Saturday, January 31, 2009

INFO CIP: Cat de simplu se fura informatiile de pe cipul din Pasapoartele Biometrice

Articol preluat de pe blogul lui Rafael Udriste, http://rafaeludriste.blogspot.com/:

“Singurul argument al autorităţilor româneşti în ceea ce priveşte utilitatea paşaportului biometric - siguranţa cetăţeanului - este spulberat de-a dreptul în acest articol publicat în urmă cu aproape 2 ani (preluat şi în revista Chip). Iată de ce este de neconceput idioţenia “specialiştilor” noştri de la paşapoarte (alte variante: incompetenţa, ignoranţa - sunt nehotărât aici pentru că sunt şi ei români de-ai noştri): cipurile încorporate în actele de identitate ne expun fără putinţa de a ne mai apăra. Iată argumentele:

PAŞAPOARTELE BIOMETRICE, NOI OPORTUNITĂŢI PENTRU FURTUL DE IDENTITATE (GECAD.NET - martie 2007)
În perioada 2004 -2006 paşapoartele biometrice au fost adoptate ca metodă de identificare în ţări ca Germania, Grecia, Austria, Belgia, Polonia, Lituania, Slovenia, SUA şi Marea Britanie. Acestea sunt considerate ca fiind cele mai sigure acte de identitate din lume, fiind capabile să stocheze date complexe privind posesorul, cum ar fi fizionomia, amprentele sau scanări ale retinei. Dat fiind nivelul de pregătire tehnică şi dotările de care dispun falsificatorii şi crima organizată, tocmai caracteristicile tehnice deosebite expun posesorii acestor acte la riscuri severe. Un paşaport biometric combină metodele tradiţionale de tipărire pe hârtie cu caracteristici speciale cu capacităţi de stocare electronică a datelor pentru a permite identificarea posesorului. Informaţiile critice sunt stocate pe un cip RFID - Radio Frequency Identification - asemănător cu cele folosite în cartelele de acces şi diverse tipuri de carduri care pot fi citite de la distanţă. Combinaţia de date biometrice doreşte realizarea unui nivel de protecţie fără precedent împotriva contrafacerii actelor de identitate, infracţiune care constituie o mare problemă pentru autorităţile poliţieneşti din diverse state. Datele sunt stocate pe un cip de memorie EEPROM (Electronically Erasable Programmable Read-Only Memory) de minimum 32 kilobytes, cu o interfaţă conformă cu standardele internaţionale ISO 14443, pentru a asigura interoperabilitatea între dispozitivele de citire folosite în diverse ţări.
Specialistul în securitate Adam Laurie a demonstrat că datele conţinute de un paşaport biometric emis în Marea Britanie şi livrat prin poştă în regim de urgenţă pot fi descărcate fără a fi măcar necesară deschiderea plicului, fiind suficiente patru ore pentru a compromite metodele de criptare folosite.
Datele din cip constituie o versiune digitală a ceea ce este tipărit pe documentul de identitate (paşapoartele biometrice din Marea Britanie încă nu folosesc amprente ale posesorului). Datele de pe cip pot fi descărcate wireless dar sunt criptate, teoretic fiind inutilă obţinerea acestora fără a avea o cheie de criptare. Dar cheia de criptare folosită pentru această prima generaţie de paşapoarte biometrice este relativ uşor de identificat, pentru că nu este generată aleator ci este o combinaţie între numărul paşaportului, data de naştere a posesorului şi data expirării. În condiţiile în care un astfel de paşaport este valabil 10 ani de la emitere, data expirării pentru un paşaport primit prin poşta se poate estima cu o precizie de câteva zile. Numărul paşaportului este compus din unitatea emitentă şi alte câteva elemente uşor de identificat. Astfel, o mare parte din cheia de criptare poate fi ghicită folosind datele de pe plicul în care este livrat paşaportul.
Datele de pe cip pot fi copiate şi folosite de atacatori în diverse scopuri, pentru a deschide un cont bancar sau pentru a opera tranzacţii financiare în numele adevăratului posesor al actului de identitate. Cipul de pe paşaport nu poate fi schimbat, dar datele obţinute pot fi folosite pentru a construi o copie a paşaportului, care ar putea fi folosită de o persoana cu o fizionomie asemănătoare cu cea a posesorului iniţial.
Fiecare măsura de securitate şi prevenire a contrafacerii adoptată în trecut de autorităţi a fost ulterior depăşită de răufăcători, evoluţia paşapoartelor biometrice urmând a se înscrie probabil pe o traiectorie similară. Pe măsură ce paşapoartele biometrice vor fi adoptate la scară largă, falsificatorii vor trebui să modifice datele, copierea lor fiind insuficientă. În prezent, fără a dispune de semnăturile digitale folosite de autorităţile emitente, acest lucru pare destul de greu de realizat. Falsificatorii probabil vor încerca sa decripteze aceste semnături prin diverse metode, iar divulgarea lor de către diverşi angajaţi din interiorul sistemului nu va putea fi exclusă. Paşapoartele biometrice vor fi emise şi de autorităţi din state care se confruntă cu grave fapte de corupţie, unde obţinerea de detalii privind metodele de protecţie constituie cel mult un impediment financiar“.
UPDATE:
GECAD.NET (tot din 2007… de ce nu am dezbătut atunci această problemă?): Întreaga populaţie a Marii Britanii pe lista de suspecţi a poliţiei
INFO: http://www.razbointrucuvant.ro/

No comments: