RFID virus een storm in een glas water?
Vorige week werd de RFID wereld opgeschrikt door een onderzoek van de Vrije Universiteit: RFID-tags zijn gevoelig voor virussen!! In een wetenschappelijk artikel met de provocerende titel: 'Is your cat infected with a computer virus?' werd aangetoond dat bepaalde RFID-tags en systemen kwetsbaar kunnen zijn voor virussen. Het onderzoek haalde prompt de internationale wereldpers en sloeg daarmee in als een bom.
De RFID-industrie reageerde direct en noemde het onderzoek onrealistisch, vergezocht (AutoID) en gevaarlijk (Kaspersky). Met veel omhaal werd uitgelegd dat het virus alleen werkt bij slecht beveiligde systemen die gebruik maken van bepaalde typen RFID-tags. Tegen elke verwachting in haalde deze tegenreactie van de industrie de voorpagina's niet… En zeg nu zelf, zal de gemiddelde Nederlander geïnteresseerd zijn in het bericht dat de claims van de VU niet accuraat zijn omdat de gebruikte '896 bits UHF iCode SL1 read/write enabled smart label' niet dezelfde is als de in de logistiek gebruikte '96 bit EPC Gen2 tags' en de meeste readers daarnaast geen variable readlengths ondersteunen waardoor SQL buffer overflow exploits onrealistisch zijn?
Niet echt lijkt mij en het valt daarom moeilijk aan de burger uit te leggen dat het VU onderzoek niet voor elke vorm van RFID geldt. Maar als de industrie niet aan de wereld kan uitleggen dat RFID slechts in bepaalde gevallen kwetsbaar is omdat de pers het niet oppikt, hoe moet het dan met de acceptatie van RFID?
Geen nood! Het is al jaren bekend dat computers besmet kunnen raken met virussen, trojans en andere ellende. Het is ook allang bekend dat uw mobieltje geïnfecteerd kan raken met een virus. Gebruiken we hierdoor deze apparatuur minder? Worden er geen boeken meer bij Amazon.com gekocht? Betalen we alleen nog maar met cash geld? Natuurlijk niet! De toegevoegde waarde van ICT voor de burger is zo groot dat tot op zekere hoogte mogelijke risico's voor lief worden genomen. Daarnaast bestaat er het vertrouwen bij de eindgebruiker dat bedrijven die ICT-systemen gebruiken deze afdoende beveiligen.
Maar leveranciers en gebruikers van ICT-systemen moeten natuurlijk wel geprikkeld worden om de hoogst mogelijke graad van beveiliging na te streven. Wij juichen als RFID Nederland daarom het onderzoek van de VU (inclusief alle persaandacht!!) van harte toe. De VU is ook al geruime tijd deelnemer aan RFID Nederland. Voor een verantwoorde introductie van RFID is het van groot belang dat eventuele veiligheidsrisico's geïnventariseerd, geanalyseerd en geadresseerd worden. Het mediaoffensief dat door de VU is ontketend dwingt ons allemaal om onze RFID-toepassingen nog eens goed tegen het licht te houden en dat is een goede zaak. Zoals we dit ook zien bij mobiel en internet, laat de burger zich namelijk alleen overtuigen door een nuttige, leuke en veilige toepassing en niet door een verbolgen technologie-aanbieder…
Gelukkig speelt niet iedereen de gebeten hond omdat de kat niet echt geïnfecteerd kan worden: EPCglobal heeft aangegeven blij te zijn met het onderzoek, omdat dit hen nog meer aandacht doet besteden aan de veiligheid van hun standaarden en systemen. Het lijkt er dus op dat de industrie wel degelijk van de hackers wil leren. Om dit proces nog meer vaart te geven zal het RFID Platform Nederland samen met de VU in de nabije toekomst een workshop organiseren over RFID security. Als u zich zorgen maakt over de veiligheid van uw gechipte viervoeter, dan raad ik u aan hierbij te zijn!
| >>>> Auteur |
Bart Schermer (» RFID Platform Nederland) www.rfidnederland.nl |
