Povezane novice
Izpis novic (3 zadetki)
- povezano z: Discovery umaknil oddajo o ranljivostih RFID
Discovery umaknil oddajo o ranljivostih RFID
- oznake: N/A
Slashdot - Vsem uporabnikom dobro poznana oddaja Mythbusters, ki se načeloma ukvarja z razbijanjem sodobnih mitov in se je zadnje čase nekoliko oddaljila od svoje jedrne filozofije in zaplula tudi v bolj splošne vode, je posnela za svoje občinstvo tudi oddajo o pomankljivostih RFID čipov in kako preprosto je RFID tehnologijo obiti in zaradi pomanjkanja vsakršnih varnostnih mehanizmov pridobiti osebne podatke s katerimi je mogoče izvesti krajo identitete.
Tekom snemanja oddaje so za diskusijo o tehnologiji prosili tudi inženirja Texas Instruments, ki je največji proizvajalec RFID čipov na svetu. A vsakdanji intervju, ki bi ga naj opravil eden izmed voditeljev oddaje ter eden izmed producentov z inženirjem je bil vse prej kot to - namesto inženirja je na drugi strani konferenčnega klica sedel glavni pravni svetovalec American Express-a, Vise, Discover-ja in vseh ostalih proizvajalcev kreditnih kartic.
Z nadvse jasnim sporočilom, da naj oddaje ne predvajajo in v očitno podrejenem pravnem položaju (predvsem pa ker je Discovery odvisen od oglaševalcev) je Discovery sklenil, da oddaje ne bodo predvajali.
Ker so takšna ustrahovanja večjih korporacijah, ki živijo od dobre volje oglaševalcev popolnoma nesprejemljiva, si na alternativnih straneh lahko ogledate kar sta hotela prikazati slavna razbijalca mitov. Zagotavljanje varnostni s skrivanjem očitnega dejstva, da so na karticah z RFID čipom podatki shranjeni v plain text obliki vsekakor ne bo odvrnilo kriminalnih združb od še lažjega načina kraje identete, je pa to očiten primer ponovnega dajanja občutka varnostni, ko varnost dejansko ni prisotna.
Tekom snemanja oddaje so za diskusijo o tehnologiji prosili tudi inženirja Texas Instruments, ki je največji proizvajalec RFID čipov na svetu. A vsakdanji intervju, ki bi ga naj opravil eden izmed voditeljev oddaje ter eden izmed producentov z inženirjem je bil vse prej kot to - namesto inženirja je na drugi strani konferenčnega klica sedel glavni pravni svetovalec American Express-a, Vise, Discover-ja in vseh ostalih proizvajalcev kreditnih kartic.
Z nadvse jasnim sporočilom, da naj oddaje ne predvajajo in v očitno podrejenem pravnem položaju (predvsem pa ker je Discovery odvisen od oglaševalcev) je Discovery sklenil, da oddaje ne bodo predvajali.
Ker so takšna ustrahovanja večjih korporacijah, ki živijo od dobre volje oglaševalcev popolnoma nesprejemljiva, si na alternativnih straneh lahko ogledate kar sta hotela prikazati slavna razbijalca mitov. Zagotavljanje varnostni s skrivanjem očitnega dejstva, da so na karticah z RFID čipom podatki shranjeni v plain text obliki vsekakor ne bo odvrnilo kriminalnih združb od še lažjega načina kraje identete, je pa to očiten primer ponovnega dajanja občutka varnostni, ko varnost dejansko ni prisotna.
- Kraja mobilne identitete :: 16. sep 2004
- Biometrični potni listi tudi v Sloveniji? :: 14. jan 2004
Kraja mobilne identitete
- oznake: N/A
Crypto-Gram - Crypto-Gram piše o novem načinu ponarejanja identitete s pomočjo mobilnih telefonov.
Schneier namreč poroča, da je nekdo iz Finske ugotovil, da imajo mobilni telefoni znamke Nokia pomembno pomanjkljivost. Ko namreč telefon sprejme klic, v imeniku preveri ali ima vpisano klicočo številko in če jo ima, na zaslonu izpiše ime klicatelja. Vendar pa 'Caller ID' funkcija deluje nepopolno. Mobilni telefon namreč v imeniku ne preveri celotne številke, pač pa samo telefonsko številko in zadnjo cifro omrežne številke.
Konkretno to pomeni, da se bonekomu, ki ima v imeniku pod številko 031 123456 vpisano ime A, in ga pokliče nekdo iz številke 041 123456, na zaslonu telefona izpisalo ime A. Zadeva deluje tako za telefonske klice, kot za pošiljanje SMS sporočil.
Napad pa smo preiskusili tudi sami in dejansko deluje tudi v Sloveniji in to ne samo z mobilnimi telefoni znamke Nokia. Pri preiskusu sta bila uporabljena telefona znamke Siemens in Nokia, zelo verjetno pa so ranljivi tudi drugi telefoni.
Preiskus je potekal tako, da je prva oseba v telefon vpisala število klicatelja, ki je klical iz omrežne skupine 031. V primeru, da je bila v pomnilnik telefona vpisana omrežna skupina 041, 051, ali celo 091, sta oba telefona izpisala ime klicatelja iz pomnilnika, ne glede na vpisano omrežno skupino. V primeru, da je bila v telefon vpisana omrežna skupina 040, 050, itd, pa telefon ni našel imena v pomnilniku in je (pravilno) izpisal telefonsko številko klicatelja.
Kaj to pomeni v praksi? Če napadalec ve telefonsko številko žrtve in uspe dobiti SIM kartico z enako številko iz druge omrežne skupine, bi lahko osebam, ki imajo žrtvino telefonsko številko v pomnilniku svojega mobilnega telefona pošiljal lažna SMS sporočila. Vsekakor zanimiv način kraje identitete, ki bi imel lahko v nekaterih primerih za žrtve precej resne posledice.
Kakšna je že telefonska številka predsednika vlade in njegove tajnice?
Schneier namreč poroča, da je nekdo iz Finske ugotovil, da imajo mobilni telefoni znamke Nokia pomembno pomanjkljivost. Ko namreč telefon sprejme klic, v imeniku preveri ali ima vpisano klicočo številko in če jo ima, na zaslonu izpiše ime klicatelja. Vendar pa 'Caller ID' funkcija deluje nepopolno. Mobilni telefon namreč v imeniku ne preveri celotne številke, pač pa samo telefonsko številko in zadnjo cifro omrežne številke.
Konkretno to pomeni, da se bonekomu, ki ima v imeniku pod številko 031 123456 vpisano ime A, in ga pokliče nekdo iz številke 041 123456, na zaslonu telefona izpisalo ime A. Zadeva deluje tako za telefonske klice, kot za pošiljanje SMS sporočil.
Napad pa smo preiskusili tudi sami in dejansko deluje tudi v Sloveniji in to ne samo z mobilnimi telefoni znamke Nokia. Pri preiskusu sta bila uporabljena telefona znamke Siemens in Nokia, zelo verjetno pa so ranljivi tudi drugi telefoni.
Preiskus je potekal tako, da je prva oseba v telefon vpisala število klicatelja, ki je klical iz omrežne skupine 031. V primeru, da je bila v pomnilnik telefona vpisana omrežna skupina 041, 051, ali celo 091, sta oba telefona izpisala ime klicatelja iz pomnilnika, ne glede na vpisano omrežno skupino. V primeru, da je bila v telefon vpisana omrežna skupina 040, 050, itd, pa telefon ni našel imena v pomnilniku in je (pravilno) izpisal telefonsko številko klicatelja.
Kaj to pomeni v praksi? Če napadalec ve telefonsko številko žrtve in uspe dobiti SIM kartico z enako številko iz druge omrežne skupine, bi lahko osebam, ki imajo žrtvino telefonsko številko v pomnilniku svojega mobilnega telefona pošiljal lažna SMS sporočila. Vsekakor zanimiv način kraje identitete, ki bi imel lahko v nekaterih primerih za žrtve precej resne posledice.
