RFID tehnologija, iako široko korištena u različitim područjima poput sigurnosti, logistike i praćenja, nije imuna na razne sigurnosne prijetnje. Ovaj rad pruža dubinsku analizu ranjivosti RFID sustava, s posebnim naglaskom na moguće napade i protumjere. Osnovne komponente RFID sustava, poput oznaka, čitača i softvera, objašnjene su kako bi se stvorio temelj za razumijevanje sigurnosnih izazova. Analiza potrošnje energije, prisluškivanje, napadi man-in-the-middle, uskraćivanje usluge, spoofing, ponovno izvođenje, praćenje, ubijanje oznake i blokiranje oznaka su detaljno razmotreni s pratećim protumjerama. Kroz sve ove aspekte, istaknuto je da su sigurnosne mjere ključne za održavanje integriteta RFID sustava.
Ključne riječi: RFID, ranjivost, sigurnost, napadi, protumjere, zaštita
Svjesni toga ili ne, radiofrekvencijska identifikacija (engl. radio-frequency identification, skr. RFID) sastavni je dio našeg života. RFID se koristi za stotine, ako ne i tisuće primjena, kao što je sprječavanje krađe automobila i robe, naplata cestarine bez zaustavljanja, upravljanje prometom, ulazak u zgrade i slično. No, iako je RFID tehnologija u širokoj upotrebi, ona je i dalje podložna raznim sigurnosnim prijetnjama. U ovom radu analizirat će se ranjivosti RFID sustava kao cjeline, kao i sigurnosne mjere i tehnike koje se mogu koristiti za zaštitu RFID sustava od napada.
RFID je izraz skovan za radiotehnologiju kratkog dometa koja se koristi za komunikaciju uglavnom digitalnih informacija između stacionarne lokacije i pokretnog objekta ili između pokretnih objekata [2]. RFID koristi elektromagnetska polja za automatsko prepoznavanje i praćenje oznaka pričvršćenih za objekte.
RFID oznake (engl. tags) sastoje se od mikročipa s antenom (slika 1)(slika 2). Kada ga pokrene elektromagnetski impuls iz obližnjeg čitača RFID uređaja, oznaka šalje digitalne podatke natrag čitaču [7]. Dolaze u raznolikim veličinama, od malih oznaka širine do 1 mm koje se koriste za praćenje životinja do onih veličine kreditne kartice za kontrolu pristupa, te velikih koji se koriste za praćenje kontejnera, vozila ili željezničkih vagona. RFID oznake mogu se kategorizirati kao aktivne, pasivne ili baterijski potpomognute (poluaktivne/polupasivne), ovisno o tome kako se napajaju [1].
Ovisno o vrsti memorije, RFID oznake mogu se dodatno klasificirati kao samo za čitanje, jednokratno pisanje i višekratno pisanje.
Slika 1: Jednostavni RFID sustav [6]
RFID čitač je naprava koja bežično komunicira s RFID oznakama i olakšava prijenos podataka između oznake i pozadinskog sustava. Tipični čitač sastoji se od radiofrekvencijskog modula, upravljačke jedinice i spojnog elementa za ispitivanje elektroničkih oznaka putem radiofrekvencijske komunikacije. Osnovne funkcije čitača uključuju aktiviranje oznaka slanjem upita, opskrbu energijom pasivnih oznaka, kodiranje podatkovnih signala koji idu prema oznaci i dekodiranje podataka primljenih od oznake [4]. RFID čitači značajno se razlikuju po složenosti, ovisno o vrsti podržanih oznaka i funkcijama koje obavljaju, poput sofisticirane obrade signala, provjere pogrešaka pariteta i ispravaka. Mogu biti prijenosni ručni uređaji ili fiksni uređaji. Ilustracija komunikacije s oznakom prikazana je na slici 2.
Slika 2: Komunikacija RFID oznake i čitača [8]
RFID sustavi također se oslanjaju na softver. Softver se može podijeliti u tri skupine: algoritmi čitanja oznaka na prednjoj strani (engl. frontend), posrednički softver (engl. middleware) i sučelje pozadinskog sustava (engl. backend system interface). Algoritmi na prednjoj strani obavljaju zadatke obrade signala. RFID middleware povezuje čitače s pozadinskim poslužiteljem i bazom podataka. Također filtrira podatke prikupljene od čitača i upravlja raznim korisničkim sučeljima. Prava snaga RFID-a dolazi integracijom radiofrekvencijske tehnologije s pozadinskim sustavom kako bi obavljala funkcije poput usklađivanja digitalnih informacija primljenih od čitača s pozadinskom bazom podataka i usmjeravanja dobivenih informacija prema ispravnoj aplikaciji [4].
Osim vrsta korištenih oznaka, RFID sustave također možemo razlikovati prema njihovoj radiofrekvenciji. Četiri primarna radiofrekvencijska pojasa, u rasponu od 30 KHz do 5.8 GHz, su:
Odabir frekvencije ovisi o primjeni, veličini oznake i potrebnoj duljini čitanja. Općenito, što je frekvencija veća, to su brži prijenos podataka i propusnost, ali je onda sustav skuplji.
RFID sustavi, poput drugih informacijskih sustava, podložni su napadima i mogu biti kompromitirani u različitim fazama njihove upotrebe. Napadi na RFID sustav mogu se općenito kategorizirati u četiri glavne skupine: napadi na autentičnost, napadi na integritet, napadi na povjerljivost i napadi na dostupnost. Osim što su ranjivi na uobičajene napade poput prisluškivanja, man-in-the-middle i napada usmjerenog na odbijanje usluge, RFID tehnologija posebno je podložna napadima poput spoofinga i napada na dotok energije. Ovaj odjeljak ilustrira različite vrste napada i pruža protumjere protiv njih.
Obrnuti inženjering (engl. reverse engineering) je proces rastavljanja nečega kako bi otkrili kako funkcionira. Ako promatramo privatnost vezanu uz biometrijske osobne dokumente, moguće je da napadač dobije pristup čipu i očita njegov sadržaj memorije optički kako bi dobio PIN, biometrijske podatke, osobne informacije, itd. [5]. Tehnička sposobnost i oprema potrebna za obrnuti inženjering integriranog sklopa (engl. integrated circuit) mogu se ocijeniti na različitim razinama: od strane obaviještene osobe koristeći jeftine i lako dostupne alate, do visoko stručnog tima koji koristi opremu koja nije široko dostupna na tržištu. Nažalost, metode napada na ASIC (Application-Specific Integrated Circuit) tehnologiju nisu tajna i lako im se može pristupiti.
Američki FIPS (Federal Information Processing Standards) standard se odnosi na premaze čipa kao metodu protiv obrnutog inženjerstva kako bi se spriječili napadi. Različite tehnike otpornosti na promjene (engl. tamper proof techniques) razvijene su kako bi se obranile od napada obrnutog inženjeringa. Primjerice, dodavanjem sloja otpuštanja u slučaju promjene (engl. tamper-release layer) na RFID oznake, ovlašteno osoblje može biti obaviješteno ako je oznaka manipulirana.
Analiza snage je oblik napada iz tzv. “side-channela” koji je namijenjen dobivanju informacija analizom promjena u potrošnji energije uređaja. Dokazano je da su uzorci emisije električne snage različiti kada pametna kartica prima točne i netočne bitove lozinke ili kriptografske ključeve. Stoga je moguće narušiti sigurnost pametnih kartica praćenjem signala potrošnje energije i doći do osjetljivih i zaštićenih informacija. Dva načina mogu se koristiti kako bi se zaštitila lozinka od napada analize potrošnje energije: prikrivanje vrhunca (engl. spike) u potrošnji energije ili poboljšavanje algoritma za sažimanje (engl. hashing). Slika 3 prikazuje primjer korištenja Hammingove težine za probijanje DES algoritma analiziranjem potrošnje energije [4].
Slika 3: Primjer analize potrošnje energije [4]
Uobičajene metode koje se koriste za obranu nad napadima analize potrošnje energije su filtriranje ili dodavanje elementa slučajnosti. Filtriranje signala energije ili odgađanje izračuna na slučajan način može otežati napadaču u identificiranju uzoraka potrošnje energije. Druga metoda implementirana u nekim dizajnima pametnih kartica je dodavanje elementa koji troši slučajnu količinu energije. Nažalost, ovaj pristup može izazvati problem za RFID sustave gdje je minimiziranje potrošnje energije prioritet.
Budući da je RFID oznaka bežični uređaj koji emitira podatke, obično jedinstveni identifikator, kada ga ispituje RFID čitač, postoji rizik da komunikacija između oznake i čitača može biti prisluškivana (engl. eavesdropping). Prisluškivanje se događa kada napadač presreće podatke s kompatibilnim čitačem, onim koji odgovara pripadajućem tipu oznake i frekvenciji, dok je oznaka čitana od strane ovlaštenog RFID čitača. S obzirom na to da većina RFID sustava koristi komunikaciju bez kriptiranja zbog kapaciteta memorije oznake ili troškova, prisluškivanje je jednostavan, ali učinkovit način da napadač dobije informacije o podacima oznake. Informacije prikupljene tijekom napada mogu imati ozbiljne posljedice, konkretno, mogu se koristiti u daljnjim napadima na RFID sustav. U pasivnim RFID sustavima čitači imaju značajno duže raspone prijenosa od oznaka, pa kada pasivne oznake moduliraju i reflektiraju signal čitača za komunikaciju, imaju samo dio prijenosne snage čitača. Stoga pasivne oznake imaju ograničeniji domet prijenosa i manje su podložne prisluškivanju [4]. Međutim, važno je imati na umu da čak i ako prisluškivač nije unutar dometa signala oznake, još uvijek može biti u mogućnosti slušati naredbe koje dolaze od čitača (Slika 4).
Slika 4: Prisluškivanje RFID komunikacije
Protumjere protiv prisluškivanja uključuju uspostavljanje sigurnog komunikacijskog kanala i šifriranje komunikacije između oznake i čitača. Drugi pristup je zapisivanje samo onoliko informacija na oznaku koliko je dovoljno za identifikaciju objekta. Identitet se koristi za pretraživanje relevantnih informacija o objektu u bazi podataka, što zahtijeva da napadač ima pristup i oznaci i bazi podataka kako bi uspio u napadu.
Ovisno o konfiguraciji sustava, napad man-in-the-middle (skr. MITM) je moguć dok podaci putuju od jednog dijela do drugog. Napadač može prekinuti komunikacijski put i manipulirati informacijama između RFID komponenti (Slika 5). Napad otkriva informacije prije nego što ih ciljani uređaj primi i može promijeniti informacije tijekom prijenosa i proslijediti svoje, izmijenjene, podatke [4]. Čitav RFID sustav posebno je ranjiv na MITM napade jer su oznake uglavnom male i imaju nisku cijene, što znači da općenito nedostaje prikladna zaštita.
Slika 5: Man-in-the-middle napad
Različite tehnologije mogu se implementirati kako bi se smanjile MITM prijetnje, poput šifriranja komunikacije, slanja informacija kroz siguran komunikacijski kanal i implementacije autentifikacijskog protokola.
Napadi uskraćivanja usluge (skr. DoS) mogu imati različite taktike napada na RFID oznaku, mrežu ili backend sustav. Svrha nije krađa ili izmjena informacija, već onesposobljavanje RFID sustava tako da ga se ne može koristiti. Kada se govori o DoS napadima na bežične mreže, prva zabrinutost su napadi na fizičkom sloju, poput blokiranja (engl. jamming) i ometanja (engl. interference). Blokiranje korištenjem buke (engl. noise) u frekvencijskom rasponu RFID sustava može smanjiti propusnost mreže i poremetiti povezanost mreže, što rezultira općim neuspjehom lanca komunikacije [4]. Blokiranje se događa kada uređaj koji aktivno emitira radijske signale može blokirati i poremetiti rad svih RFID čitača u blizini. Interferencija s drugim radio odašiljačima također može pokrenuti DoS napad kako bi zamutila komunikaciju između oznaka i čitača. Drugi oblik DoS-a je uništavanje ili onesposobljavanje RFID oznaka tako da ih se ukloni s pripadajućih objekata, potpunim ispiranjem njihovog sadržaja ili omotavanjem metalnom folijom.
Lakše je otkriti DoS napade nego ih spriječiti, međutim, jednom otkriveni DoS napadi se mogu zaustaviti prije nego što nanesu previše štete. Na primjer, protumjere protiv blokiranja mogu koristiti pasivno slušanje kako bi otkrile oznake čija je prijenosna podatkovna veličina veća od prethodno definirane razine, a zatim koristiti blok funkcije kako bi ih spriječile. Protumjere protiv odvajanja oznaka s pripadajućih objekata mogu se ostvariti ili poboljšanjem mehaničke veze između oznaka i objekata, ili dodavanjem funkcije alarma aktivnim oznakama.
U vezi s RFID tehnologijom, spoofing se događa kada se krivotvorena oznaka prerušava kao valjana oznaka i time stječe potpunu kontrolu nad sustavom (slika 6). Tag cloning je tip spoofinga gdje napadač snima podatke s valjane oznake i stvara kopiju snimljenog uzorka na novom čipu [4]. Drugi primjer je napadač koji čita podatke s oznake jeftinog predmeta u trgovini, a zatim prenosi podatke na drugu oznaku pričvršćenu za sličan, ali skuplji predmet.
Slika 6: Spoofing napad [10]
Uobičajen način za sprječavanje spoofinga je implementacija RFID autentifikacijskog protokola i šifriranja podataka, što povećava troškove i tehničku složenost potrebnu za uspješan napad.
U napadu ponovnog izvođenja (engl. replay attack), napadač presreće komunikaciju između čitača i oznake kako bi zabilježio valjani RFID signal. Kasnije, snimljeni signal ponovno se izvodi u sustavu kada napadač primi upit od čitača. Budući da podaci izgledaju valjani, sustav ih prihvaća [4].
Najpopularnije rješenje je korištenje mehanizma izazova i odgovora (engl. challenge and response) kako bi se spriječili napadi ponovnog izvođenja. Protumjere protiv ponovnog izvođenja mogu uključivati i taktike temeljene na vremenu i brojaču.
