda system i allt för liten grad implementeras utifrån en kravställning som tittar på IT-säkerhet och hantering av felfall. Precis som Lukas säger har man antagligen tagit ett standardbibliotek för JPEG200-hantering och sedan helt struntat i att övervaka bildexpansionen. Indata från externa källor, speciellt i ett publikt säkerhetssystem som ett pass-system är, skall betraktas som potentiellt fientlig och behandlas därefter.
Och, det viktigaste, så länge som beställarna/kravställarna av inbyggda system inte tar med krav på säkerhet i sina beställningar kommer de allra flesta konstruktörer (de som inte är IT-säkerhetsparanoida redan innan) att implementera för att uppfylla de funktionella kraven och minimera implementationen i den normala kostnadsjakten. Det är så inbyggda system konstruerats i årtionden, men det börjar bli hög tid att vakna upp. Buffertöverskrivningsattacker är ingen nyhet precis, och bara för att man bygger inbyggda system får man inte vara omedveten om dessa problem.