Kakšna je že telefonska številka predsednika vlade in njegove tajnice?
- Spletno pretvarjanje v porastu :: 5. jan 2009
- Discovery umaknil oddajo o ranljivostih RFID :: 1. sep 2008
- Od sedaj anti-virusni programi tudi za mobilne telefone :: 26. sep 2004
Biometrični potni listi tudi v Sloveniji?
- oznake: N/A
Slo-Tech - V času vsesplošne paranoje pred teroristi in "teroristi" so se ameriške oblasti odločile zagnati projekt US-VISIT (United States Visitor and Immigrant Status Indicator Technology). Program predvideva zbiranje osebnih podatkov za vse tujce, ki za vstop v ZDA potrebujejo vizum, osebni podatki pa vključujejo med drugim tudi fotografiranje in oddajo prstnih odtisov. Celoten postopek naj bi trajal okrog 15 sekund.
Za državljane 28 držav, ki so vključene v program visa waiver oz., ki za obisk ZDA do 90 dni ne potrebujejo vizuma pa ta program ne velja, vendar...
Vendar pa ZDA zahtevajo, da te države v svoje potne liste po 26. oktobru vključijo biometrične podatke, sicer bodo njihovi državljani ob vstopu v ZDA obravnavani na enak način kot državljani drugih držav, ki za vstop potrebujejo vizo.
Ministrstvo za notranje zadeve RS je tako 12. januarja izdalo sporočilo za javnost, iz katerega je moč razbrati, da bodo imeli novi slovenski biometrični potni listi vgrajene brezkontaktne čipe z "najmanj 32 kilobajtov" pomnilnika, v katerih bodo shranjeni vsaj fotografija in prstni odtis (ter seveda standardni identifikacijski podatki posameznika, kot npr. ime, priimek, naslov, itd). Te podatke bodo mejni organi ZDA (verjetno pa se jim bodo kmalu pridružile tudi druge države) seveda lahko prebrali in zabeležili.
Izdelava biometričnih potnih listov je verjetno precejšen tehničen zalogaj, hkrati pa ni dvoma, da uporaba biometričnih tehnologij korenito posega v zasebnost posameznikov, kar bo verjetno povzročilo kar nekaj protestov. Iz teh razlogov so se pri MNZju očitno odločili za taktiko majhnih korakov - zamenjava potnih listov ne bo opravljena na vrat na nos, pač pa bo potekala postopoma. Stari potni listi bodo ostali veljavni do izteka njihove veljavnosti, novo izdani pa bodo vsebovali biometrično tehnologijo.
Kljub temu, da ima biometrična tehnologija nekaj očitnih prednosti, pa se zastavlja kar nekaj vprašanj. Na primer vprašanje odpornosti brezkontaktnih čipov na obsevanje z radijskimi valovi v mikrovalovni pečici, predvsem pa vprašanje zasebnosti posameznikov. Dejstvo je, da je zbiranje fotografij in prstnih odtisov v navadi v totalitarnih režimih, v demokratičnih državah pa so mu bili do sedaj podvrženi le kriminalci. Očitno smo v družbi, kjer "teroristi" prežijo od vsepovsod vsi obravnavani kot (potencialni) kriminalci. Prav tako se postavlja tudi vprašanje dostopa do teh podatkov v kakšne druge namene, npr. uporabo čitalcev brezkontaktnih čipov ne samo pri prehodu meje, pač pa tudi ob vstopu na določena območja ali stavbe, oziroma spremljanje gibanja lastnikov takšnih potnih listih. Na podoben problem so že opozorili raziskovalci Alberto Escudero-Pascual, Stephane Koch in George Danezis, ki so odkrili, da so bile identifikacijske izkaznice udeležencev decemberskega Svetovnega vrha o informacijski družbi opremljene z RFID čipi, kar omogoča indentifikacijo gibanja (in druženja) vsakega posameznika.
Zanimivi pa so tudi komentarji in analiza programa ADIS (Arrival Departure Information System - gre za del sistema US-VISIT), ki jih je EPIC posredoval Ministrstvu za domovinsko varnost. EPIC v svoji analizi ugotavlja, da se bo v okviru programa ADIS zbiralo veliko število osebnih podatkov, ti podatki pa ne bodo varovani v skladu z mednarodnimi standardi varovanja informacijske zasebnosti, poleg tega pa je predvidena doba hranjenja teh podatkov 100 let (!), kar ni v skladu z zahtevo, da se podatki ne smejo hraniti dlje časa, kot je to potrebno za dosego namena, zaradi katerega so bili obdelovani.
EPIC opozarja predvsem na naslednja neskladja s sprejetimi mednarodnimi standardi: Ministrstvo za domovinsko varnost posameznikom ne bo omogočilo vpogleda v njihove osebne podatke, posameznik ne bo mogel zahtevati popravka napačnih podatkov, ministrstvo pri zbiranju podatkov ne bo omejeno samo za zbiranje tistih osebnih podatkov, ki jih potrebuje za izvajanje svojih zakonskih nalog, pač pa bo lahko zbiralo praktično katerekoli podatke, prav tako pa ministrstvo ne bo dolžno osebi razkriti seznama posameznikov in ustanov, ki jim je posredovalo njegove osebne podatke.
Ker je nivo varstva informacijske zasebnosti oseb, ki bodo obravnavane s programom ADIS bistveno nižji, kot nivo varovanja zasebnosti ameriških državljanov, EPIC ugotavlja, da je ta program tudi v neskladju z Splošno deklaracijo človekovih pravic, pa tudi z leta 1980 sprejetimi Smernicami o zaščiti zasebnosti OECD ter Smernicami o avtomatiziranih zbirkah osebnih podatkov, ki jih je leta 1990 sprejela OZN.
Prav tako je ta program v neskladju z obstoječo slovensko zakonodajo, oziroma pravicami, ki jih posamezniku podeljuje slovenski Zakon o varstvu osebnih podatkov. Slovenski zakon namreč v 24. členu o iznosu osebnih podatkov iz države pravi, da je ta dopusten le v primeru, da ima država, v katero se iznašajo, urejeno varstvo osebnih podatkov, ki obsega tudi tuje državljane. Sicer se 24. člen nanaša samo na posredovanje s strani upravljalca zbirke osebnih podatkov, kljub temu pa duh zakona in mednarodni standardi zahtevajo enako varstvo zasebnosti za vsakogar, ne glede na državljanstvo, raso ali kakšno drugo pripadnost.
To pa so vprašanja, ki si jih na našem Ministrstvu za notranje zadeve očitno ne zastavljajo in od ZDA ne zahtevajo, naj za slovenske državljane zagotovi enake pravice iz naslova informacijske zasebnosti, kot veljajo za državljane ZDA. Za razliko od vprašanja Izbrisanih, kjer se je glede morebitnih odškodnin takoj izpostavilo vprašanje ali lahko manjša skupina posameznikov uveljavi svoje pravice (ne ugodnosti!) na račun večje skupine posameznikov, se pri vprašanju uvedbe biometrije zaradi ameriških zahtev nihče ne vpraša ali je smiselno za zagotavljanje ugodnosti (t.j. izognitev postopku fotografiranja in oddaje prstnega odtisa ob vstopu v ZDA) za omejeno število slovenskih državljanov, ki potujejo v ZDA, omejiti in ogroziti pravice vseh slovenskih državljanov.
Slovenski državljani, ki potujejo v ZDA, pa naj jih bo še tako malo, so očitno posebna kasta... kot kaže, pa se bo tudi tokrat izkazalo, da naša vlada na ameriške zahteve ne odgovori "zakaj", pač pa le "do kdaj"...
Za državljane 28 držav, ki so vključene v program visa waiver oz., ki za obisk ZDA do 90 dni ne potrebujejo vizuma pa ta program ne velja, vendar...
Vendar pa ZDA zahtevajo, da te države v svoje potne liste po 26. oktobru vključijo biometrične podatke, sicer bodo njihovi državljani ob vstopu v ZDA obravnavani na enak način kot državljani drugih držav, ki za vstop potrebujejo vizo.
Ministrstvo za notranje zadeve RS je tako 12. januarja izdalo sporočilo za javnost, iz katerega je moč razbrati, da bodo imeli novi slovenski biometrični potni listi vgrajene brezkontaktne čipe z "najmanj 32 kilobajtov" pomnilnika, v katerih bodo shranjeni vsaj fotografija in prstni odtis (ter seveda standardni identifikacijski podatki posameznika, kot npr. ime, priimek, naslov, itd). Te podatke bodo mejni organi ZDA (verjetno pa se jim bodo kmalu pridružile tudi druge države) seveda lahko prebrali in zabeležili.
Izdelava biometričnih potnih listov je verjetno precejšen tehničen zalogaj, hkrati pa ni dvoma, da uporaba biometričnih tehnologij korenito posega v zasebnost posameznikov, kar bo verjetno povzročilo kar nekaj protestov. Iz teh razlogov so se pri MNZju očitno odločili za taktiko majhnih korakov - zamenjava potnih listov ne bo opravljena na vrat na nos, pač pa bo potekala postopoma. Stari potni listi bodo ostali veljavni do izteka njihove veljavnosti, novo izdani pa bodo vsebovali biometrično tehnologijo.
Kljub temu, da ima biometrična tehnologija nekaj očitnih prednosti, pa se zastavlja kar nekaj vprašanj. Na primer vprašanje odpornosti brezkontaktnih čipov na obsevanje z radijskimi valovi v mikrovalovni pečici, predvsem pa vprašanje zasebnosti posameznikov. Dejstvo je, da je zbiranje fotografij in prstnih odtisov v navadi v totalitarnih režimih, v demokratičnih državah pa so mu bili do sedaj podvrženi le kriminalci. Očitno smo v družbi, kjer "teroristi" prežijo od vsepovsod vsi obravnavani kot (potencialni) kriminalci. Prav tako se postavlja tudi vprašanje dostopa do teh podatkov v kakšne druge namene, npr. uporabo čitalcev brezkontaktnih čipov ne samo pri prehodu meje, pač pa tudi ob vstopu na določena območja ali stavbe, oziroma spremljanje gibanja lastnikov takšnih potnih listih. Na podoben problem so že opozorili raziskovalci Alberto Escudero-Pascual, Stephane Koch in George Danezis, ki so odkrili, da so bile identifikacijske izkaznice udeležencev decemberskega Svetovnega vrha o informacijski družbi opremljene z RFID čipi, kar omogoča indentifikacijo gibanja (in druženja) vsakega posameznika.
Zanimivi pa so tudi komentarji in analiza programa ADIS (Arrival Departure Information System - gre za del sistema US-VISIT), ki jih je EPIC posredoval Ministrstvu za domovinsko varnost. EPIC v svoji analizi ugotavlja, da se bo v okviru programa ADIS zbiralo veliko število osebnih podatkov, ti podatki pa ne bodo varovani v skladu z mednarodnimi standardi varovanja informacijske zasebnosti, poleg tega pa je predvidena doba hranjenja teh podatkov 100 let (!), kar ni v skladu z zahtevo, da se podatki ne smejo hraniti dlje časa, kot je to potrebno za dosego namena, zaradi katerega so bili obdelovani.
EPIC opozarja predvsem na naslednja neskladja s sprejetimi mednarodnimi standardi: Ministrstvo za domovinsko varnost posameznikom ne bo omogočilo vpogleda v njihove osebne podatke, posameznik ne bo mogel zahtevati popravka napačnih podatkov, ministrstvo pri zbiranju podatkov ne bo omejeno samo za zbiranje tistih osebnih podatkov, ki jih potrebuje za izvajanje svojih zakonskih nalog, pač pa bo lahko zbiralo praktično katerekoli podatke, prav tako pa ministrstvo ne bo dolžno osebi razkriti seznama posameznikov in ustanov, ki jim je posredovalo njegove osebne podatke.
Ker je nivo varstva informacijske zasebnosti oseb, ki bodo obravnavane s programom ADIS bistveno nižji, kot nivo varovanja zasebnosti ameriških državljanov, EPIC ugotavlja, da je ta program tudi v neskladju z Splošno deklaracijo človekovih pravic, pa tudi z leta 1980 sprejetimi Smernicami o zaščiti zasebnosti OECD ter Smernicami o avtomatiziranih zbirkah osebnih podatkov, ki jih je leta 1990 sprejela OZN.
Prav tako je ta program v neskladju z obstoječo slovensko zakonodajo, oziroma pravicami, ki jih posamezniku podeljuje slovenski Zakon o varstvu osebnih podatkov. Slovenski zakon namreč v 24. členu o iznosu osebnih podatkov iz države pravi, da je ta dopusten le v primeru, da ima država, v katero se iznašajo, urejeno varstvo osebnih podatkov, ki obsega tudi tuje državljane. Sicer se 24. člen nanaša samo na posredovanje s strani upravljalca zbirke osebnih podatkov, kljub temu pa duh zakona in mednarodni standardi zahtevajo enako varstvo zasebnosti za vsakogar, ne glede na državljanstvo, raso ali kakšno drugo pripadnost.
To pa so vprašanja, ki si jih na našem Ministrstvu za notranje zadeve očitno ne zastavljajo in od ZDA ne zahtevajo, naj za slovenske državljane zagotovi enake pravice iz naslova informacijske zasebnosti, kot veljajo za državljane ZDA. Za razliko od vprašanja Izbrisanih, kjer se je glede morebitnih odškodnin takoj izpostavilo vprašanje ali lahko manjša skupina posameznikov uveljavi svoje pravice (ne ugodnosti!) na račun večje skupine posameznikov, se pri vprašanju uvedbe biometrije zaradi ameriških zahtev nihče ne vpraša ali je smiselno za zagotavljanje ugodnosti (t.j. izognitev postopku fotografiranja in oddaje prstnega odtisa ob vstopu v ZDA) za omejeno število slovenskih državljanov, ki potujejo v ZDA, omejiti in ogroziti pravice vseh slovenskih državljanov.
Slovenski državljani, ki potujejo v ZDA, pa naj jih bo še tako malo, so očitno posebna kasta... kot kaže, pa se bo tudi tokrat izkazalo, da naša vlada na ameriške zahteve ne odgovori "zakaj", pač pa le "do kdaj"...
- Na spletu objavljena navodila za preprosto ponarejanje biometričnih potnih listov :: 1. okt 2008
- Združeni narodi pripravljajo predlog za sleditev internetnega prometa :: 16. sep 2008
- Discovery umaknil oddajo o ranljivostih RFID :: 1. sep 2008
- Profiliranje ne pomaga v boju proti terorizmu :: 24. avg 2008
- Prikaz uspešnega kloniranja in ponarejanja RFID potnih listov :: 7. avg 2008
- Informacijski pooblaščenec podal mnenje o elektronskem cestninjenju :: 14. jul 2008
- ZDA razmišljajo o uvedbi elektrošok zapestnic za letalske potnike :: 9. jul 2008
- Policijska država 2.0: Kitajska v okviru projekta Golden Shield gradi videonadzorne sisteme in biometrično bazo celotnega prebivalstva :: 20. maj 2008
- Naprave, ki vas "slečejo" do golega, že na letališčih v ZDA :: 17. apr 2008
- Biometrija na letališčih :: 30. jun 2004
- RFID za sledenje ljudi :: 19. mar 2004
- Falus pa biometrija! :: 20. maj 2002
Izpis novic (3 zadetki)
- povezano z: Discovery umaknil oddajo o ranljivostih RFID