Za razliku od prethodno raspravljanih napada na RFID uređaje, praćenje (engl. tracking) je prijetnja usmjerena protiv pojedinca. U sljedećih nekoliko godina proizvođači bi mogli uvesti RFID oznake na mnogo više proizvoda koji se koriste u svakodnevnom životu [4]. Postoji zabrinutost za privatnost jer umjesto praćenja, na primjer, knjiga ili odjeće, RFID sustavi mogu se koristiti za praćenje kretanja ljudi ili stvarati precizne profile na temelju njihovih kupovina.
Jednostavan način za onemogućavanje praćenja je deaktiviranje RFID oznaka, što se naziva “ubijanjem” oznake, a o tome će se govoriti u sljedećem odjeljku.
Obično se ubijanje RFID oznake provodi kako bi se spriječila komunikacija, čime se onemogućuje njezino daljnje čitanje. Primjerice, naredba za ubijanje definirana je u standardnom formatu EPC (Electronic Product Code), a koristi se za trajno onemogućavanje oznaka u svrhu zaštite privatnosti. Budući da je potrebno osigurati da RFID oznake ne budu ubijene od strane neovlaštenih osoba, naredba za ubijanje zaštićena je lozinkom poznatom kao ubijajuća lozinka (engl. kill password) [4].
U mnogim primjenama važno je zaštititi oznaku od ubijajuće naredbe koja trajno onesposobljava funkcionalnost oznake. Da bismo to postigli, memorija oznake i čitanje mogu se zaštititi lozinkom, a naredba trajne blokade može učiniti lozinku i podatke oznake trajno nepromjenjivima.
Druga metoda zaštite od neželjenog skeniranja RFID oznaka pričvršćenih za predmete koje ljudi nose ili nose je blokiranje oznaka. Blokiranje oznaka može se postići različitim pristupima, poput Faradayeva kaveza, aktivnog ometanja ili blokirajućih oznaka. Faradayev kavez je metalna ili folijom obložena posuda koja je neprobojna za radiofrekvencijske valove (slika 7). Već je viđeno da neki lopovi koriste vreće obložene folijom u trgovinama kako bi prevarili mehanizme detekcije krađe [4].
Slika 7: Faradayev kavez u obliku torbe [11]
Budući da aktivno ometanje krši propise većine vlada, predložen je uređaj nazvan blokator (engl. blocker) oznake kako bi se zaštitili od neprimjerenog skeniranja RFID oznaka. Blokator oznaka ometa postupak skeniranja RFID-a simulirajući da su sve moguće (jedinstvene) identifikacije prisutne. Blokator se može napraviti od jeftine pasivne RFID oznake, pa je moguće ugraditi blokator u prijenosni uređaj kako bi se aktivno spriječilo neprimjereno skeniranje.
RFID tehnologija je uzbudljiva tehnologija sa širokim spektrom primjena. Međutim, kao i svaka druga tehnologija, i RFID je podložan raznim sigurnosnim prijetnjama. U ovom radu analizirani su različiti tipovi napada na RFID sustave, kao i protumjere koje se mogu koristiti za zaštitu od tih napada. Rezultati analize pokazuju da je RFID tehnologija ranjiva na razne vrste napada, uključujući prisluškivanje, napade man-in-the-middle, uskraćivanje usluge, spoofing, ponovno izvođenje, praćenje i ubijanje oznake. Međutim, dostupan je niz protumjera koje se mogu koristiti za smanjenje rizika od tih napada. Uključivanje odgovarajućih sigurnosnih mjera u dizajn i implementaciju RFID sustava ključno je za zaštitu od ovih prijetnji. Na temelju rezultata analize, mogu se dati sljedeće preporuke za poboljšanje sigurnosti RFID sustava:
Osim ovih tehničkih mjera, važno je i osvijestiti korisnike o sigurnosnim prijetnjama RFID sustava. Korisnici bi trebali biti svjesni da RFID oznake mogu biti korisne, ali i da bi trebali poduzeti mjere za zaštitu svoje privatnosti, kao što je pokrivanje oznaka ili uklanjanje oznaka s objekata ako nisu više potrebne.
[1] M. Bolic, D. Simplot-Ryl, I. Stojmenovic: RFID Systems: Research Trends and Challenges
[2] J. Landt: The history of RFID
[3] D.C. Wyld: RFID 101: the next big thing for management
[4] Q. Xiao, T. Gibbons, H. Lebrun: RFID technology, security vulnerabilities, and countermeasures
[5] G. MacGillivray, C. Sheehan: RFID and Its Vulnerability to Faults
[6] priority1design.com: RFID basics
[7] CONTROLTEK: RFID Inventory Tracking
[8] RFID Tags for Hazardous Areas: The Advantages
[10] RFID system model with cloning attack and detection
[11] Faraday bag