Berta Sándor
Feltörték a brit biometrikus igazolványt
Adam Laurie brit biztonsági szakembernek sikerült feltörnie egy biometrikus igazolványt és hozzájutnia az RFID-chipen tárolt adatokhoz. Az útiokmány tulajdonosának fel sem tűnt az információk kiolvasása.
A férfi a chip feltöréséhez csupán egy saját maga által írt programot és egy állítása szerint bármely boltban kapható hagyományos leolvasókészüléket használt. Ráadásul az igazolvány még a hatóságok által küldött, lepecsételt borítékban volt. "A cselekmény senkinek sem tűnt fel. Akinek a biometrikus útiokmányából kiolvasták a személyes adatait, még csak feljelentést sem tehet, hiszen nem is tudja, hogy mi történt. AZ RFID-technológiának köszönhetően ugyanis nincs szükség sem az igazolvány megérintésére, sem a megnézésére" - összegezte a véleményét később a biztonsági szakember.
Az RFID-chipeken tárolt adatokat csak egy különleges titkosítás segítségével konvertálhatók át olvasható szöveggé. A használt kód többek között a személyes adatokkal kapcsolatos algoritmusból áll. A repülőtereken vagy más helyeken felszerelt leolvasókészülékek ismerik ezt az algoritmust és így megfejthetik a kódot, miután beolvasták az adatokat.
Adam Laurie ezt a folyamatot tanulmányozta, majd modellezte le. A férfi először az International Civil Aviation Organization (ICAO) által világszerte az útlevelekhez használt 9303-as kódot elemezte elemezte. Miután megismerte a rendszer felépítését és működését, elkészített egy szoftvert, amelynek megadta a kiválasztott áldozata néhány általa is ismert személyes adatát. Ezután egy úgynevezett Brute-Force támadást indított a rendszer ellen. Ezzel a megoldással rövid idő alatt különböző megoldások ezreit tesztelte és sikerült megtalálnia a kódot az adatok kiolvasásához. "A biometrikus igazolványok bevezetésével a biztonságot szeretnék növelni, én azonban nem látom, hogy ezen a területen történt volna előrelépés" - jegyezte meg epésen Laurie.
A szakember szerint a biometrikus útiokmányok fő problémája az, hogy nagyon könnyen megtalálhatók azok az információk, amelyeknek a segítségével hozzáférhetővé válnak a kódok. A rendszerekbe több véletlenszerűen generált adatcsomagot kellene beépíteni, így még egy Brute-Force támadás sem hozhatna azonnal eredményt. "A tárolt adatokhoz való hozzáférés korántsem ilyen egyszerű. Először is az illetőnek rendelkeznie kell egy leolvasókészülékkel, majd azt optimálisan be is kell állítania. Ezenkívül ismernie kell a pontos adatokat. Mindez elég nagy felhajtás csak azért, hogy olyan információkhoz juthasson hozzá, amit egyébként is megkaphat, ha egy pillantást vet az igazolványra" - reagált Laurie bejelentésére Matthias Gärtner, a német Szövetségi Információtechnikai Biztonsági Hivatal (BSI) szóvivője.
Gärtner ugyanakkor hozzátette: "Az ujjlenyomatokat is tároló rendszereknél már az Extended Access Control (EAC) megoldást fogjuk alkalmazni, amelyik biztosítja, hogy az igazolványokon tárolt információkat csak az arra jogosult terminálokban lehessen kiolvasni. Ezenkívül csak meghatározott hivataloknak és államoknak lesz hozzáférésük ezekhez a mintákhoz. Így felesleges lesz bárkinek is egy átlagos leolvasókészülékkel próbálkoznia."
A férfi a chip feltöréséhez csupán egy saját maga által írt programot és egy állítása szerint bármely boltban kapható hagyományos leolvasókészüléket használt. Ráadásul az igazolvány még a hatóságok által küldött, lepecsételt borítékban volt. "A cselekmény senkinek sem tűnt fel. Akinek a biometrikus útiokmányából kiolvasták a személyes adatait, még csak feljelentést sem tehet, hiszen nem is tudja, hogy mi történt. AZ RFID-technológiának köszönhetően ugyanis nincs szükség sem az igazolvány megérintésére, sem a megnézésére" - összegezte a véleményét később a biztonsági szakember.
Az RFID-chipeken tárolt adatokat csak egy különleges titkosítás segítségével konvertálhatók át olvasható szöveggé. A használt kód többek között a személyes adatokkal kapcsolatos algoritmusból áll. A repülőtereken vagy más helyeken felszerelt leolvasókészülékek ismerik ezt az algoritmust és így megfejthetik a kódot, miután beolvasták az adatokat.
Adam Laurie ezt a folyamatot tanulmányozta, majd modellezte le. A férfi először az International Civil Aviation Organization (ICAO) által világszerte az útlevelekhez használt 9303-as kódot elemezte elemezte. Miután megismerte a rendszer felépítését és működését, elkészített egy szoftvert, amelynek megadta a kiválasztott áldozata néhány általa is ismert személyes adatát. Ezután egy úgynevezett Brute-Force támadást indított a rendszer ellen. Ezzel a megoldással rövid idő alatt különböző megoldások ezreit tesztelte és sikerült megtalálnia a kódot az adatok kiolvasásához. "A biometrikus igazolványok bevezetésével a biztonságot szeretnék növelni, én azonban nem látom, hogy ezen a területen történt volna előrelépés" - jegyezte meg epésen Laurie.
A szakember szerint a biometrikus útiokmányok fő problémája az, hogy nagyon könnyen megtalálhatók azok az információk, amelyeknek a segítségével hozzáférhetővé válnak a kódok. A rendszerekbe több véletlenszerűen generált adatcsomagot kellene beépíteni, így még egy Brute-Force támadás sem hozhatna azonnal eredményt. "A tárolt adatokhoz való hozzáférés korántsem ilyen egyszerű. Először is az illetőnek rendelkeznie kell egy leolvasókészülékkel, majd azt optimálisan be is kell állítania. Ezenkívül ismernie kell a pontos adatokat. Mindez elég nagy felhajtás csak azért, hogy olyan információkhoz juthasson hozzá, amit egyébként is megkaphat, ha egy pillantást vet az igazolványra" - reagált Laurie bejelentésére Matthias Gärtner, a német Szövetségi Információtechnikai Biztonsági Hivatal (BSI) szóvivője.
Gärtner ugyanakkor hozzátette: "Az ujjlenyomatokat is tároló rendszereknél már az Extended Access Control (EAC) megoldást fogjuk alkalmazni, amelyik biztosítja, hogy az igazolványokon tárolt információkat csak az arra jogosult terminálokban lehessen kiolvasni. Ezenkívül csak meghatározott hivataloknak és államoknak lesz hozzáférésük ezekhez a mintákhoz. Így felesleges lesz bárkinek is egy átlagos leolvasókészülékkel próbálkoznia."