» »

Nove nemške osebne izkaznice s čipi ranljive

Nove nemške osebne izkaznice s čipi ranljive

Heise - V Nemčiji so 1. novembra začeli uporabljati nove pametne osebne izkaznice, starih pa ni mogoče več dobiti. Nove e-osebne izkaznice se od starih razlikujejo po vgrajenem RFID-čipu, ki ima v elektronski obliki zapisane podatke imenu, naslovu, rojstnem datumu, višini, barvi oči in las, izdajatelju in sliko. Prednost novih izkaznic je širši obseg uporabe, saj se bo moč z njimi identificirati tudi pri elektronskih bančnih transakcijah, pri preprečevanju ribarjenja in podobno.

Ob predstavitvi so odgovorni dejali, da imajo izkaznice šifriranje z eliptično krivuljo, tako da naj bi jih bilo praktično nemogoče zlomiti. Hekerji so že pokazali, da obvozi temu navzlic obstojijo.

Septembra so demonstrirali relativno preprost sistem, kako pretentati sistem. Uporaba izkaznice za spletno identifikacijo terja uporabo zunanjega bralnika, kar je nemški Chaos Computer Club že zaobšel. Na računalnik so namestili beležnik pritiskov na tipke (angl. keylogger), s tem odtujili PIN in s tem informacijami prepisali podatke na izkaznici. Manuel Bach iz Zveznega urada za varnost in informacijsko tehnologijo (BSI) je očitke zavrnil z besedami, da so okuženi računalniki tako ali tako že kompromitirani, tako da ne gre za pomanjkljivost sistema. Tehnično res ne, a iluzorno je pričakovati, da bodo imeli vsi uporabniki očiščene računalnike.

Le teden dni po izidu kartic pa so predstavili novo pomanjkljivost. BSI je izdal aplikacijo AusweisApp, v kateri je Jan Schejbal iz Piratske stranke Nemčije že odkril resno ranljivost (exploit). Napad ne meri neposredno na izkaznico, ampak jo izkoristi kot prehod na računalnik, kjer se nato more izvesti zlobna koda. AusweisApp se namreč povezuje prek varne povezave (SSL) s strežnikom s posodobitvami. Prva težava je, da preveri le veljavnost certifikata, ne pa tudi njegovega imena, kar daje možnost DNS-manipulaciji oz. preusmeritvi z download.ausweisapp.bund.de na poljuben strežnik z veljavnim SSL-certifikatom. Tako lahko z ustreznim odgovorom aplikacijo pretenta v odprtje poljubnega arhiva, saj se to izvrši pred preverjanjem podpisa.

BSI se je že odzval in začasno onemogočil prenos aplikacije AusweisApp, dokler je ne zakrpajo.

16 komentarjev

HairyFotr ::

Vedno isto... država/firma trdi da je nekaj nezlomljivo, hekerji že pred izidom trdijo drugače in javno svetujejo in opozarjajo... potem ko so kak teden po izidu novice polne pomankljivosti in ranljivosti, se pa stvari malo pokrpajo in pospravijo pod preprogo.

RejZoR ::

Sej algoritmi so v večini primerov res nezlomljivi. Problem je da njihova implementacija ni. Kar pomeni, da z napako pri povezavoanju kriptiranja in same funkcionalnosti nastanejo varnostne luknje in pomanjkljivosti kjer se da nato vdreti v željene naprave/funkcije. Po domače povedano, AES-256 ne moreš kar tako dešifrirat, ampak če je program, ki uporablja ta algoritem slabo spisan je velika verjetnost da bo nekdo enostavno prišel do kriptiranih podatkov.
Angry Sheep Blog @ www.rejzor.com

MacQ ::

Že od same predstavitve RFID čipov opozarjajo, da niso varni, ampak ne, država kar rine z glavo skozi zid.

Valjda, posel je sklenila, zdaj pa ne more kar zavržti milijarde davkoplačevalskega denarja.

