Arhiv novic @ Slo-Tech

Schneier.com - O tem, da RFID tehnologija ni med najbolj varnimi smo že pisali. Da so torej ponovno uspeli "prilagoditi" RFID zaščito samo po sebi ne bi bilo nič nenavadnega, če tokrat "hekerji" ne bi bili prašiči.

In to v dobesednem pomenu. Na BBC namreč poročajo o prašičih iz neke prašičje farme, ki so ugotovili kako "shekati" RFID oznake tako, da dobijo več hrane.

Računalnik na farmi namreč vsakemu prašiču na podlagi njegove RFID identifikacije odmeri ustrezno količino hrane. Vendar pa so nekateri prašiči ugotovili, da je količina hrane vezana na RFID oznako in potem s pomočjo tuje RFID oznake prišli do dodatnega obroka.

Slo-Tech - Sledenje oblekam z RFID čipi je preprosto in priročno ter se pogosto uporablja v tekstilni industriji. Podobnega sistema se ne bi branili tudi v zdravstvenih ustanovah za sledenje perilu, ki je v pranju, a za to še ni bilo primernih RFID oznak. Bolnišnična oblačila je namreč treba oprati pri visoki temperaturi, ki odstrani bakterije, viruse in podobno nevarno zalego, a bi pranje skuhalo tudi RFID čip.

Na pomoč so priskočili pri Fujitsuju, kjer so izdelali trdoživo RFID oznako. Le-ta preživi do dve atmosferi (2 bar) pritiska in temperature do 120° C, kar je na varni strani temperature, pri kateri zavre voda. Obenem je sama oznaka tudi upogljiva, kar še dodatno olajša uporabo v zdravstvu. Sledenje oblačilom pri pranju bi bilo tako lažje, zdravstveni delavci pa bi sveža oblačila dobili mnogo hitreje.

Seveda obstaja tudi možnost sledenja delavcem.

Daily Mail - Nove osebne izkaznice, ki jih britanska vlada počasi uvaja in želi odpremiti vsem državljanom do leta 2012, naj bi bile odporne proti ponarejanju in zlorabam. A to ne drži, poroča The Daily Mail. Adam Laurie, znani britanski računalniški izvedenec, je namreč dobil v roke eno izmed 51.000 osebnih izkaznic, ki so jih prejeli tujci na začasnem delu ali študiju v Veliki Britaniji. Te izkaznice so podobne izkaznicam, ki jih bodo sčasoma prejeli tudi britanski državljani. Vsebujejo mikročipe s podatki o imetniku v elektronski obliki: ime, rojstni datum, fizične karakteristike, prstni odtis itn. Po besedah oblasti je čip neprebojen.

Laurie je uporabil svoj mobilni telefon in prenosni računalnik ter uspel informacije s čipa prekopirati v nekaj minutah. Nato je s pomočjo kolega na klonirano izkaznico zapisal spremenjene podatke in to na način, da so čitalniki še vedno označili izkaznico kot avtentično. Ker so na kartici tudi podatki o upravičenosti do socialnih transferjev ali pa napis Pozor, terorist. Streljajte!, je vse skupaj zelo delikatno. Kar hud udarec, saj bo celoten projekt Britance stal 5,4 milijarde funtov, pa še niti začel se dobro ni, ko je že odkrita resna ranljivost. Podrobnosti o napadu.

engadget - Da RFID tehnogija ni varna s(m)o nekateri opozarjali še preden so se svetovni politiki odločili uvesti RFID potne liste. Kmalu po uvedbi RFID potnih listov se je to dokazalo tudi v praksi.

Tokrat pa se je izkazalo tudi kako obsežne so lahko potencialne možnosti zlorabe. Raziskovalec Chris Paget je namreč posnel video v katerem se z 250 USD vrednim Motorolinim RFID čitalcem, anteno in prenosnikom zapelje po ulicah San Francisca ter odčitava in klonira potne liste, vozniška dovoljenja in druge idetifikacijske dokumente naključnih mimoidočih.

V 20 minutah je tako uspel sklonirati potna lista dveh nič hudega slutečih državljanov ter jima tako ukrasti identiteto.

Še dobro, da avta ni parkiral pred letališčem...

Schneier.com - Pred časom so se politiki po vsem svetu odločili uvesti biometrične RFID potne liste. Razlog je bila seveda povečana varnost, nove potne liste pa naj bi bilo tudi nemogoče ponarediti. Nekateri varnostni strokovnjaki so sicer opozarjali, da tako zlahka pač ne bo šlo, vendar so bili njihovi pomisleki brž zavrnjeni. Nove tehnologije vendar prinašajo le izboljšave in napredek!

Da zadeve nikakor niso rožnate se je izkazalo že kmalu, ko so različni raziskovalci pričeli odkrivati napake v implementaciji in celo sami zasnovi biometričnih potnih listov. Dokončen žebelj v krsto biometričnih potnih listov pa je očitno zabila skupina The Hacker's Choice, ki je na spletu objavila navodila kako si lahko vsakdo sam preprosto ponaredi čip v biometričnem potnem listu. Spreminjati je mogoče ime, priimek, nacionalnost in ostale podatke ter si naložiti poljubno sliko.

Postopek je preprost. Najprej je na prazno pametno kartico potrebno naložiti ustrezno programsko kodo (ki služi kot emulator), nato pa s pomočjo prirejene različice orodja RFIDI0t prebrati vsebino čipa na biometričnem potnem lisu ter spremenjeno vsebino naložiti na pametno kartico.

Kot je razvidno iz video prikaza objavljenega na THC spletni strani bi bilo mogoče s prirejenim potnim listom brez težav prečkati mejo, saj programska oprema mejnih organov pri branju ponarejenega biometričnega potnega lista ne zazna nikakršne napake.

In kot je razvidno iz videoprikaza je Elvis Presley še vedno živ. In ne samo to - ima tudi nov (biometrični) potni list!

Slashdot - Vsem uporabnikom dobro poznana oddaja Mythbusters, ki se načeloma ukvarja z razbijanjem sodobnih mitov in se je zadnje čase nekoliko oddaljila od svoje jedrne filozofije in zaplula tudi v bolj splošne vode, je posnela za svoje občinstvo tudi oddajo o pomankljivostih RFID čipov in kako preprosto je RFID tehnologijo obiti in zaradi pomanjkanja vsakršnih varnostnih mehanizmov pridobiti osebne podatke s katerimi je mogoče izvesti krajo identitete.

Tekom snemanja oddaje so za diskusijo o tehnologiji prosili tudi inženirja Texas Instruments, ki je največji proizvajalec RFID čipov na svetu. A vsakdanji intervju, ki bi ga naj opravil eden izmed voditeljev oddaje ter eden izmed producentov z inženirjem je bil vse prej kot to - namesto inženirja je na drugi strani konferenčnega klica sedel glavni pravni svetovalec American Express-a, Vise, Discover-ja in vseh ostalih proizvajalcev kreditnih kartic.

Z nadvse jasnim sporočilom, da naj oddaje ne predvajajo in v očitno podrejenem pravnem položaju (predvsem pa ker je Discovery odvisen od oglaševalcev) je Discovery sklenil, da oddaje ne bodo predvajali.



Ker so takšna ustrahovanja večjih korporacijah, ki živijo od dobre volje oglaševalcev popolnoma nesprejemljiva, si na alternativnih straneh lahko ogledate kar sta hotela prikazati slavna razbijalca mitov. Zagotavljanje varnostni s skrivanjem očitnega dejstva, da so na karticah z RFID čipom podatki shranjeni v plain text obliki vsekakor ne bo odvrnilo kriminalnih združb od še lažjega načina kraje identete, je pa to očiten primer ponovnega dajanja občutka varnostni, ko varnost dejansko ni prisotna.

Times Online - Kljub temu, da so RFID potne liste uvedli z namenom onemogočanja ponarejanja potnih listov, se pompozne napovedi politikov o povečani varnosti ne uresničujejo. Raziskovalec iz Univerze v Amsterdamu Jeroen van Beek je namreč za The Times prikazal uspešno kloniranje RFID potnih listov.

V prikazu je uporabil potna lista dojenčka in 36-letne ženske, na katera je zapisal sliki Osame bin Ladna ter palestinskega samomorilskega napadalca Hibe Darghmeha. Pri tem je uporabil čitalec RFID kartic za 40 britanskih funtov, dva RFID čipa za deset britanskih funtov, javno dostopno programsko opremo ter svojo lastno programsko opremo. Kloniranje in ponarejanje RFID čipa je trajalo manj kot uro, ponarejeni RFID čip pa je bil s strani uradno odobrene opreme za branje RFID potnih listov sprejet kot originalen.

Tako ponarejene potne liste bi bilo sicer mogoče odkriti s pomočjo posebnega imenika javnih ključev vseh RFID potnih listov, tim. Public Key Directory-em (PKD), v katerega pa se je od 45 držav, ki uporabljajo RFID potne liste prijavilo le deset, samo pet držav pa ta sistem tudi že uporablja.

V tem primeru preverjanje veljavnosti potnega lista vključuje tudi preverjanje ali se njegov javni ključ nahaja v PKD imeniku, a takšno preverjanje je pomankljivo dokler v PKD imenik javnih ključev svojih RFID potnih listov ne bodo vključevale prav vse države.

Naj mimogrede tudi spomnimo, da so neznanci prejšnji teden v Britaniji ukradli 3000 praznih RFID potnih listov. Očitno bo torej na področju varnosti še veselo, kot že mnogokrat pa se je tudi tokrat izkazalo da tehnologija sama po sebi ni čudežna rešitev za vse varnostne probleme. Tako so raziskovalci uspešno napadli tudi Mifarove RFID čipe, ki se uporabljajo v vozovnicah v javnem potniškem prometu. Pa veselo potovanje!

Schneier.com - Na Nizozemskem naj bi v javnem potniškem prometu v kratkem uvedli vozovnice RFID. Razvoj sistema je stal dve milijardi dolarjev, a Schneier in Tanenbaum iz Amsterdamske fakultete za naravoslovje poročata, da so sistem uspešno shekali, še preden je bil dokončno implementiran.

Prvi uspešen napad na nove vozovnice sta izvedla študenta Amsterdamske falkultete Siekerman in van der Schee. V poročilu sta pokazala, kako enkratno vozovnico resetirati in jo tako večkrat uporabiti.

Hkrati pa sta dva nemška varnostna strokovnjaka in hekerja Nohl in Plotz izvedla uspešen napad na čip, uporabljen na običajni vozovnici RFID. Uspela sta namreč odstraniti ovojnico čipa Mifare in fotografirati notranje vezje, na podlagi česar je mogoče sklepati o uporabljenem kriptografskem algoritmu. To dejstvo sicer še ne omogoča uspešnega napada na čip, je pa pomemben korak k njegovemu uspešnemu razbitju.

Člani nizozemskega parlamenta so omenjene študente že povabili na predstavitev rezultatov, Schneier pa dodaja, da jih gotovo zanimajo podrobnosti o tem, kako je mogoče zapraviti 2 milijardi dolarjev.

Guardian - "Da bi preprečili nove teroristične napade, je potrebno uvesti biometrične potne liste, ki jih kriminalci ne bodo mogli ponarediti. Z njimi bomo vsi bolj varni." Tako je šla mantra o potrebnosti novih biometričnih potnih listov, ki so jo začeli v ZDA, kmalu pa jo je začela prepevati še Evropa.

A kako je v resnici?

Danes je The Guardian objavil članek, kjer opisuje, kako je dvema britanskima raziskovalcema uspelo v britanski biometrični postni list dejansko tudi vdreti.

Raziskovalca sta namreč uspela razbiti šifrirno zaščito potnega lista (oziroma njegovega RFID-čipa) in s tem pridobila dostop do domnevno varne vsebine potnega lista. Vsebina potnega lista poleg osebnih podatkov vsebuje osebno fotografijo, v bodoče pa bo vsebovala tudi prstne odtise.

Izkazalo se je namreč, da komunikacija med RFID-čipom in čitalcem sicer poteka v šifriranem načinu (uporabljajo 3DES), vendar se šifrirni ključ nahaja na samem potnem listu! Ključ je namreč sestavljen iz številke potnega lista, rojstnega datuma imetnika in datuma prenehanja veljavnosti potnega lista, ti podatki pa so tudi strojno berljivi.

Sicer je res, da je (ponarejene) podatke na RFID-čip potem, ko je potni list enkrat izdan, nemogoče zapisovati, a kot je avgusta letos pokazal nemški raziskovalec Lukas Grunwald, je RFID-čipe v potnih listih mogoče uspešno klonirati. Grunwaldu je celo uspelo prenesti potni list na smartcard kartico, če pa je kartico vstavil v potni list, so RFID-čitalci prebrali le-to in ne potnega lista.

Ker pa je podatke na smartcard kartici mogoče poljubno zapisovati in spreminjati in ker je sedaj znano, kakšno je geslo za dostop do podatkov, je s tem odprta pot do ponarejanja podatkov na potnih listih. The Guardian podrobno opisuje več možnih scenarijev dostopa do gesla in možnosti za neopazno kloniranje potnega lista. Ob tem so stroški potrebne strojne opreme za napadalca pravzaprav minimalni, scenariji pa povsem realistični.

In potem bomo vsi varnejši in bomo srečno živeli do konca svojih dni ...

Slo-Tech - Ker je internet vse bolj nadziran, sniffan, kontroliran in cenzuriran, se vse več ljudi zateka k močni kriptografiji, ki omogoča varno pošiljanje zasebnih elektronskih sporočil. Eden večjih problemov pa je, kako si na varen način izmenjati javne ključe, da bodo ti zagotovo verodostojni.

Če bi torej rad, svoj javni ključ varno spravili do čimveč ljudi in zagotovili čimveč podpisov na njem, je danes v Kiberpipi na festivalu HAIP ob 20.00 idealna priložnost.

Ne potrebujete niti diskete, le prej morate odposlati svoj ključ po e-pošti in si natisniti določene podatke na list papirja.

Navodila: Vse, ki se mislite udeležiti današnjega srečanja s podpisovanjem javnih ključev GPG/PGP (keysigning party), prosimo, da pošljete svoj javni ključ GPG/PGP skupaj s svojim imenom in priimkom na e-poštni naslov keysign@kiberpipa.org. Če uporabljate GPG, lahko ključ dobite z ukazom "gpg --armor --export vase_ime". Na srečanje prinesite dve vrsti dokumenta s sliko (na primer vozniško dovoljenje in osebno izkaznico), pisalo ter podatke o svojem javnem ključu, ki ste ga prej poslali na zgornji naslov (Key ID, Key Type, Hex Fingerprint in Key Size). Podatke lahko dobite z ukazom "gpg --fingerprint vase_ime".

Če GPG-ključa še nimate, vam vsekakor priporočamo, da si preberete how-to in si ga čimprej ustvarite.

RFID News - Kot poroča RFIDNews, v Veliki Britaniji razmišljajo o tem, da bi v avtomobilske tablice vgradili identifikacijske RFID čipe, ki jih je mogoče odčitati iz razdalje do 100 metrov in pri hitrosti do 320 km/h.
Britanci nameravajo postaviti tudi fiksno omrežje čitalcev, na voljo pa bodo tudi mobilni čitalci za policijska vozila in ročni čitalci. Čitalci bodo stalno povezani s centralno bazo vozil.

In ja, ne piše se leto 1984...

Slo-Tech - V času vsesplošne paranoje pred teroristi in "teroristi" so se ameriške oblasti odločile zagnati projekt US-VISIT (United States Visitor and Immigrant Status Indicator Technology). Program predvideva zbiranje osebnih podatkov za vse tujce, ki za vstop v ZDA potrebujejo vizum, osebni podatki pa vključujejo med drugim tudi fotografiranje in oddajo prstnih odtisov. Celoten postopek naj bi trajal okrog 15 sekund.
Za državljane 28 držav, ki so vključene v program visa waiver oz., ki za obisk ZDA do 90 dni ne potrebujejo vizuma pa ta program ne velja, vendar...
Vendar pa ZDA zahtevajo, da te države v svoje potne liste po 26. oktobru vključijo biometrične podatke, sicer bodo njihovi državljani ob vstopu v ZDA obravnavani na enak način kot državljani drugih držav, ki za vstop potrebujejo vizo.

Ministrstvo za notranje zadeve RS je tako 12. januarja izdalo sporočilo za javnost, iz katerega je moč razbrati, da bodo imeli novi slovenski biometrični potni listi vgrajene brezkontaktne čipe z "najmanj 32 kilobajtov" pomnilnika, v katerih bodo shranjeni vsaj fotografija in prstni odtis (ter seveda standardni identifikacijski podatki posameznika, kot npr. ime, priimek, naslov, itd). Te podatke bodo mejni organi ZDA (verjetno pa se jim bodo kmalu pridružile tudi druge države) seveda lahko prebrali in zabeležili.

Izdelava biometričnih potnih listov je verjetno precejšen tehničen zalogaj, hkrati pa ni dvoma, da uporaba biometričnih tehnologij korenito posega v zasebnost posameznikov, kar bo verjetno povzročilo kar nekaj protestov. Iz teh razlogov so se pri MNZju očitno odločili za taktiko majhnih korakov - zamenjava potnih listov ne bo opravljena na vrat na nos, pač pa bo potekala postopoma. Stari potni listi bodo ostali veljavni do izteka njihove veljavnosti, novo izdani pa bodo vsebovali biometrično tehnologijo.

Kljub temu, da ima biometrična tehnologija nekaj očitnih prednosti, pa se zastavlja kar nekaj vprašanj. Na primer vprašanje odpornosti brezkontaktnih čipov na obsevanje z radijskimi valovi v mikrovalovni pečici, predvsem pa vprašanje zasebnosti posameznikov. Dejstvo je, da je zbiranje fotografij in prstnih odtisov v navadi v totalitarnih režimih, v demokratičnih državah pa so mu bili do sedaj podvrženi le kriminalci. Očitno smo v družbi, kjer "teroristi" prežijo od vsepovsod vsi obravnavani kot (potencialni) kriminalci. Prav tako se postavlja tudi vprašanje dostopa do teh podatkov v kakšne druge namene, npr. uporabo čitalcev brezkontaktnih čipov ne samo pri prehodu meje, pač pa tudi ob vstopu na določena območja ali stavbe, oziroma spremljanje gibanja lastnikov takšnih potnih listih. Na podoben problem so že opozorili raziskovalci Alberto Escudero-Pascual, Stephane Koch in George Danezis, ki so odkrili, da so bile identifikacijske izkaznice udeležencev decemberskega Svetovnega vrha o informacijski družbi opremljene z RFID čipi, kar omogoča indentifikacijo gibanja (in druženja) vsakega posameznika.

Zanimivi pa so tudi komentarji in analiza programa ADIS (Arrival Departure Information System - gre za del sistema US-VISIT), ki jih je EPIC posredoval Ministrstvu za domovinsko varnost. EPIC v svoji analizi ugotavlja, da se bo v okviru programa ADIS zbiralo veliko število osebnih podatkov, ti podatki pa ne bodo varovani v skladu z mednarodnimi standardi varovanja informacijske zasebnosti, poleg tega pa je predvidena doba hranjenja teh podatkov 100 let (!), kar ni v skladu z zahtevo, da se podatki ne smejo hraniti dlje časa, kot je to potrebno za dosego namena, zaradi katerega so bili obdelovani.

EPIC opozarja predvsem na naslednja neskladja s sprejetimi mednarodnimi standardi: Ministrstvo za domovinsko varnost posameznikom ne bo omogočilo vpogleda v njihove osebne podatke, posameznik ne bo mogel zahtevati popravka napačnih podatkov, ministrstvo pri zbiranju podatkov ne bo omejeno samo za zbiranje tistih osebnih podatkov, ki jih potrebuje za izvajanje svojih zakonskih nalog, pač pa bo lahko zbiralo praktično katerekoli podatke, prav tako pa ministrstvo ne bo dolžno osebi razkriti seznama posameznikov in ustanov, ki jim je posredovalo njegove osebne podatke.

