Paszport biometryczny łatwy do podrobienia

Biometria - (nie)bezpieczeństwo

Biometryczne systemy zabezpieczeń
Kontrola dostępu do pomieszczeń (KD)
Rejestracja czasu pracy (RCP)
Nowoczesne techniki zabezpieczeń
Nieskuteczne systemy kontroli dostępu
Szyfrowanie, deszyfracja, podrabianie odcisku palca
Bezpieczeństo systemów kontroli dostępu
Rozpoznawanie twarzy

paszport biometryczny Na znanej w środowisku hakerów konferencji Defcon (https://www.defcon.org/) w Las Vegas w USA Lukas Grunwald (konsultant zabezpieczeń DN-Systems Germany) powiedział, że odkrył metodę na klonowanie informacji przechowywanych w biometrycznych paszportach.

Skopiowany chip może być z łatwością umieszczony w podrobionym paszporcie i całość będzie uznana jednoznacznei za prawdziwy paszport. Ekspert od zabezpieczeń twierdzi, że ten cały pomysł z biometrycznymi paszportami to ogromna strata pieniędzy - w żadnym stopniu bezpieczeństwo sie nie zwiększa. Z punktu widzenia systemów zabezpieczeń bezpieczeństwo to nawet się zmniejsza i to bardzo - osoby, które obsługują odprawę np. na lotniskach po pozytywnym potwerdzeniu autentyczności paszportu nie mają żadnych podstaw do zatrzymania osoby przekraczającą granicę na fałszywym paszporcie. Wysokiej klasy sprzęt potrzebny do sklonowania paszportu kosztuje ok 600 zł - sześćset złotych!!!

Polski paszport z odciakami palców

W Polsce biometryczne paszporty są wydawane od 28 sierpnia 2006 roku a od 29 czerwca 2009 roku będą również zawierały elektroniczny zapis linii papilarnych. Wycofanie z naszego życia tego ogromnego zagrożenia bezpieczeństwa każdego posiadacza biometrycznego paszportu jest bardzo mało prawdopodobne - nikt się nie przyzna, że wydał miliony na system, który nic nie wnosi w kwestiach bezpieczeństwa i tym bardziej, że wydał miliony na system, który jest ogromną dziurą w bezpieczeństwie międzynarodowym.

Aby nie dać się skopiować

Jedyną metodą na uniemożliwienia skopiowania naszego paszportu wydawanego od 29 czerwca 2009 roku jest po prostu jego nie noszenie i przechowywanie w bezpiecznym miejscu najlepiej pod kluczem. W podróży warto byłoby również sprawić sobie coś w rodzaju ołowianego futerału, który skutecznie będzie chronił nasz paszport przed sczytaniem go z zewnątrz. Kopiowanie danych zawartych w paszporcie biometrycznym odbywa się bezprzewodowo i w praktyce wystarczy, że ktoś zbliży się do nas na odległość nawet 2 metrów (zazwyczaj potrzeba, co najmniej 20 cm) - wszystko odbywa sie w ułamku sekundy - każda osoba przechodząca blisko nas dysponująca odpowiednim urządzeniem znajdującym się np. w kieszeni marynarki może skopiować nasz biometryczny paszport. Nie potrzeba kraść, wystarczy podejść na chwilę bliżej i już gotowe - mamy drugi biometryczny paszport!

RFID da się oszukać

Nowoczesne techniki zabezpieczeń stają się przekleństwem dla zwykłych obywateli – w fachowej prasie, programach telewizyjnych są właściwie same sponsorowane materiały na ten temat fałszujące faktycznie użyteczność nowo wprowadzanych technik – wszystko po to aby wdrożyć system, zarobić i potem umyć ręce. W stanie Kalifornia w Stanach Zjednoczonych w zeszłym roku uchwalono prawo uznające każde nieuprawnione (bez zgody właściciela) odczytanie nośnika RFID (ang. radio frequency identification) jest nielegalne – są to nowoczesne karty kredytowe (w Polsce nie obecne na szczęście), karty dostępu do pomieszczeń, identyfikatory rejestracji czasu pracy, karty miejskie (np. w Warszawie). Dla czego uznano to za nielegalne skoro mówi się, że to bezpieczne systemy? Ano dla tego, że byle zdolniejszy dzieciak potrafi taką kartę RFID skopiować…  (https://www.pcworld.pl/news/Kalifornia-odczytywanie-informacji-z-RFID-nielegalne,169282.html) .

Paszport RFID

Co można uzyskać poprzez kopiowanie i podrabianie nośników RFID? Np. stworzono paszport Elvisa Presleya, który nie różnił się od oryginalnych paszportów i przeskanowany czytnikiem używanym na lotniku międzynarodowym nie wskazywał żadnych śladów manipulacji – Elvis Presley stoi przed państwem i wedle systemu jest to niezaprzeczalne (https://www.pcworld.pl/news/Hakerzy-stworzyli-paszport-Elvisa,168979.html).

Main in the Middle – hakowanie biometrii

Dane biometryczne mogą być łatwo przechwytywane (hakowane) dzięki upublicznionemu kodowi, który został stworzony przez Information Risk Manager (https://www.irmsecurity.com/) – specyfikację można pobrać z tego miejsca: http://www.blackhat.com/presentations/bh-europe-08/Lewis/Presentation/bh-eu-08-lewis.pdf Biologger_-_A_Biometric_Keylogger.pdf. Kod stosowany może być przy atakach typu man in the Middle i z łatwością radzi sobie  z większością obecnych na rynku systemów.

Komentarze

g.brzeczyszczykiewicz - Bezpieczeństwo |2011-03-16 12:16:06

Mam pytanie do autora artykułu czy sprawdził jak działają urządzenia do klonowania paszportu kart RFID. Prosiłbym o podanie linka do strony gdzie mogę kupić takie urządzenie lub nazwę modelu urządzenia.

admin |2011-03-23 09:32:25

Kupić można na czarnym rynku oczywiście. Łatwiej zbudować samemu. Nie zrobi tego oczywiście amator, ale sądzę, że w Waszym PWPW bez problemu to zrobicie. Chociaż nie sądzę, aby ktoś się tym pochwalił ryzykując więzieniem ;] Zapraszam na kolejny defcon conference.

Dobrze wiedzieć, że PWPW chce kupić takie urządzenia ;p

rotterdamus - bezpieczenstwo a wladza... |2010-07-06 12:49:52

Nie jestem fachowcem od biometrii,lecz mysle i jestem na biezaco w temacie/technologie przyszlosci a logika/stad juz wczesniej uznalem ,ze te rozwiazania,to cos innego ,niz dbalosc o obywatela.Kiedys straszono nas baba Jaga,teraz Terrorem,po to aby wprowadzac -co raz to nowe nowinki,ktore przynosza krocie!!!nie wnoszac w temacie /security/znacznej poprawy...do tego,takie niby przyjazne czlowiekowi"czipy"nie tylko/jak czytamy/nie powalaja na kolana terrorystow,ale daja pelna wladze nad obywatelem!!!Rejestrujac,kazdy jego ruch,zakup,itp.fakty z jego zycia...Co w konsekwencji,niewidocznie oplata czlowieka siecia niewidzialnego podgladacza,co nie jest/np.dla mnie/uznawane za super.Wiem,z zyciowego doswiadczenia-nie tylko polski,ze sa momenty,iz ci niby fajni politycy staja sie niefajni i wtedy takie systemy moga w secunde stac sie pulapka dla ludzi ktorzy np.beda mieli inne zdanie,niz "wiekszosc"w sekunde mozna pozbawic czlowieka tozsamosci...ci co maja wyobraznie -wiedza o czym mowa.Nowinki-TAK,ale te pozytywne-przyjazne srodowisku i obywatelowi,a nie jako wymuszony haracz firmom high-tech.Pozdr.

marekr49 - Powolywanie się na bubel |2009-06-11 09:22:03

Byłem naprawdę mocno zainteresowany dużym system kontroli dostępu jakiś czas temu. Firma z Łodzi powoływała się na to, że biometria jest wszędzie, właśnie w paszportach, jakieś płatności są nią dokonywane za granicą, że urzędy to stosują ale zagłębiając się bardziej w temat i czytając publikacje specjalistów z innych krajów stanowczo zrezygnowałem. Jest to chyba jedyna strona internetowa w języku polskim, która nie bierze pieniędzy od producentów tego sprzętu i opisuje faktycznie to co kryje się pod terminem BIOMETRIA. I jeszcze człowiek, który mnie strasznie namawiał z tej firmy raczej budził bardzo negatywne emocje i nie wzbudzał żadnego zaufania - to już ja, który poświęciłem 2 dni na zapoznanie się z systemami biometrycznymi wiedziałem więcej od niego! Po prostu szczęka opadłą - jeden wielki bełkot i bzdura. Mam nadzieję, że w końcu ktoś kompetentny z Rządu zabierze się za informowanie opinii publicznej nie tylko o zaletach ale również o niebezpieczeństwach w ogóle systemów komputerowych kontroli dostępu. Kiedyś paszport podrabiali tylko wytrawni fachowcy, wręcz artyści (źli bo źli ale artyści) a teraz mogą to robić dzieciaki we własnym domu. SKANDAL!!!