Paszport biometryczny łatwy do podrobienia

Na znanej w środowisku hakerów konferencji Defcon (http://www.defcon.org/) w Las Vegas w USA Lukas Grunwald (konsultant zabezpieczeń DN-Systems Germany) powiedział, że odkrył metodę na klonowanie informacji przechowywanych w biometrycznych paszportach.

Skopiowany chip może być z łatwością umieszczony w podrobionym paszporcie i całość będzie uznana jednoznacznei za prawdziwy paszport. Ekspert od zabezpieczeń twierdzi, że ten cały pomysł z biometrycznymi paszportami to ogromna strata pieniędzy - w żadnym stopniu bezpieczeństwo sie nie zwiększa. Z punktu widzenia systemów zabezpieczeń bezpieczeństwo to nawet się zmniejsza i to bardzo - osoby, które obsługują odprawę np. na lotniskach po pozytywnym potwerdzeniu autentyczności paszportu nie mają żadnych podstaw do zatrzymania osoby przekraczającą granicę na fałszywym paszporcie. Wysokiej klasy sprzęt potrzebny do sklonowania paszportu kosztuje ok 600 zł - sześćset złotych!!!

Polski paszport z odciakami palców

W Polsce biometryczne paszporty są wydawane od 28 sierpnia 2006 roku a od 29 czerwca 2009 roku będą również zawierały elektroniczny zapis linii papilarnych. Wycofanie z naszego życia tego ogromnego zagrożenia bezpieczeństwa każdego posiadacza biometrycznego paszportu jest bardzo mało prawdopodobne - nikt się nie przyzna, że wydał miliony na system, który nic nie wnosi w kwestiach bezpieczeństwa i tym bardziej, że wydał miliony na system, który jest ogromną dziurą w bezpieczeństwie międzynarodowym.

Aby nie dać się skopiować

Jedyną metodą na uniemożliwienia skopiowania naszego paszportu wydawanego od 29 czerwca 2009 roku jest po prostu jego nie noszenie i przechowywanie w bezpiecznym miejscu najlepiej pod kluczem. W podróży warto byłoby również sprawić sobie coś w rodzaju ołowianego futerału, który skutecznie będzie chronił nasz paszport przed sczytaniem go z zewnątrz. Kopiowanie danych zawartych w paszporcie biometrycznym odbywa się bezprzewodowo i w praktyce wystarczy, że ktoś zbliży się do nas na odległość nawet 2 metrów (zazwyczaj potrzeba, co najmniej 20 cm) - wszystko odbywa sie w ułamku sekundy - każda osoba przechodząca blisko nas dysponująca odpowiednim urządzeniem znajdującym się np. w kieszeni marynarki może skopiować nasz biometryczny paszport. Nie potrzeba kraść, wystarczy podejść na chwilę bliżej i już gotowe - mamy drugi biometryczny paszport!

RFID da się oszukać

Nowoczesne techniki zabezpieczeń stają się przekleństwem dla zwykłych obywateli – w fachowej prasie, programach telewizyjnych są właściwie same sponsorowane materiały na ten temat fałszujące faktycznie użyteczność nowo wprowadzanych technik – wszystko po to aby wdrożyć system, zarobić i potem umyć ręce. W stanie Kalifornia w Stanach Zjednoczonych w zeszłym roku uchwalono prawo uznające każde nieuprawnione (bez zgody właściciela) odczytanie nośnika RFID (ang. radio frequency identification) jest nielegalne – są to nowoczesne karty kredytowe (w Polsce nie obecne na szczęście), karty dostępu do pomieszczeń, identyfikatory rejestracji czasu pracy, karty miejskie (np. w Warszawie). Dla czego uznano to za nielegalne skoro mówi się, że to bezpieczne systemy? Ano dla tego, że byle zdolniejszy dzieciak potrafi taką kartę RFID skopiować…  (http://bezpieczenstwo.idg.pl/news/169282/Kalifornia.odczytywanie.informacji.z.RFID.nielegalne.html) .

Paszport RFID

Co można uzyskać poprzez kopiowanie i podrabianie nośników RFID? Np. stworzono paszport Elvisa Presleya, który nie różnił się od oryginalnych paszportów i przeskanowany czytnikiem używanym na lotniku międzynarodowym nie wskazywał żadnych śladów manipulacji – Elvis Presley stoi przed państwem i wedle systemu jest to niezaprzeczalne (http://bezpieczenstwo.idg.pl/news/168979/Hakerzy.stworzyli.paszport.Elvisa.html).

Main in the Middle – hakowanie biometrii

Dane biometryczne mogą być łatwo przechwytywane (hakowane) dzięki upublicznionemu kodowi, który został stworzony przez Information Risk Manager (http://www.irmplc.com/) – specyfikację można pobrać z tego miejsca: http://www.irmplc.com/downloads/whitepapers/Biologger_-_A_Biometric_Keylogger.pdf. Kod stosowany może być przy atakach typu man in the Middle i z łatwością radzi sobie  z większością obecnych na rynku systemów.