Ker je nivo varstva informacijske zasebnosti oseb, ki bodo obravnavane s programom ADIS bistveno nižji, kot nivo varovanja zasebnosti ameriških državljanov, EPIC ugotavlja, da je ta program tudi v neskladju z Splošno deklaracijo človekovih pravic, pa tudi z leta 1980 sprejetimi Smernicami o zaščiti zasebnosti OECD ter Smernicami o avtomatiziranih zbirkah osebnih podatkov, ki jih je leta 1990 sprejela OZN.

Prav tako je ta program v neskladju z obstoječo slovensko zakonodajo, oziroma pravicami, ki jih posamezniku podeljuje slovenski Zakon o varstvu osebnih podatkov. Slovenski zakon namreč v 24. členu o iznosu osebnih podatkov iz države pravi, da je ta dopusten le v primeru, da ima država, v katero se iznašajo, urejeno varstvo osebnih podatkov, ki obsega tudi tuje državljane. Sicer se 24. člen nanaša samo na posredovanje s strani upravljalca zbirke osebnih podatkov, kljub temu pa duh zakona in mednarodni standardi zahtevajo enako varstvo zasebnosti za vsakogar, ne glede na državljanstvo, raso ali kakšno drugo pripadnost.

To pa so vprašanja, ki si jih na našem Ministrstvu za notranje zadeve očitno ne zastavljajo in od ZDA ne zahtevajo, naj za slovenske državljane zagotovi enake pravice iz naslova informacijske zasebnosti, kot veljajo za državljane ZDA. Za razliko od vprašanja Izbrisanih, kjer se je glede morebitnih odškodnin takoj izpostavilo vprašanje ali lahko manjša skupina posameznikov uveljavi svoje pravice (ne ugodnosti!) na račun večje skupine posameznikov, se pri vprašanju uvedbe biometrije zaradi ameriških zahtev nihče ne vpraša ali je smiselno za zagotavljanje ugodnosti (t.j. izognitev postopku fotografiranja in oddaje prstnega odtisa ob vstopu v ZDA) za omejeno število slovenskih državljanov, ki potujejo v ZDA, omejiti in ogroziti pravice vseh slovenskih državljanov.

Slovenski državljani, ki potujejo v ZDA, pa naj jih bo še tako malo, so očitno posebna kasta... kot kaže, pa se bo tudi tokrat izkazalo, da naša vlada na ameriške zahteve ne odgovori "zakaj", pač pa le "do kdaj"...

Slo-Techov nabiralnik - NEC zopet povzroča navdušenje med pripadniki močnejšega spola, ki se kar ne morejo upreti novosti, zelooo velikemu plazma televizorju. Diagonala 155 cm pove več kot dovolj o ustreznih dimenzijah te zveri, ki pa se ponaša s ceno 18.000 britanskih funtov. Slovensko ceno si izračunajte sami, vendar le, če niste srčni bolnik. Kakorkoli že, za ta denar dobimo zelo veliko. Izredna slika, priklop do petih naprav, slika v sliki, možnost prikaza slike iz računalnika in ohišje iz magnezijevega oksida. Funkcij je malo morje, vseh na tem mestu ne bom opisoval, kaj več o televizorju pa dobite tukaj.

Kociju hvala. Ker sem hudoben, sem izračunal približno ceno v slovenskih tolarjih. Vzemivši, da je angleški funt nekje 345 sit... ~ 6.210.000 sit. Če želite kupiti na 36 mesečnih obrokov, bi to zneslo nekje 172.500 sit mesečno.

Vnunet - Zagrizeni Kvejkaši in UTjaši ste si verjetno že dobili novo 'kožico' za svoje ne-priljubljene bote v obliki Osame bin Ladna. Za one, ki pa vam to še ni uspelo, pa Klik!. Osama je na voljo v obliki za Quake III, Unreal Tournament ter Simovčke . Veselo fraganje!