image

'Onkraakbaar' Brits paspoort toch gekraakt *update*

woensdag 6 augustus 2008, 09:50 door Redactie, 9 reacties

Het nieuwe Britse paspoort, voorzien van een microchip die misbruik door terroristen en criminelen moet voorkomen, is ondanks beweringen van de overheid eenvoudig te kraken. Vorige week verloor diezelfde Britse overheid 3000 lege paspoorten, maar dat zou geen probleem moeten zijn omdat de kaart tegen identiteitsfraude beschermd is. Onderzoek van de Britse krant The Times laat nu zien dat het paspoort binnen enkele minuten te kraken is.

Door een beveiligingslek in de chip kan een aanvaller de informatie op de chip aanpassen, zonder dat dit wordt opgemerkt. De onderzoeker die de test uitvoerde plaatste op twee Britse paspoorten de foto's van Osama Bin Laden en een zelfmoordterrorist. Volgens het Britse Ministerie van Binnenlandse Zaken zijn aangepaste chips eenvoudig te herkennen, omdat de key codes niet overeenkomen met een internationale database. Slechts tien van de 45 landen die een e-paspoort gebruiken hebben zich voor het Public Key Directory systeem aangemeld en vijf gebruiken het ook daadwerkelijk. Pas als alle landen meedoen is het systeem volledig veilig, zo beweert The Times.

De Nederlandse beveiligingonderzoeker Jeroen van Beek wist met een publiekelijk beschikbaar programma, een kaartlezer van 47 euro en twee RFID-chips van 12 euro twee paspoorten te manipuleren en klonen. "We beweren niet dat terroristen dit al vandaag de dag bij alle paspoorten kunnen doen of dat dit ze morgen lukt. Maar het laat zien dat beveiliging op een publieke en open manier moet worden aangepakt," aldus Van Beek.

Identiteitsdiefstal

Door de problemen met het digitale paspoort lopen reizigers kans op identiteitsdiefstal als ze hun paspoort verstrekken bij hotels en autoverhuurders. Criminelen zouden de informatie eenvoudig kunnen klonen, waarbij de naam en geboortedatum op de nep-chip wordt geplaatst, maar met de foto, vingerafdruk en andere biometrische gegevens van de crimineel. De lege paspoorten die naar verschillende ambassades waren gestuurd, werden tijdens het transport gestolen en hebben een straatwaarde van zo'n 6 miljoen euro.

Nederlandse chips veiliger

Nederland geeft ook elektronische reisdocumenten (MRTD’s) uit. De chips bevatten altijd de persoonlijke gegevens die ook op het document zijn afgedrukt en een digitale foto. Afhankelijk van de uitgever (het land) bevat de chip optionele gegevens. Vanaf juni 2009 zullen de chips in reisdocumenten van EU-lidstaten ook een digitale representatie van vingerafdrukken bevatten. Nederlanders hoeven zich minder zorgen te maken, de paspoorten hier zijn namelijk voorzien van een optioneel mechanisme (z.g.n. Active Authentication) waardoor het klonen van Nederlandse chips niet zondermeer mogelijk is.

Volgens Nederlandse onderzoekers is er niets mis met het ontwerp, maar zijn de ontdekte zwakheden "het resultaat van het - al dan niet bewust –niet implementeren van alle beveiligingsmaatregelen." Dit probleem doet zich vooral voor in de gebruikte uitleesapparatuur. Iedere overheid is zelf verantwoordelijk voor de uitleesapparatuur en de eisen die daaraan gesteld worden. Voor zover bekend is er nog geen definitieve set van eisen beschikbaar voor de Nederlandse apparatuur.

"Om in de toekomst de veiligheid van het elektronische paspoort te kunnen garanderen is het noodzakelijk dat dergelijke belangrijke publieke systemen open geëvalueerd kunnen worden. In het verleden is onder meer met de stemcomputers en de OV-chipkaart gebleken dat gesloten systemen uiteindelijk niet goed beveiligd Hoewel een gedeelte van de paspoort specificatie beschikbaar is tegen betaling is de uitlees apparatuur niet open gedocumenteerd en geëvalueerd. Het is noodzakelijk dat niet alleen het document maar het gehele systeem kan worden bestudeerd," aldus de onderzoekers.

Update: reacte Os3.nl toegevoegd

Reacties (9)
06-08-2008, 10:18 door Anoniem
'Onzinkbaar' schip toch gezonken op eerste reis.
06-08-2008, 11:03 door Anoniem
Als je zeker wil gaan dat niemand zo even je RFID chip kopieerd, dan kan je
'm
beter heel even in een magnetron leggen, wat De Staat blijft maar zeggen
dat "het nu wel veilig is"..


Mogen de Borg amtenaren gewoon met 't handje naar je pappiertjes kijken
om te controleren.
06-08-2008, 12:08 door spatieman
nederlandse chips veiliger...

sure.....
06-08-2008, 12:41 door Anoniem
Door spatieman
nederlandse chips veiliger...

sure.....

Zeiden ze van de OV-chipkaart ook.
Wachten tot de volgende bom valt.
06-08-2008, 17:06 door Anoniem
> Vorige week verloor diezelfde Britse overheid 3000 lege
paspoorten, ....
> ....werden tijdens het transport gestolen en hebben een
straatwaarde van zo'n 6
> miljoen euro.....

Dat is 2.000,- euries per stuk!!!!!! Daar kun je toch een
hoop veiligheid voor kopen dacht ik zo.
07-08-2008, 07:39 door Anoniem
Door Anoniem
Door spatieman
nederlandse chips veiliger...

sure.....

Zeiden ze van de OV-chipkaart ook.
Wachten tot de volgende bom valt.

Ik denk niet dat je een paspoort met een OV-chipkaart kan en mag vergelijken.
Voorlopig is het Nederlandse document nog niet gekraakt.

Wat ze nu bij het Britse document hebben gedaan maakt het trouwens nog
altijd niet mogelijk om er mee te reizen; het blijft een duidelijk herkenbaar vals
document. Vergelijkbaar met het opplakken van een valse foto met een
plakbandje.
07-08-2008, 09:15 door e.r.
Tja, aan de andere kant hebben ze deze chip'beveiliging' bedacht met in hun
achterhoofd de db met CRC's. (of iets dergelijks)
Dus als die overal ingevoerd zijn, is het editen niks meer waard.

Wel blijft het zo dat je dus schijnbaar wel dingen kan uitlezen. Ik heb het niet zo
op staatsgegevens (over individuen) die iedereen kan uitlezen.
09-08-2008, 17:53 door Anoniem
Door Anoniem
Ik denk niet dat je een paspoort met een OV-chipkaart kan en
mag vergelijken.
Voorlopig is het Nederlandse document nog niet gekraakt.

Wat ze nu bij het Britse document hebben gedaan maakt het
trouwens nog
altijd niet mogelijk om er mee te reizen; het blijft een
duidelijk herkenbaar vals
document. Vergelijkbaar met het opplakken van een valse foto
met een
plakbandje.
nee, je kan deze chip niet direct met de ov-chip
vergelijken, maar de vergelijking is minder vergezocht dan
men denkt...
in beide gevallen zijn het chips waarin persoongegevens
opgeslagen worden die op de 1 of andere manier gebruikt
worden voor authentificatie, en die gegevens zijn door de
hack uit te lezen of zelfs te kopieren, in beide gevallen
geeft dit dus de mogelijkheid voor misbruik.

misbruik van een strippenkaart (niet persoonsgebonden) is op
zich niet zo'n groot risico, behalve voor de gebruiker
daarvan, misbruik van een persoonsgebonden document brengt
echter heel wat grotere risico's met zich mee, tot aan het
punt dat een totaal anonieme onbekend jou een misdaad in de
schoenen kan schuiven

de kopie van een britse paspoort valt echt niet zo snel door
de mand dan je aanneemt hoor, je valt pas door de mand als
de betreffende douanier (bv.) de moeite neemt om de gegevens
op zijn beeldscherm te vergelijken met wat er op de
aangepaste kaart staat gedrukt, in alle andere gevallen zal
je niet snel opvallen. de zwakke schakel is in dit geval dus
de automatisering van indentiteitscontrole, want dat is
juist het doel van deze chips, het ontlasten en
automatiseren van indentificatie ed.

dat in dit geval de paspoortchip gekraakt is doet het hele
verhaal ook geen goed, omdat deze juist veel beter beveiligd
zou moeten zijn dat bv. de ovchipkaart...
30-09-2008, 14:29 door Anoniem
Door Anoniem> > ....werden tijdens het transport gestolen en hebben een
straatwaarde van zo'n 6
> miljoen euro.....

Dat is 2.000,- euries per stuk!!!!!! Daar kun je toch een
hoop veiligheid voor kopen dacht ik zo.

Denk dat het om de straatwaarde gaat...net als drugs die ze vinden.
De eigenlijke waarde is altijd lager dan de straatwaarde.
Kilo weed koop je voor 3000 tot 3500 euro (shop betaald vaak rond 4500 euro) , straatwaarde is vaak zelfde als verkoopprijs in de shop ( gemiddeld 12 euro per gram ?) dan heb je al gauw over 12.000 euro.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.