Nieuws

Hackertool kloont elektronisch paspoort

dinsdag 30 september 2008, 10:26 door Redactie, 10 reacties

Duitse beveiligingsonderzoekers van The Hacker's Choice (THC) hebben een tool ontwikkeld die gegevens van het elektronisch paspoort kan backuppen, manipuleren en zelfs de chip kan klonen. De hackers ontdekten een kwetsbaarheid in het systeem om de security checks bij de douane te omzeilen. Daardoor kunnen ook mensen met een nep-paspoortchip het land binnen komen, omdat de detectie ervan niet werkt. Zodoende kan een aanvaller een paspoort maken met een andere foto, naam, nationaliteit en andere gegevens. De aangepaste informatie wordt getoond aan de douanebeambten, zonder dat het systeem alarm slaat. "Misbruik van dit lek is eenvoudig en is via het thc-epaspoort te verifieren. Hoe goed de intentie van de overheid ook geweest mag zijn, het feit is dat geteste implementaties van het ePassports Inspection System niet veilig zijn," aldus hacker 'vonjeek'.

Vals gevoel van veiligheid
De onderzoekers merken op dat het het elektronisch paspoort de burger een vals gevoel van veiligheid geeft. "Ze laten ons geloven dat het ons veiliger maakt. Ik ben bang dat dit niet waar is: huidige ePassport implementaties voegen helemaal geen veiligheid toe." De onderzoekers laten in dit filmpje zien hoe de paspoortlezer zonder problemen het "paspoort" van Elvis Presley accepteert. Wie zijn elektronisch paspoort wil backuppen of aanpassen vindt op deze pagina de benodigde tools en informatie.

Gartner: Hackers aan verliezende hand

Microsoft: IE8 XSS-filter beschermt tegen 70% webdreigingen

Reacties (10)

30-09-2008, 10:47 door Anoniem

tikitag anyone?

30-09-2008, 11:49 door Anoniem

Hoe snel zou ik schiphol doorkomen als ik gewoon 10 random tags er tussen gooi?? Dan zeg ik gewoon dat ik een dissociatieve identiteitsstoornis heb hehe.

30-09-2008, 12:21 door Anoniem

Conclusies:
1. Een papieren paspoort is verreweg te prefereren dan een electronische, want die 'voegen helemaal geen veiligheid toe'. Overal waar met voortvarendheid de electronica wordt toegepast is men bezig de burger een vals gevoel van veiligheid te geven. Weg met de electronische versies van i.d. kaarten, ov-kaarten en overige toepassingen waar een zweem van privacy voorkomen.
2. Het zoeken naar de volmaakte toepassing van electronica is net als Don Quichot die tegen windmolens vecht.
Kortom: opdoeken de electronisch handel en opnieuw alle papieren versies invoeren.

01-10-2008, 00:03 door Anoniem

Al die electronische rotzooi is niets anders dan een ordinaire volgchip.
De overheidsinstellingen kunnen mensenmassa's op deze manier prachtig mooi volgen en automatisch beboeten cq. controleren.

In de toekomst gaan we betalen voor welke vrijheid dan ook.
Lopend, op de fiets of met de auto (vb.kilometerbeprijzing, gemaskeerde staatsterreur waarin iedere burger onder electronisch toezicht staat)

Sommige bedrijven en instellingen verdienen daar nu al miljarden mee.

01-10-2008, 10:57 door Anoniem

Zonet hem ik mijn 'papieren' paspoort gekloond....gewoon een kopie gemaakt op een Xerox copier. Ja, lach er maar om, maar veel bedrijven accepteren een kopie van het passpoort om de identiteit van een persoon vast te stellen. HTC heeft niet veel anders gedaan...ze hebben een kloon van de chip (NIET van een compleet paspoort) gecreëerd. Klonen is iets wat al jarenlang op conferenties wordt getoond om het belang van ‘active authentication’ (AA), danwel ‘extended access control’ (EAC) aan te tonen, dit zijn veiligheidsmechanismes tegen klonen. In Nederland wordt AA al toegepast sinds de introductie van het elektronische paspoort. EAC is verplicht door ICAO wanneer vingerafdrukken op de chip worden opgeslagen. Met de HTC kloon uit het filmpje is het niet mogelijk om inspectiesystemen te omzeilen die met AA en/of EAC werken. EAC zal vanaf medio volgend jaar gemeengoed worden in de EU wanneer vingerafdrukken worden opgenomen in de EU-paspoorten. De boodschap naar ICAO is wel dat EAC of AA verplicht zou moeten zijn bij automatische grenspassage. Persoonlijk vind ik de toevoeging van een chip een goede zaak. Voor criminelen wordt het moeilijker om mijn paspoort te misbruiken na diefstal of verlies, hetgeen mijn identiteit sterker maakt en er beperkter inbreuk op mijn privacy kan worden gemaakt. Blijft voorop staan dat de inspectie zijde goed op de hoogte moet zijn van de echtheidskenmerken van het paspoort, zowel fysiek als elektronisch. Het is prima als security experts de zwakke plekken in publieke security toepassingen als paspoorten proberen te vinden. Het is hierbij echter ook aan hen om niet alleen een suggestie van onbetrouwbaarheid te willen wekken – daarmee doen ze zichzelf en de publieke opinie geen goed.

