Slo-Tech

Schneier.com - Pred časom so se politiki po vsem svetu odločili uvesti biometrične RFID potne liste. Razlog je bila seveda povečana varnost, nove potne liste pa naj bi bilo tudi nemogoče ponarediti. Nekateri varnostni strokovnjaki so sicer opozarjali, da tako zlahka pač ne bo šlo, vendar so bili njihovi pomisleki brž zavrnjeni. Nove tehnologije vendar prinašajo le izboljšave in napredek!

Da zadeve nikakor niso rožnate se je izkazalo že kmalu, ko so različni raziskovalci pričeli odkrivati napake v implementaciji in celo sami zasnovi biometričnih potnih listov. Dokončen žebelj v krsto biometričnih potnih listov pa je očitno zabila skupina The Hacker's Choice, ki je na spletu objavila navodila kako si lahko vsakdo sam preprosto ponaredi čip v biometričnem potnem listu. Spreminjati je mogoče ime, priimek, nacionalnost in ostale podatke ter si naložiti poljubno sliko.

Postopek je preprost. Najprej je na prazno pametno kartico potrebno naložiti ustrezno programsko kodo (ki služi kot emulator), nato pa s pomočjo prirejene različice orodja RFIDI0t prebrati vsebino čipa na biometričnem potnem lisu ter spremenjeno vsebino naložiti na pametno kartico.

Kot je razvidno iz video prikaza objavljenega na THC spletni strani bi bilo mogoče s prirejenim potnim listom brez težav prečkati mejo, saj programska oprema mejnih organov pri branju ponarejenega biometričnega potnega lista ne zazna nikakršne napake.

In kot je razvidno iz videoprikaza je Elvis Presley še vedno živ. In ne samo to - ima tudi nov (biometrični) potni list!

Times Online - Kljub temu, da so RFID potne liste uvedli z namenom onemogočanja ponarejanja potnih listov, se pompozne napovedi politikov o povečani varnosti ne uresničujejo. Raziskovalec iz Univerze v Amsterdamu Jeroen van Beek je namreč za The Times prikazal uspešno kloniranje RFID potnih listov.

V prikazu je uporabil potna lista dojenčka in 36-letne ženske, na katera je zapisal sliki Osame bin Ladna ter palestinskega samomorilskega napadalca Hibe Darghmeha. Pri tem je uporabil čitalec RFID kartic za 40 britanskih funtov, dva RFID čipa za deset britanskih funtov, javno dostopno programsko opremo ter svojo lastno programsko opremo. Kloniranje in ponarejanje RFID čipa je trajalo manj kot uro, ponarejeni RFID čip pa je bil s strani uradno odobrene opreme za branje RFID potnih listov sprejet kot originalen.

Tako ponarejene potne liste bi bilo sicer mogoče odkriti s pomočjo posebnega imenika javnih ključev vseh RFID potnih listov, tim. Public Key Directory-em (PKD), v katerega pa se je od 45 držav, ki uporabljajo RFID potne liste prijavilo le deset, samo pet držav pa ta sistem tudi že uporablja.

V tem primeru preverjanje veljavnosti potnega lista vključuje tudi preverjanje ali se njegov javni ključ nahaja v PKD imeniku, a takšno preverjanje je pomankljivo dokler v PKD imenik javnih ključev svojih RFID potnih listov ne bodo vključevale prav vse države.

Naj mimogrede tudi spomnimo, da so neznanci prejšnji teden v Britaniji ukradli 3000 praznih RFID potnih listov. Očitno bo torej na področju varnosti še veselo, kot že mnogokrat pa se je tudi tokrat izkazalo da tehnologija sama po sebi ni čudežna rešitev za vse varnostne probleme. Tako so raziskovalci uspešno napadli tudi Mifarove RFID čipe, ki se uporabljajo v vozovnicah v javnem potniškem prometu. Pa veselo potovanje!

Schneier.com - Na Nizozemskem naj bi v javnem potniškem prometu v kratkem uvedli vozovnice RFID. Razvoj sistema je stal dve milijardi dolarjev, a Schneier in Tanenbaum iz Amsterdamske fakultete za naravoslovje poročata, da so sistem uspešno shekali, še preden je bil dokončno implementiran.

Prvi uspešen napad na nove vozovnice sta izvedla študenta Amsterdamske falkultete Siekerman in van der Schee. V poročilu sta pokazala, kako enkratno vozovnico resetirati in jo tako večkrat uporabiti.

Hkrati pa sta dva nemška varnostna strokovnjaka in hekerja Nohl in Plotz izvedla uspešen napad na čip, uporabljen na običajni vozovnici RFID. Uspela sta namreč odstraniti ovojnico čipa Mifare in fotografirati notranje vezje, na podlagi česar je mogoče sklepati o uporabljenem kriptografskem algoritmu. To dejstvo sicer še ne omogoča uspešnega napada na čip, je pa pomemben korak k njegovemu uspešnemu razbitju.

Člani nizozemskega parlamenta so omenjene študente že povabili na predstavitev rezultatov, Schneier pa dodaja, da jih gotovo zanimajo podrobnosti o tem, kako je mogoče zapraviti 2 milijardi dolarjev.

Guardian - "Da bi preprečili nove teroristične napade, je potrebno uvesti biometrične potne liste, ki jih kriminalci ne bodo mogli ponarediti. Z njimi bomo vsi bolj varni." Tako je šla mantra o potrebnosti novih biometričnih potnih listov, ki so jo začeli v ZDA, kmalu pa jo je začela prepevati še Evropa.

