Las etiquetas RFID son vulnerables a virus, según un reciente informe
Tres investigadores especializados en ciencias computacionales advierten que los virus embebidos en las etiquetas de radio utilizadas para identificar y seguir mercancías están a la vuelta de la esquina, un peligro que ha sido hasta ahora pasado por alto debido al elevado interés de la industria por las tecnologías RFID. Además, la escasa capacidad de memoria de las etiquetas RFID era por lo general considerada insuficiente para soportar malware.
Ningún virus diseñado para explotar RFID se ha difundido hasta el momento, según los investigadores de la universidad holandesa Vrije Universiteit Amsterdam. Sin embargo, las etiquetas RFID tienen diversas características que podrían ser aprovechadas para explotar vulnerabilidades en el middleware y en las bases de datos de back-end de las empresas. Así lo advierte un grupo de investigadores de la universidad en un documento (http://www.rfidvirus.org/index.html) presentado la semana pasada en el marco de una conferencia celebrada en la ciudad italiana de Pisa. Estos expertos llegaron a calificar el malware RFID de “una Caja de Pandora” a punto de ser abierta.
Los ataques pueden llegar en la forma de entradas SQL o de ataques “buffer overflow”, incluso aunque las etiquetas mismas pueden sólo almacenar un pequeño bit de información, de acuerdo con el informe. Para mostrar sus ideas, los investigadores desarrollaron un virus RFID de “prueba de concepto”, capaz de autoreplicarse.
Tan sólo llevó cuatro horas desarrollar un virus lo suficientemente pequeño como para poder ser introducido en una etiqueta RFID, algo que hasta el momento se había considerado impensable, según Andrew S. Tanenbaum, profesor de Vrije Universiteit Amsterdam, dado que sólo pueden contener 114 bytes de memoria.
En opinión de Tanenbaum, es previsible que a los suministradores no les guste la publicación del código. Durante mucho tiempo han descartado la posibililidad del desarrollo de virus RFID, argumentando que la cantidad de memoria en las etiquetas era demasiado pequeña. “Seguramente la publicación de nuestro malware en la Web provocará el pánico de muchos de ellos. Pero tenemos la esperanza de que nuestra demostración les hará tomarse en serio el asunto; básicamente pretendemos dar un toque de atención a la industria antes de que este tipo de amenazas sea desplegado a gran escala”.
Un middleware de ficción
De cualquier modo, los investigadores han tomado sus precauciones pare evitar que los virus RFID desarrollados por ellos mismos puedan servir de base a ataques auténticos que empiecen a circular inmediatamente. Escribieron su propio middleware, que imita los rasgos de algunos productos disponibles en el mercado, según explica Melanie R.Rieback, uno de los autores del informe. “No es como si estuviéramos publicando una receta de cocina para facilitar el ataque a sistemas RFID reales”.
El middleware desarrollado por los investigadores se conecta a las bases de datos de suministradores como Oracle y Microsoft, además de con bases de datos de código abierto, como MySQL y Postgres. En cuanto al equipamiento RFID utilizado en el experimento, fue del fabricante Philips Electronics. “Realmente fue bastante interesante comprobar cómo algunas de las bases de datos fueron absolutamente vulnerables a determinados tipos de ataques”, explica Rieback. “Otras integraban algunos mecanismos de protección naturales que las hacían más resistentes”.
El propósito del experimento, según los autores, es provocar a los diseñadores de middleware RFID para que sean más cuidadosos a la hora de escribir su código. El middleware de back-end puede contener millones de líneas de código fuente, y si los defectos del software contabilizan más de 6 1000 líneas de código, el programa probablemente tendrá muchas vulnerabilidades, según el informe.
Las etiquetas RFID están siendo crecientemente utilizadas en una diversidad de industrias para seguir activos y proporcionar una visión en tiempo real de los inventarios. Contienen datos sobre un objeto particular -en algunos casos, incluso son adheridas a animales-, unos datos que generalmente se almacenan en una base de datos.
Los sistemas RFID resultan atractivos para los criminales, por ejemplo, desde el momento en que la información en ellas contenida puede ser de naturaleza financiera o personal, como es el caso de la información almacenada sobre pasaportes digitales. Además de ocasionar daños sobre sistemas informáticos, el malware RFID puede tener un efecto sobre el mundo de los objetos reales, según advierte el documento.
Por ejemplo, muchos aeropuertos ven las etiquetas RFID como una manera de mejorar sustancialmente el proceso de seguimiento de equipajes. Sin embargo, Tanenbaum advierte que esta aplicación puede ocasionar importantes problemas. Basta con el hecho de que una etiqueta falsa o intencionadamente modificada en un equipaje puede originar un ataque basado en “buffer overflow”, introduciendo un virus en el middleware RFID. Una vez que el código del virus está en el servidor, adquiere el poder de afectar a las bases de datos y corromper todas las etiquetas consiguientes o instalar pequeños programas que permiten la extracción de datos sobre Internet. “Sería posible, por ejemplo, esconder un determinado equipaje, o redirigirlo a un lugar diferente del deseado. Es una cuestión muy seria que puede incluso tener implicaciones negativas para la seguridad nacional e internacional”.
Los ataques pueden llegar en la forma de entradas SQL o de ataques “buffer overflow”, incluso aunque las etiquetas mismas pueden sólo almacenar un pequeño bit de información, de acuerdo con el informe. Para mostrar sus ideas, los investigadores desarrollaron un virus RFID de “prueba de concepto”, capaz de autoreplicarse.
Tan sólo llevó cuatro horas desarrollar un virus lo suficientemente pequeño como para poder ser introducido en una etiqueta RFID, algo que hasta el momento se había considerado impensable, según Andrew S. Tanenbaum, profesor de Vrije Universiteit Amsterdam, dado que sólo pueden contener 114 bytes de memoria.
En opinión de Tanenbaum, es previsible que a los suministradores no les guste la publicación del código. Durante mucho tiempo han descartado la posibililidad del desarrollo de virus RFID, argumentando que la cantidad de memoria en las etiquetas era demasiado pequeña. “Seguramente la publicación de nuestro malware en la Web provocará el pánico de muchos de ellos. Pero tenemos la esperanza de que nuestra demostración les hará tomarse en serio el asunto; básicamente pretendemos dar un toque de atención a la industria antes de que este tipo de amenazas sea desplegado a gran escala”.
Un middleware de ficción
De cualquier modo, los investigadores han tomado sus precauciones pare evitar que los virus RFID desarrollados por ellos mismos puedan servir de base a ataques auténticos que empiecen a circular inmediatamente. Escribieron su propio middleware, que imita los rasgos de algunos productos disponibles en el mercado, según explica Melanie R.Rieback, uno de los autores del informe. “No es como si estuviéramos publicando una receta de cocina para facilitar el ataque a sistemas RFID reales”.
El middleware desarrollado por los investigadores se conecta a las bases de datos de suministradores como Oracle y Microsoft, además de con bases de datos de código abierto, como MySQL y Postgres. En cuanto al equipamiento RFID utilizado en el experimento, fue del fabricante Philips Electronics. “Realmente fue bastante interesante comprobar cómo algunas de las bases de datos fueron absolutamente vulnerables a determinados tipos de ataques”, explica Rieback. “Otras integraban algunos mecanismos de protección naturales que las hacían más resistentes”.
El propósito del experimento, según los autores, es provocar a los diseñadores de middleware RFID para que sean más cuidadosos a la hora de escribir su código. El middleware de back-end puede contener millones de líneas de código fuente, y si los defectos del software contabilizan más de 6 1000 líneas de código, el programa probablemente tendrá muchas vulnerabilidades, según el informe.
Las etiquetas RFID están siendo crecientemente utilizadas en una diversidad de industrias para seguir activos y proporcionar una visión en tiempo real de los inventarios. Contienen datos sobre un objeto particular -en algunos casos, incluso son adheridas a animales-, unos datos que generalmente se almacenan en una base de datos.
Los sistemas RFID resultan atractivos para los criminales, por ejemplo, desde el momento en que la información en ellas contenida puede ser de naturaleza financiera o personal, como es el caso de la información almacenada sobre pasaportes digitales. Además de ocasionar daños sobre sistemas informáticos, el malware RFID puede tener un efecto sobre el mundo de los objetos reales, según advierte el documento.
Por ejemplo, muchos aeropuertos ven las etiquetas RFID como una manera de mejorar sustancialmente el proceso de seguimiento de equipajes. Sin embargo, Tanenbaum advierte que esta aplicación puede ocasionar importantes problemas. Basta con el hecho de que una etiqueta falsa o intencionadamente modificada en un equipaje puede originar un ataque basado en “buffer overflow”, introduciendo un virus en el middleware RFID. Una vez que el código del virus está en el servidor, adquiere el poder de afectar a las bases de datos y corromper todas las etiquetas consiguientes o instalar pequeños programas que permiten la extracción de datos sobre Internet. “Sería posible, por ejemplo, esconder un determinado equipaje, o redirigirlo a un lugar diferente del deseado. Es una cuestión muy seria que puede incluso tener implicaciones negativas para la seguridad nacional e internacional”.
