2009-10-27 10:09 Źródło: Bankier.pl
Paszporty biometryczne zagrożone
Paszporty biometryczne to krzyk technologiczny ostatnich czasów. Mają ułatwić życie ich właścicielom i dostarczyć kompletnej informacji podmiotom z nich korzystającym. Pozostaje pytanie czy posiadacze takich paszportów mogą być spokojni o informacje zapisane na karcie umieszczonej w paszporcie? Eksperci twierdzą, że nie.
Duża część stosowanych w Europie paszportów biometrycznych wykorzystuje technologie RFID. Ta dzięki swej wygodzie zyskuje coraz większą popularność w wielu systemach służących do autoryzacji. Na czym polega wygoda RFID?
Metki RFID podczas swojej weryfikacji nie wymagają fizycznego kontaktu z czytnikiem. Wystarczy zbliżyć kartę do czytnika, który wysyła drogą radiową stosowny sygnał aktywacyjny, po czym tag RFID odpowiada informacjami służącymi do weryfikacji posiadacza karty. Tu pojawia się pytanie, jak zweryfikować, czy posiadacz karty jest jej faktycznym właścicielem? O odpowiedź na nie powinni zadbać producenci tagów i oprogramowania. Wszystko wskazuje na to, że po raz kolejny zapomnieli o tym jakże istotnym szczególe.
Dodatkowym zagrożeniem jest ilość informacji, jaką można przechowywać na metce (tagu) RFID. Pojemność pamięci jest naprawdę spora, a zamieszczane w niej dane to informacje wrażliwe, jak adres zamieszkania, PESEL czy data urodzenia. Jeśli wyobrazimy sobie, że te dane mogą zostać w łatwy sposób odczytane i wykorzystane przez osoby trzecie, możemy poczuć się w prawdziwym niebezpieczeństwie.
Specjaliści ze Słowackiej firmy Nethemba pod przewodnictwem Pawła Luptak'a opracowali pierwsze poprawnie działające narzędzie służące do ataku offline na karty zbudowane w oparciu o RFiD. Specjaliści z branży pamiętają niepokojące doniesienia na temat bezpieczeństwa RFID, które pochodziły z Holandii. Warto podkreślić, że poprzednie próby były tylko teoretyczne i do implementacji było im jeszcze daleko. Paweł Luptak podczas prezentacji na CONFidence zademonstruje atak off-line, który umożliwia dowolną modyfikację kart. Najgorsze, że do złamania zabezpieczeń tagów RFID, często nie są potrzebne specjalne, kosztowne narzędzia.
Z czego wynikaj wyżej opisane błędy? Bardzo często firmy zajmujące się wdrożeniami technologii w oparciu o RFiD popełniają tak trywialne pomyłki, jak stosowanie identycznego hasła do urządzeń. Dzięki temu, zgodnie z potwierdzonymi badaniami Pawła Luptak’a, umożliwiają oszustom kopiowanie karty z 99,6% skutecznością. Cały podręczny zestaw służący do kopiowania kart to koszt około 500Euro.
Wprowadzanie nowinek technicznych często wiąże się z niedoskonałością ich funkcjonowania. Potrzeba czasu, by specjaliści mogli wykryć wszystkie usterki, których modyfikacja usprawni działanie narzędzia. Paszporty biometryczne to wyjątkowo wrażliwe nośniki informacji i zbyt pochopne wprowadzenie ich do funkcjonowania może przyczynić się do wielu ludzkich nieszczęść.
Andrzej Targosz
Przeczytaj więcej w sekcji Domowe finanse.
Duża część stosowanych w Europie paszportów biometrycznych wykorzystuje technologie RFID. Ta dzięki swej wygodzie zyskuje coraz większą popularność w wielu systemach służących do autoryzacji. Na czym polega wygoda RFID?
Metki RFID podczas swojej weryfikacji nie wymagają fizycznego kontaktu z czytnikiem. Wystarczy zbliżyć kartę do czytnika, który wysyła drogą radiową stosowny sygnał aktywacyjny, po czym tag RFID odpowiada informacjami służącymi do weryfikacji posiadacza karty. Tu pojawia się pytanie, jak zweryfikować, czy posiadacz karty jest jej faktycznym właścicielem? O odpowiedź na nie powinni zadbać producenci tagów i oprogramowania. Wszystko wskazuje na to, że po raz kolejny zapomnieli o tym jakże istotnym szczególe.
Dodatkowym zagrożeniem jest ilość informacji, jaką można przechowywać na metce (tagu) RFID. Pojemność pamięci jest naprawdę spora, a zamieszczane w niej dane to informacje wrażliwe, jak adres zamieszkania, PESEL czy data urodzenia. Jeśli wyobrazimy sobie, że te dane mogą zostać w łatwy sposób odczytane i wykorzystane przez osoby trzecie, możemy poczuć się w prawdziwym niebezpieczeństwie.
Specjaliści ze Słowackiej firmy Nethemba pod przewodnictwem Pawła Luptak'a opracowali pierwsze poprawnie działające narzędzie służące do ataku offline na karty zbudowane w oparciu o RFiD. Specjaliści z branży pamiętają niepokojące doniesienia na temat bezpieczeństwa RFID, które pochodziły z Holandii. Warto podkreślić, że poprzednie próby były tylko teoretyczne i do implementacji było im jeszcze daleko. Paweł Luptak podczas prezentacji na CONFidence zademonstruje atak off-line, który umożliwia dowolną modyfikację kart. Najgorsze, że do złamania zabezpieczeń tagów RFID, często nie są potrzebne specjalne, kosztowne narzędzia.
Z czego wynikaj wyżej opisane błędy? Bardzo często firmy zajmujące się wdrożeniami technologii w oparciu o RFiD popełniają tak trywialne pomyłki, jak stosowanie identycznego hasła do urządzeń. Dzięki temu, zgodnie z potwierdzonymi badaniami Pawła Luptak’a, umożliwiają oszustom kopiowanie karty z 99,6% skutecznością. Cały podręczny zestaw służący do kopiowania kart to koszt około 500Euro.
Wprowadzanie nowinek technicznych często wiąże się z niedoskonałością ich funkcjonowania. Potrzeba czasu, by specjaliści mogli wykryć wszystkie usterki, których modyfikacja usprawni działanie narzędzia. Paszporty biometryczne to wyjątkowo wrażliwe nośniki informacji i zbyt pochopne wprowadzenie ich do funkcjonowania może przyczynić się do wielu ludzkich nieszczęść.
Andrzej Targosz
Przeczytaj więcej w sekcji Domowe finanse.
Dodaj komentarz