01-10-2008, 14:10 door Anoniem

Door AnoniemZonet hem ik mijn 'papieren' paspoort gekloond....gewoon een kopie gemaakt op een Xerox copier. Ja, lach er maar om, maar veel bedrijven accepteren een kopie van het passpoort om de identiteit van een persoon vast te stellen. HTC heeft niet veel anders gedaan...ze hebben een kloon van de chip (NIET van een compleet paspoort) gecreëerd. Klonen is iets wat al jarenlang op conferenties wordt getoond om het belang van ‘active authentication’ (AA), danwel ‘extended access control’ (EAC) aan te tonen, dit zijn veiligheidsmechanismes tegen klonen. In Nederland wordt AA al toegepast sinds de introductie van het elektronische paspoort. EAC is verplicht door ICAO wanneer vingerafdrukken op de chip worden opgeslagen. Met de HTC kloon uit het filmpje is het niet mogelijk om inspectiesystemen te omzeilen die met AA en/of EAC werken. EAC zal vanaf medio volgend jaar gemeengoed worden in de EU wanneer vingerafdrukken worden opgenomen in de EU-paspoorten. De boodschap naar ICAO is wel dat EAC of AA verplicht zou moeten zijn bij automatische grenspassage. Persoonlijk vind ik de toevoeging van een chip een goede zaak. Voor criminelen wordt het moeilijker om mijn paspoort te misbruiken na diefstal of verlies, hetgeen mijn identiteit sterker maakt en er beperkter inbreuk op mijn privacy kan worden gemaakt. Blijft voorop staan dat de inspectie zijde goed op de hoogte moet zijn van de echtheidskenmerken van het paspoort, zowel fysiek als elektronisch. Het is prima als security experts de zwakke plekken in publieke security toepassingen als paspoorten proberen te vinden. Het is hierbij echter ook aan hen om niet alleen een suggestie van onbetrouwbaarheid te willen wekken – daarmee doen ze zichzelf en de publieke opinie geen goed.

Mag ik 3 X raden waar jij woordvoerd(st)er van bent ?
Wat een Bull.... , alsof EAC absolute veiligheid biedt en niet te hacken zou zijn; we spreken elkaar medio volgend jaar nog wel....

01-10-2008, 15:19 door Anoniem

Re: Ik ben geen woordvoerder, heb echter wel een achtergrond in security. Absolute security bestaat inderdaad niet, maar het blijft wel een feit dat EAC (of de onderliggende security mechanismes) tot nu toe niet zijn gekraakt en als veilig worden beschouwd. Als deze mechanismes gekraakt worden, dan praat je inderdaad over een serieuze hack welke een veel grotere impact heeft dan elektronische paspoorten alleen. Voorlopig is het echter een storm in een glas water.

02-10-2008, 12:57 door Anoniem

Door AnoniemRe: Ik ben geen woordvoerder, heb echter wel een achtergrond in security. Absolute security bestaat inderdaad niet, maar het blijft wel een feit dat EAC (of de onderliggende security mechanismes) tot nu toe niet zijn gekraakt en als veilig worden beschouwd. Als deze mechanismes gekraakt worden, dan praat je inderdaad over een serieuze hack welke een veel grotere impact heeft dan elektronische paspoorten alleen. Voorlopig is het echter een storm in een glas water.

Ik heb ook een 'achtergrond' in 'Security'.....
Feit blijft, dat door toevoeging van deze (lekke) chip ons officiële identificatie document er zeker NIET betrouwbaarder op is geworden..... 'Elvis is on the plane !', vindt ik toch echt een zeer serieuze hack, hoe je het ook wendt of keert.
Maar zoals al door mijn voorganger gezegd; "we spreken elkaar medio volgend jaar nog wel...." ;)

06-10-2008, 13:27 door Anoniem

Klonen is niet lekken, het zijn dezelfde gegevens op de chip dan op de personaliabladzijde. En dan blijft het niet jou paspoort, dus makkelijk te onderkennen !
EAC zie ik niet zo snel gekraakt, maar we zullen zien wie er gelijk krijgt.

06-10-2008, 13:29 door Anoniem

O ja, en nog iets, de douane controleert geen paspoorten.......... Das al de eerste fout !

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer