Es macht immer wieder Spaß, irgendwelche Propaganda-Blogs zu lesen - man findet dort die obskursten Dinge, manche zum Weinen, manche zum Lachen, ... so bin ich heute im RFID-Weblog (wird von einer PR-Firma im Auftrag der RFID-Lobby geführt) auf diesen Artikel gestoßen, der eine Weltneuheit anpreist: Eine RFID-Firewall. Das Produkt soll vor "bösen" RFID-Tags schützen, welche ungültige Daten oder gar Viren oder Angriffe via SQL-Injection ins System einschleusen wollen.

Ok, eine Forscherin bastelt eine SQL-Injection, packt sie auf einen RFID-Chip und veröffentlicht mit einem prominenten Zweitautor ein Paper mit einem fancy Titel ("Is your cat infected with a virus?") - und nun gründet jemand ein Startup, um eine Firewall zu verkaufen, welche solche Angriffe ausfiltern soll. Anders zusammengefasst: Das Konzept der dummen RFID-Tags (welches man in Bezug auf Security und Privacy wohl nur als braindead bezeichnen kann) wird um ein weiteres hirntotes Konstrukt einer "Virenscan-Firewall" aufgestockt... besonders bemerkenswert, wie die Firma gute von bösen Tags unterscheiden will: Mit digitalen Signaturen! Von jedem "guten" Tag wird in der Firewall eine Signatur gespeichert; wird nun ein RFID-Tag eingelesen, wird dessen Signatur berechnet und in der Liste der "guten" Tags nachgesehen - findet man die Signatur dort, werden die Daten akzeptiert, sonst werden sie verworfen...

Wer spätestens jetzt aufsteht und laut "Bullshit!" ruft, darf sich bei mir hinten anstellen ;-) Wieso sollte jemand für teuer Geld ein umständliches Produkt kaufen, wenn ein solch trivialer Mechanismus nicht in der eigenen Software verankert werden kann?