Najebal pa je verjetno itak samo en tehnik, ki je imel pisarno v kleti.
The sound of the ocean is dead, it's just the echo of the blood in your head.

LordPero ::

RejZoR je izjavil:

Sej algoritmi so v večini primerov res nezlomljivi. Problem je da njihova implementacija ni.


Ja, kot vedno (a ne morjo imet npr. 6M pred sprejetjem sistema enega vsedržavnega nagradnega tekmovanja, kdo prej }{4x4 trenutno rešitev?).

In ne, RFID je lahko popolnoma uredu in varna rešitev (relativno za današnje okoliščine in potrebe seveda).
LordPero

cingulingu ::

Ha, Ha...
Nič ni nezlomljivega! Človek naredi, človek uniči.
Ne vidim čemu tak trušč. Pomembna je le vsebina. Če notri ni nič spornega, potem, koga briga če lahko vdreš.
Kar se mene tiče, se za navadno osebo stvari s čipom lahko le izboljšajo. Namreč, osebno ga vidim kot dodatno varovalo ne pa kot primarno. Če pa mi nekdo ukrade osebno pa je 1000 in 1 lažji način za jo zlorabit. Še lažje pa je če čipa nima. Saj je tudi sam "blank" material, znanje in oprema potrebna za zlorabo bistveno cenejša in s tem bolj dostopna povprečnemu nepridipravu.

WhiteAngel ::

Ne vidim, kaj je tu zlomljenega. V vsakem primeru mora imeti uporabnik okužen osebni računalnik. To pa zame ni zlomljena zaščita osebnih izkaznic.

Zlomljena zaščita bi bila, da bi prišel na letališče, odprl prenosnik, preskeniral okolico in dobil podatke z vseh kartic v tvojem dometu na svojem zaslonu.

mojca ::

Pa saj so dali tudi v Sloveniji nekomu za testirat, ali lahko zlomi enega od precej pomembnih dokumentov, ne da bi imel na voljo kakršnokoli specifikacijo. In je zlomil (v roku dneva ali dveh), plačali so mu, vendar je moral podpisati, da bo molčal, mi pa to varno tehnologijo veselo uporabljamo dalje.

Matthai ::

plačali so mu, vendar je moral podpisati, da bo molčal

Pa je molčal? 8-)
Kind of an asshole at first sight, but actually a nice guy
when you get to know me personally. :)

mtosev ::

bedno ane? boljse brez cipa pa ni varnostnih ranljivostih.
Core i9 10900X, ASUS Prime X299 Edition 30, 32GB 3600mhz Gskill
ASUS ROG Strix RTX 2080 Super, Samsung 970 PRO, UP3017, Win 11
moj oče darko 1960-2016, moj labradorec max 2002-2013

pss-m ::

IBM RFID oglasi

shoping
tracking

Aljaz1980 ::

pss-m je izjavil:

IBM RFID oglasi

shoping
tracking

Bolano!

saj ideja ni slaba, samo ko se ve da se bo izkoriščalo rfid za nečedne stvari.

Zgodovina sprememb…

  • spremenilo: Aljaz1980 ()

pss-m ::

Aljaz1980 je izjavil:


Bolano!
saj ideja ni slaba, samo ko se ve da se bo izkoriščalo rfid za nečedne stvari.
ko jaz gledam te oglase, me spomnejo na starejše filme (znansteno-fantastiko) kjer prikazujejo na tvjih take bolane stvari zravn pa prijetno glasbo in nasmeške.
še en tak...


ne morem si pomagat, da se zraven ne spomnem intervjuja z Russo-tom, ki je rekel da če eni stvari rečemo ne je to RFID

talmai ::

Mah, RFID je kot vsaka druga tehnologija. Stvar je v tem, kako je implementirana in kako jo uporabljaš. A bluetooth je pa kaj bolj varen? Zadnjič sem bil v pisarni, bluetooth na visible in sem dobil na telefon .sis fajl, ki je bil virus. A je problem bluetooth ali zabit uporabnik?

RFID se lepo uporablja recimo za avtobusne kartice. In zakaj se ne bi? Tudi NFC čipi, ki naj bi prišli v telefone se mi za tako uporabo ne zdijo problem. V bistvu boš kvečjemu bolj varen, ker bo tvoj telefon kartica za avtobus samo takrat, ko boš ti to hotel, medtem ko ti jo zdaj lahko teoretično prebere vsak, ki gre mimo tebe.

Za osebne dokumente pa sem tudi sam proti RFID. Vsaj dokler bodo tako šlampasti. In tisto, da bi bili vsi izdelki v trgovini označeni. Samo pod pogojem, da ko greš iz trgovine vsi RFIDji nehajo delovati.
"Bit je kot določna popolnoma nedoločna." (M. Heidegger)

MrStein ::

talmai je izjavil:

Mah, RFID je kot vsaka druga tehnologija. Stvar je v tem, kako je implementirana in kako jo uporabljaš. A bluetooth je pa kaj bolj varen? Zadnjič sem bil v pisarni, bluetooth na visible in sem dobil na telefon .sis fajl, ki je bil virus. A je problem bluetooth ali zabit uporabnik?

Ali zabita Nokia, ki ima po defoltu Virus Import Service instaliran na telefonih? (se je fajl samo kopiral ali tudi aktiviral?)

Enako kot VIS na Windows. Kdo je kriv?
a) TCP/IP protokol, (ker omogoča komunikacije oz. prenos podatkov?)
b) uporabnik (ker ne računa na roke ampak kupi PC?)
c) MS, (ker ima po defoltu Virus Import Service instaliran na Windows?)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

talmai ::

Fajl sem dobil kot sporočilo in mi je ponudilo namestitev. Še vedno je bilo treba potrdit namestitev (pa tudi sicer dotični .sis ni bil kompatibilen z mojim telefonom).

Sem samo hotel povedat, da je vsaka tehnologija lahko insecure. RFID sam po sebi ni nič posebnega.
"Bit je kot določna popolnoma nedoločna." (M. Heidegger)

spamer ::

Tudi mi bomo cez par let dobili te RFID kartice, zato se morajo ljudje pritoziti, saj jaz ne mislim imeti RFID cipa pri sebi, sploh ne v OSEBNI KARTICI, katero bodo kmalu zaceli zlorabljati, da bomo lahko sploh brskali po internetu, pod pretvezo, da bo to bolj varno za nas, toda vec varnosti kot imamo manj svobode imamo in jaz ne mislim dati moje svobode v zameno za varnost.

Jaz ne rabim in nocem cipa v kartici, ker mi res ne koristi, jaz znam poskrbeti za lastno varnost na svoj nacin in tudi sam zanjo odogovarjam, v primeri zlorabe kartic, pa nihce ne odgovarja in recejo, da ste sami krivi, ker imate okuzen PC? WTF? V celem mojem zivljenju mi ni se nihce ukradel osebne kartice in je ni nihce ponaredil in tudi, ce bi jo ne bi imel nobenih problemov, saj si ne bi dosti pomagal z mojo identiteto, ce pa ponaredijo in ukradejo te kartice pa lahko res ogrozijo vaso zasebnost in varnost in bog ve kaj se.
(\__/) This is Bunny. Copy and paste bunny
(='.'=) into your signature to help him gain
(")_(") world domination.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

mBills v praksi (strani: 1 2 3 410 11 12 13 )

Oddelek: Loža
60291487 (6833) Dober dan
»

Policija slikala osebno izkaznico (strani: 1 2 )

Oddelek: Loža
859566 (5834) solatko
»

exploit v knjižnici

Oddelek: Informacijska varnost
365459 (4712) Matthai
»

Elektronske osebne izkaznice v Nemčiji

Oddelek: Novice / Zasebnost
1110704 (9569) JanK
»

Nova osebna izkaznica

Oddelek: Informacijska varnost
252863 (1991) Gjurisic

Več podobnih tem