A kako je v resnici?

Danes je The Guardian objavil članek, kjer opisuje, kako je dvema britanskima raziskovalcema uspelo v britanski biometrični postni list dejansko tudi vdreti.

Raziskovalca sta namreč uspela razbiti šifrirno zaščito potnega lista (oziroma njegovega RFID-čipa) in s tem pridobila dostop do domnevno varne vsebine potnega lista. Vsebina potnega lista poleg osebnih podatkov vsebuje osebno fotografijo, v bodoče pa bo vsebovala tudi prstne odtise.

Izkazalo se je namreč, da komunikacija med RFID-čipom in čitalcem sicer poteka v šifriranem načinu (uporabljajo 3DES), vendar se šifrirni ključ nahaja na samem potnem listu! Ključ je namreč sestavljen iz številke potnega lista, rojstnega datuma imetnika in datuma prenehanja veljavnosti potnega lista, ti podatki pa so tudi strojno berljivi.

Sicer je res, da je (ponarejene) podatke na RFID-čip potem, ko je potni list enkrat izdan, nemogoče zapisovati, a kot je avgusta letos pokazal nemški raziskovalec Lukas Grunwald, je RFID-čipe v potnih listih mogoče uspešno klonirati. Grunwaldu je celo uspelo prenesti potni list na smartcard kartico, če pa je kartico vstavil v potni list, so RFID-čitalci prebrali le-to in ne potnega lista.

Ker pa je podatke na smartcard kartici mogoče poljubno zapisovati in spreminjati in ker je sedaj znano, kakšno je geslo za dostop do podatkov, je s tem odprta pot do ponarejanja podatkov na potnih listih. The Guardian podrobno opisuje več možnih scenarijev dostopa do gesla in možnosti za neopazno kloniranje potnega lista. Ob tem so stroški potrebne strojne opreme za napadalca pravzaprav minimalni, scenariji pa povsem realistični.

In potem bomo vsi varnejši in bomo srečno živeli do konca svojih dni ...

Slo-Tech - V času vsesplošne paranoje pred teroristi in "teroristi" so se ameriške oblasti odločile zagnati projekt US-VISIT (United States Visitor and Immigrant Status Indicator Technology). Program predvideva zbiranje osebnih podatkov za vse tujce, ki za vstop v ZDA potrebujejo vizum, osebni podatki pa vključujejo med drugim tudi fotografiranje in oddajo prstnih odtisov. Celoten postopek naj bi trajal okrog 15 sekund.
Za državljane 28 držav, ki so vključene v program visa waiver oz., ki za obisk ZDA do 90 dni ne potrebujejo vizuma pa ta program ne velja, vendar...
Vendar pa ZDA zahtevajo, da te države v svoje potne liste po 26. oktobru vključijo biometrične podatke, sicer bodo njihovi državljani ob vstopu v ZDA obravnavani na enak način kot državljani drugih držav, ki za vstop potrebujejo vizo.

Ministrstvo za notranje zadeve RS je tako 12. januarja izdalo sporočilo za javnost, iz katerega je moč razbrati, da bodo imeli novi slovenski biometrični potni listi vgrajene brezkontaktne čipe z "najmanj 32 kilobajtov" pomnilnika, v katerih bodo shranjeni vsaj fotografija in prstni odtis (ter seveda standardni identifikacijski podatki posameznika, kot npr. ime, priimek, naslov, itd). Te podatke bodo mejni organi ZDA (verjetno pa se jim bodo kmalu pridružile tudi druge države) seveda lahko prebrali in zabeležili.

Izdelava biometričnih potnih listov je verjetno precejšen tehničen zalogaj, hkrati pa ni dvoma, da uporaba biometričnih tehnologij korenito posega v zasebnost posameznikov, kar bo verjetno povzročilo kar nekaj protestov. Iz teh razlogov so se pri MNZju očitno odločili za taktiko majhnih korakov - zamenjava potnih listov ne bo opravljena na vrat na nos, pač pa bo potekala postopoma. Stari potni listi bodo ostali veljavni do izteka njihove veljavnosti, novo izdani pa bodo vsebovali biometrično tehnologijo.

Kljub temu, da ima biometrična tehnologija nekaj očitnih prednosti, pa se zastavlja kar nekaj vprašanj. Na primer vprašanje odpornosti brezkontaktnih čipov na obsevanje z radijskimi valovi v mikrovalovni pečici, predvsem pa vprašanje zasebnosti posameznikov. Dejstvo je, da je zbiranje fotografij in prstnih odtisov v navadi v totalitarnih režimih, v demokratičnih državah pa so mu bili do sedaj podvrženi le kriminalci. Očitno smo v družbi, kjer "teroristi" prežijo od vsepovsod vsi obravnavani kot (potencialni) kriminalci. Prav tako se postavlja tudi vprašanje dostopa do teh podatkov v kakšne druge namene, npr. uporabo čitalcev brezkontaktnih čipov ne samo pri prehodu meje, pač pa tudi ob vstopu na določena območja ali stavbe, oziroma spremljanje gibanja lastnikov takšnih potnih listih. Na podoben problem so že opozorili raziskovalci Alberto Escudero-Pascual, Stephane Koch in George Danezis, ki so odkrili, da so bile identifikacijske izkaznice udeležencev decemberskega Svetovnega vrha o informacijski družbi opremljene z