#DEFCON: Hacken von RFID-Anmeldesystemen mit einem Zeitdreher

  • Wenn ein Informatikstudent einen Terminkonflikt hat und zwei verschiedene Kurse besuchen möchte, die zur gleichen Zeit stattfinden, was sollte er dann tun?

    In einer Sitzung auf der DEF CON 29-Konferenz am 7. August beschrieb der Doktorand Vivek Nair ein Szenario, in dem ein Hack des Anwesenheitssystems es ihm oder jedem anderen ermöglichen könnte, an zwei Orten gleichzeitig zu sein. Nair erläuterte, dass viele Schulen ein RFID-basiertes Anwesenheitssystem, den so genannten iClicker, verwenden, um zu verfolgen, ob ein Schüler anwesend ist oder nicht. Das System umfasst eine Basisstation für jedes Klassenzimmer oder jeden Hörsaal, und dann muss jeder Schüler ein Gerät bei sich tragen, mit dem auch Multiple-Choice-Fragen beantwortet werden können.

    Nair wies darauf hin, dass es in der beliebten Harry-Potter-Romanreihe ein magisches Gerät gibt, das als Zeitdreher bekannt ist und mit dessen Hilfe ein Schüler durch Zeitreisen in zwei Klassen gleichzeitig sein kann.

    “Was ist ohne den Luxus der Magie die nächstbeste Lösung?” fragte Nair. “Es ist natürlich das Hacken.”

    Bau eines Zeitdrehers zum Ausnutzen einer modernen Universität

    In seinem Vortrag beschrieb Nair, wie er das RFID-basierte System zurückentwickelte, um zu erfahren, wie es funktioniert. Mit diesem Wissen erkannte er, dass die Übertragungen des Geräts nicht verschlüsselt waren und es möglich war, ein echtes Gerät zu imitieren.

    “Es ist kaum zu übertreiben, wie angreifbar das System ist, und noch schockierender ist, dass genau dieses Modell derzeit an über 1.100 Universitäten und in fast 100.000 Klassenzimmern verwendet wird”, sagte Nair.

    Nair sagte, dass ein Klongerät mit einer kostengünstigen Arduino-Elektronikplattform gebaut werden könnte. Er wies darauf hin, dass der Arduino eine stromsparende Technologie ist, die mit einer kleinen Batterie betrieben werden könnte.

    Wenn man den maßgeschneiderten Arduino-basierten Time Turner in einem Klassenzimmer aufstellt, könnte er potenziell die Aktionen eines echten Geräts imitieren. Das bedeutet, dass ein Schüler vorgeben könnte, in einer Klasse zu sein, in der er eigentlich nicht ist.

    Nair ging noch einen Schritt weiter und demonstrierte, wie der benutzerdefinierte Time Turner auch auf Quizfragen reagieren kann, die ein Lehrer stellen könnte. Das System kennt alle anderen Antworten, die in der Haupt-Basisstation im Klassenzimmer eingehen, und kann so eingestellt werden, dass es automatisch die häufigste Antwort auswählt, die im Namen des abwesenden Schülers eingereicht wird.

    “Wenn ich ruchloser wäre, könnte ich versuchen, das Abstimmungsverhalten meiner Mitschüler zu ändern”, so Nair. “Eine Schwachstelle, die es mir erlaubt, die Antwort eines anderen im Abstimmungssystem zu ändern, ist ein großes Versäumnis”.

    Er ging noch einen Schritt weiter und merkte an, dass der Time Turner, wenn er noch ruchloser wäre, dazu benutzt werden könnte, einen Denial-of-Service-Angriff zu starten und die Basisstation des Klassenzimmers mit Hunderten von Stimmen pro Sekunde zu überfluten. Das würde das Host-Gerät schnell überfordern und schließlich zum Absturz bringen, so dass es für legitime Schüler unmöglich wäre, Antworten abzugeben.

    Fehlende Authentifizierung

    Das große Problem des Anwesenheitssystems hat mit der Authentifizierung zu tun.

    Nair erklärte, dass das Anwesenheitssystem so funktioniert, dass das Gerät des Schülers seine Anwesenheit über ein Funksignal ohne echte Authentifizierung sendet. Er betonte, dass es dem System an Vertraulichkeit, Integrität und Verfügbarkeit fehle.

    “Was die Vertraulichkeit anbelangt, so gab es keine, wie ich demonstriert habe, als wir in der Lage waren, die Antworten der anderen Schüler abzuhören”, sagte Nair.

    Nair schlug vor, dass die Anbieter eine Verschlüsselung bei der Übertragung einführen sollten, um eine gewisse Vertraulichkeit zu gewährleisten. Er empfiehlt auch die Verwendung einer physikalisch nicht erklärbaren Funktion (PUF) für das Schülergerät, was die Möglichkeiten eines Angreifers einschränken würde, sein eigenes Gerät mit einem Arduino zu bauen.

    Einige Teile dieses Artikels stammen aus:
    www.infosecurity-magazine.com