Is RFID ready to track people?

04-03-2007: Op woensdag 28 februari 2007 begon in de Sheraton Crystal City in Arlington, Virginia de jaarlijkse Black Hat conferentie, met daar de laatste nieuwtjes op het gebied van veiligheid en digitale technieken met speciale aandacht voor de veiligheid van deze technieken, en dit jaar zou er een demonstratie over RFID gehouden worden.
Maar dit keer geen nieuwe chip, of nog kleinere, maar dit keer een RFID-kritische presentatie over de onveiligheid van RFID. Tenminste, dat was de bedoeling, want op het laatste moment lijkt de presentatie onvindbaar op de agenda. Wat er hier precies aan de hand is? Waarschijnlijk dit:

Het zit namelijk zo, het bedrijf IOActive heeft uitgevonden hoe veilig RFID echt is, en heeft onder de naam "RFID voor beginners" een hackdemonstratie gemaakt waarin op eenvoudige wijze uit de doeken word gedaan hoe een RFID-chip te klonen. De techniek is zo simpel dat het er op neer komt dat de "indentiteitsdief" alleen maar bij je in de buurt hoeft te staan (een afstand van 3 meter zou voldoende zijn) en met een RFID-kloonapparaat de omgeving te scannen of er ergens een RFID in de buurt is. Zodra er een chip word opgepikt wordt de inhoud van die chip naar het apparaatje gekopieerd en kan met die gegevens wat ook met de originele kaart kon. Als je RFID gebruikt als huissleutel dan is naast iemand in de bus of tram zitten genoeg om 's avonds in een leeg huis thuis te komen.
Uit een reactie van HID, de leverancier van de betreffende RFID-chips, blijkt dat HID Corp. niet ontkent dat er met bepaalde types problemen zijn, maar wordt er ook een poging gedaan om de problemen kleiner te maken dan ze zijn. De HID woordvoerdster verklaart onderandere dat men tot 10 centimeter van de chips af moet zijn om hem te kunnen lezen, wat in andere tests meermalen afstanden tot 3 a 4 meter opleverde, mits er een aangepast scanapparaat werd gebruikt. Één van de argumenten die ook aangedragen werd door HID is dat de RFID-chips maar in één richting uitzenden, terwijl het algemeen bekend is dat RFID's zogenaamde omnidirectionele antennes gebruiken, die hun naam te danken hebben aan het feit dat ze in alle richtingen evenveel vermogen uitstralen wat dus ook dat argument direct onderuit haalt.

Er zijn al langer twijfels over de haalbaarheid, functionaliteit en nog vooral over de veiligheid van RFID, maar dit schijnt de grote industrie niet tegen te houden. Hoe meer vragen er boven komen, hoe meer een bedrijf de verantwoordelijkheid voor dat product op zich moet nemen. Het zou moeten kijken naar de problemen in plaats van naar mogelijkheden om onder de gestelde vragen uit te kunnen komen. HID Corp. komt er ook in dit geval niet veel beter af. Zonder een woord te reppen over dat problemen aandacht verdienen, wordt de brenger van het slechte nieuws aangevallen op zijn verantwoordelijksheidsgevoel, alsof hun er wat aan zouden kunnen doen dat een product van HID fouten vertoont.

Ook is er uit de verklaring van HID gedeeltelijk op te maken dat het probleem al langer bekend was, maar dat het geheim gehouden is om "paniek" onder hun klanten te voorkomen, waarbij HID in plaats van garant staat voor hun product en hun klanten waarschuwt voor risico's (wat tegenwoordig redelijk normaal is) de kop in het zand steekt en doet alsof er niets aan de hand is. Als er een duidelijk risico is voor klanten, waar ook veel banken en regeringsgebouwen tussen zitten, is het dan verantwoord om zo'n instelling te hebben? Wat zou u ervan vinden als u komplete bankrekening geplunderd werd, maar dat uw bank u niet gewaarschuwd heeft omdat "ze u niet onnodig bang wilden maken"?

Hoe dan ook, de presentatie zat HID in ieder geval zo dwars dat er een brief naar IOActive gestuurd werd. Wat verder de inhoud van die brief is blijft onbekend, maar er is 1 ding wat wel met redelijke zekerheid te zeggen is: het lijkt erop dat HID het voor elkaar heeft gekregen de gewraakte presentatie tegen te houden...