Niemieckie dowody z RFID łatwe do zhackowania

Organizacja hackerów, Chaos Computer Club zademonstrowała w telewizyjnym programie "Plusminus" jak łatwo można uzyskać istotne informacje z nowych dowodów z chipami.

Problem polega na tym, że podstawowe czytniki kart przeznaczone do użytku domowego nie zawierają wbudowanej klawiatury. W związku z tym zainstalowanie na komputerze keyloggera (czy to przez fizyczny dostęp do komputera, czy przez trojana, worma czy inne malware) pozwala na uzyskanie sześciocyfrowego PINu, który pozwala na złożenie podpisu cyfrowego na dokumentach rządowych (a w przyszłości zapewne również na więcej działań). Hackerzy pozyskali również z karty zapisane na niej odciski palców użytkownika. Jak na razie podawanie skanów odcisków palców nie jest obowiązkowe, jednak możliwość ich łatwego pozyskania z karty powoduje, że wykorzystanie biometryki do uwierzytelniania posiadacza takiej karty nie jest specjalnie bezpieczne.

Ministerstwo Spraw Wewnętrznych Niemiec obiecało zasponsorować rozprowadzenie miliona czytników domowych wśród obywateli, niektóre banki i magazyny komputerowe również planują rozprowadzanie darmowych promocyjnych czytników. Ale to wszystko będzie model podstawowy, pozbawiony klawiatury.

Odpowiedzialne za wprowadzenie kart agencje rządowe z pewnością zdają sobie sprawę z problemu - do wykorzystania z kartami przeznaczone są trzy rodzaje czytników, przy czym tylko dwa rodzaje, które posiadają wbudowaną klawiaturę są uznawane przez nie za bezpieczne. Jednak przeciętny obywatel raczej nie dysponuje wiedzą techniczną pozwalającą na odróżnienie bezpiecznego czytnika z wbudowaną klawiaturą od zbudowanego przez hackera "bezpiecznego" czytnika będącym w rzeczywistości podstawowym czytnikiem domowym pozbawionym klawiatury zainstalowanym w jednej obudowie z klawiaturą numeryczną i keyloggerem.

Dowody z wbudowanymi czipami z zaszyfrowanymi danymi i elektronicznym podpisem byłyby dużo bezpieczniejsze, gdyby klawiatura do wprowadzania PIN była fizycznie wbudowana w dowód, tak, jak jest to wykonywane w przypadku najbezpieczniejszych (i najdroższych) smartcardów i kart kredytowych (takich jak Visa CodeSure).

Tylko takie dowody byłyby jeszcze droższe.

[ The Local , via Schneier on Security ]

Leszek Karlik

Więcej o: