Defcon 2007: „Einmalige“ RFID-Tags in Sekunden kopiert

Der englische Sicherheitsexperte Adam Laurie hat auf der Sicherheitskonferenz Defcon in Las Vegas live demonstriert, wie leicht sich RFID-Tags, die zum Beispiel der Gebäudezugangskontrolle dienen, vervielfältigen lassen.

In seinem „Aliens cloned my sheep“ genannten Vortrag beschäftigte sich der unter anderem durch seine Bluetooth-Attacken bekannt gewordene Laurie damit, wie sich vermeintlich einmalige RFID-Tags kopieren lassen. Er wählte den Titel, weil es laut Aussagen der Tag-Hersteller nicht möglich sei, die Tags zu kopieren. Folglich blieben nur Aliens, die den Job erledigen können. Bei den kopierten Tags handelt es sich um passive Tags, wie sie zum Markieren von Viehherden, zum Starten von Autos oder eben zur Zutrittskontrolle in Gebäuden genutzt werden. An sich sind diese Tags einmalig, da die ihnen eigene ID nur einmal vergeben wird. Diese ID lässt sich jedoch sehr leicht auf ein beliebiges, beschreibares RFID-Tag kopieren.

Ich bin drin: Adam Laurie demonstriert das Kopieren von RFID-Tags mit Hilfe eines ausgebauten Türschließmechanismus.
Ich bin drin: Adam Laurie demonstriert das Kopieren von RFID-Tags mit Hilfe eines ausgebauten Türschließmechanismus.


Laurie verwendete dafür eine Mischung aus selbst gestrickten und standardisierten Lösungen. Alle Programme, die er zum Auslesen und neu programmieren der Tags verwendet, hat er selbst geschrieben und stellt sie unter RFIDIOT.Org auch zum Download bereit. Die RFID-Lese- und Schreibhardware ist hingegen von der Stange. Der Mix hat den Vorteil, dass Laurie den Tags auch vom Standard abweichende Informationen verpassen kann. Kommerzielle Tools scheitern hier. So verwendet ein Tag-Lieferant inzwischen vierstellige Ländercodes in seinen Tag-IDs. Herkömmliche Codes haben nur drei Stellen, was normale Programmiertools an den neuen Ländercodes scheitern lässt.


Der eigentliche Kopiervorgang dauert nur wenige Sekunden und setzt auf zwei von Lauries Programmen: Mit dem ersten liest er die ID des Original-Tags aus, mit dem zweiten schreibt er diese auf ein herkömmliches, über das Internet leicht zu beziehendes leeres Tag. Dass die Kopie perfekt funktioniert, demonstrierte Laurie mit Hilfe eines ausgebauten Türschließmechanismus: Wurde die Kopie in die Nähe des RFID-Lesers gebracht, leuchtete eine rote Kontroll-LED. Wäre der Schließer in eine Tür eingebaut, er hätte sie anstandslos geöffnet.


Die große Gefahr hierbei ist, dass die Original-Tags jederzeit blitzschnell und unbemerkt ausgelesen werden können. Der Dieb muss nur mit einem RFID-Lesegerät und einem Notebook – beides lässt sich leicht in einem Rucksack verstecken – nahe genug an das Opfer herankommen. Laurie erwähnte U-Bahnen oder Aufzüge als lohnenswerte Schnüffelorte.


In Sachen auslesen von persönlichen Daten aus den neuen, ebenfalls RFID-Tag bewehrten Reisepässen gibt es keine Neuigkeiten. Laurie hatte bereits Ende 2006 demonstriert, dass er die persönlichen Daten und das im Pass gespeicherte Digitalfoto des Passinhabers ebenfalls in Sekundenschnelle auslesen kann. Er kann die Daten auch modifizieren und so zum Beispiel ein anderes Passbild einsetzen. Beim Zurückschreiben – vorausgesetzt, er bekäme einen Passrohling – würde er jedoch scheitern, da die Prüfsumme der veränderten Daten nicht mit der vom Passlesegerät erwarteten übereinstimmt. (Uli Ries/mja)