Er din kat inficeret med en computervirus?
Sådan lød overskriften på en af de historier om it-sikkerhed, der fik mest omtale i medierne i den forløbne måned.
Den stammer fra en rapport, som ph.d.-studerende Melanie Rieback fra Vrije Universiteit i Amsterdam fremlagde på konferencen IEEE Conference on Pervasive Computing and Communications 15. marts.
I rapporten beviser hun og hendes medforfattere, at det kan lade sig gøre at skrive en virus, der spreder sig via RFID-chips. De er også kendt som radiobrikker.
Kan aflæses via radiobølger
Radiobrikker bruges blandt andet til at holde styr på varerne på et varelager.
En radiobrik er en chip, der indeholder en smule data. Dens data kan aflæses via radiobølger, uden at chippen og læseren er i fysisk forbindelse med hinanden.
De senere år er man begyndt at indoperere radiobrikker i kæledyr for at lette identifikationen af dem.
Før panikken breder sig, er det dog værd at gøre opmærksom på, at rapporten ikke taler om, at en radiobrik i ens kat kan inficere den i naboens hund.
Udnytter SQL-indsætning
Den angrebsmetode, som rapporten beskriver, udnytter en sårbarhed i de programmer, der behandler data fra radiobrikkerne.
Rapporten beskriver, hvordan et system, der læser og skriver data i radiobrikker, kan misbruges til at sprede en virus.
Man begynder med en radiobrik, hvori man har placeret virussen. Den består af de data, som systemet forventer.
Men efter disse data følger en stribe SQL-kommandoer.
Når systemet læser chippen, behandler det først de forventede data.
Men derefter afleverer systemet SQL-kommandoerne til databasen, der udfører dem. Herved placeres en kopi af virusen i databasen.
Når den næste radiobrik skal modtage data, modtager den både de forventede data og SQL-kommandoerne.
På den måde kan alle brikkerne efterhånden komme til at indeholde virusen og sprede den til andre systemer.
Savner kontrol af input
Virusprogrammet udnytter altså en velkendt type sårbarhed: SQL-indsætning.
Hvis det system, der læser radiobrikkens indhold, foretager en grundig kontrol af input, vil virussen ikke fungere.
Med andre ord er det faktisk ikke en ny sårbarhed i RFID-chips, forskerne har fundet. I stedet har de påvist, hvordan RFID-chips kan anvendes til at udnytte SQL-indsætning.
Det interessante er kombinationen af de to teknologier, hvor infektionen går begge veje: Radiobrikken inficerer databasen, der inficerer flere radiobrikker, som igen inficerer andre databaser.
Forskerne påpeger selv nogle af de problemer, de stødte på, da de byggede systemet.
Et af dem er, at SQL-dialekter varierer mellem databaser. Så et angreb, der virker mod en Oracle-database, virker ikke nødvendigvis mod SQL Server.
Forskningsprojektet viser, hvordan en smule sund paranoia kan sikre systemer.
En applikation bør aldrig må stole på data, den modtager udefra. Det gælder, hvad enten de indtastes af en bruger, kommer fra et andet it-system eller læses fra en radiobrik. Input skal altid tjekkes, før det sendes videre til en database eller et andet system.
Relevante link
Rapporten "Is Your Cat Infected with a Computer Virus?" (pdf)
DK-CERT (www.cert.dk) er det danske Computer Emergency Response Team. I samarbejde med tilsvarende CERT'er over hele verden indsamler DK-CERT information om internetsikkerhed. DK-CERT udsender advarsler og tager imod anmeldelser af sikkerhedsrelaterede hændelser på internettet.
Preben Andersen opdaterer den sidste fredag i hver måned Computerworlds læsere med de seneste tendenser inden for it-sikkerhed.
