Nederlandse tool kloont paspoort chip
De Nederlandse beveiligingonderzoeker Jeroen van Beek, die eerder al aantoonde dat het elektronische paspoort niet goed is beveiligd, heeft nu een programma ontwikkeld waarmee de inhoud van de chip is te klonen. eCL0WN is een ePassport tool voor Nokia NFC telefoons en laat gebruikers de inhoud van de chip lezen en klonen.
Op dit moment is het nog niet mogelijk om de JPEG-2000 afbeeldingen in het Duitse en Nederlandse paspoort te bekijken, Van Beek hoopt deze functionaliteit in de toekomst toe te voegen. De software is getest met de Nokia 6131 NFC en Nokia 6212 NFC telefoons en leest BAC-beveiligde ePassport bestanden EF.COM, EF.SOD, EF.DG1 en EF.DG2. Verder verwijdert de tool Active Authentication (AA) en Extended Access Control (EAC) gerelateerde bestanden, waardoor deze beveiliging bij bepaalde systemen is te omzeilen. Meer over het onderzoek van Van Beek is op deze pagina te vinden.
Wat was er toch mis met het oude paspoort, zonder RFID chip, dat we deze technologische vooruitgang moeten ondergaan?
Het programma verwijdert de verwijzing naar Active Autentication (AA) uit de onbeveiligde index. Of AA te omzeilen is is afhankelijk van de kwaliteit van de inspectiesystemen. De huidige Nederlanse self scans controleren *niets* (dus ook niet AA), de referentiesoftware Golden Reader Tool (aanbevolen door ICAO, de opsteller van de chipstandaard) is ook te misleiden.
BZK zegt: "De grenscontrole in Nederland gebruikt een inspectiesysteem (aan de balie) waarmee zowel "Active Authentication" als de elektronische handtekening over de gegevens in de chip gecontroleerd wordt. Derhalve zal een kloon van de chip in de Nederlandse reisdocumenten worden gedetecteerd." (zie http://www.minbzk.nl/actueel/kamerstukken/115017/antwoorden-op_e). Resultaten van onafhankelijke toetsing kan ik niet vinden. De software is ook niet publiek beschikbaar waardoor het zelf toesten ook niet mogelijk is. 't Statement van BZK is i.i.g. dat de niet te toetsen Nederlandse software beter is dan Golden Reader Tool van de BSI, de Duiste AIVD.
Let wel dat het uitlezen van een paspoort alleen mogelijk is indien paspoortnummer, geboortedatum en verloopdatum bekend (of te raden) zijn: dat zijn namelijk de variabelen in het wachtwoord dat nodig is om het paspoort op afstand te kunnen uitlezen. Tenzij je de Machine Readable Zone van je paspoort op je voorhoofd laat tatoëren, heeft een willekeurige uitlezer waarschijnlijk te weinig idee van deze variabelen om ze te kunnen raden. Zelfs al zou het met aanvullende antenne's en apparaatjes mogelijk zijn om een paspoort op tientallen meters af te lezen, van J. Random uitlezer heb je waarschijnlijk weinig te vrezen. Wel interessant is het als één of ander overheidsorgaan besluit tot gezichtsherkenning op publieke camerabeelden en die beelden matcht tegen (pas)foto's in een nationale paspoortdatabase - in dat geval dan zou uitlezen-op-afstand van het paspoort extra zekerheid kunnen geven over het vermoeden van identiteit dat gebaseerd was op de gezichtsherkenning. Zolang nog niet bij wet is geregeld dat burgers *op afstand* identificeerbaar moeten zijn kun je met een aluminiumfolie-hoesje om het paspoort of een RFID Guardian wat tegemoet komen aan je privacybehoefte :)
Het probleem is dat alleen de brave burger zich iets van verboden aantrekt.
Het blijft mogelijk om je paspoort te lezen.
Als ze het nou eens verbieden om dit soort dingen te onderzoeken of te proberen...(sarcastisch!)
Net zoals "Ik hoef mijn achterdeur niet te sluiten, want inbreken/insluipen/diefstal is verboden, en biedt daardoor al voldoende bescherming."
Maar het blijft een leuke sport.
Of, nog simpeler: het paspoort even in een magnetronoven leggen. Dan is het ook niet meer van een afstand uit te lezen.
Dan gebruik je toch een paspoort uit een land dat geen active authentication gebruikt (VS, VK, Duitsland, Frankrijk, etc.) ??
Let wel dat het uitlezen van een paspoort alleen mogelijk is indien paspoortnummer, geboortedatum en verloopdatum bekend (of te raden) zijn: dat zijn namelijk de variabelen in het wachtwoord dat nodig is om het paspoort op afstand te kunnen uitlezen.
Het is al lange tijd bekend dat die gegevens niet onafhankelijk van elkaar zijn en relatief gemakkelijk te kraken. Ik heb dan ook al een jaar of 2 geleden (denk ik) een lezing met demonstratie gezien waarbij de paspoortfoto in de RFID van een willekeurige vrjiwilliger uit de zaal werd uitgelezen en getoond aan iedereen.
Let wel dat het uitlezen van een paspoort alleen mogelijk is indien paspoortnummer, geboortedatum en verloopdatum bekend (of te raden) zijn: dat zijn namelijk de variabelen in het wachtwoord dat nodig is om het paspoort op afstand te kunnen uitlezen.
Het is al lange tijd bekend dat die gegevens niet onafhankelijk van elkaar zijn en relatief gemakkelijk te kraken. Ik heb dan ook al een jaar of 2 geleden (denk ik) een lezing met demonstratie gezien waarbij de paspoortfoto in de RFID van een willekeurige vrjiwilliger uit de zaal werd uitgelezen en getoond aan iedereen.
Wellicht doel je op de ontdekking van Marc Witteman (Riscure) in 2005 (IIRC) dat paspoortnummers oplopend zijn, en dat er daardoor een verband ontstaat tussen het paspoortnummer en de geboortedatum. Voor zijn (slim gevonden) aanval, die hij presenteerde tijdens What The Hack in 2005, was nog altijd een geboortedatum nodig:
http://wiki.whatthehack.org/index.php/Attacks_on_Digital_Passports
Marc heeft MinBZK geadviseerd om de paspoortnummers voortaan te randomiseren: dat maakt de aanval (zoals in 2005 gepubliceerd) onmogelijk. MinBZK heeft dat advies overgenomen en alle paspoorten sinds augustus 2006 hebben zo'n gerandomiseerd paspoortnummer en zijn dus niet kwetsbaar voor de aanval (zoals in 2005 gepubliceerd).
Of doel je op iets anders?
Het moet verdomme verboden worden om dit soort dingen erop te zetten. Keer op keer blijkt de overheid incompetent en/of slordig te zijn. Met techniek denkt de overheid dat ze nog dommere mensen bij de douane kunnen neerzetten. Kunnen ze mensen die een boete open hebben staan van € 35,- een vlucht naar het buitenland ontzeggen. Het geluk is dan misschien dat er op diezelfde vlucht een terrorist wel toegelaten wordt die het hele vliegtuig opblaast.
Blijkbaar is er af en toe een oorlog voor nodig om het aantal domme schapen terug te brengen die zich dit soort gedrag van de overheid laat welgevallen..
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.