Klonowanie "zabezpieczonych" paszportów biometrycznych w minuty
O paszportach wyposażonych w mikroprocesory w tym serwisie kilkakrotnie pisałem (ostatnio nawiązywałem do tego w tekście Czy to może być niebezpieczne, gdy ktoś pozyska nasze odciski palców?). Brytyjski Times postanowił przetestować zabezpieczenia i okazało się, że w kilka minut da się sklonować taki paszport, zmodyfikować zapisane tam dane i przejść weryfikację danych dokonaną przez oprogramowanie wykorzystywane w międzynarodowych portach lotniczych.
Całą sprawę opisano w tekście ‘Fakeproof’ e-passport is cloned in minutes. Sam test przeprowadzony dla Times przez Jeroena van Beek'a z Uniwersytetu w Amsterdamie polegał na sklonowaniu dwóch brytyjskich paszportów, a następnie umieszczeniu tam danych (w tym zdjęć) Osamy bin Ladena i Hiby Darghmeh'a - palestyńskiego samobójcy bombowego z 2003 roku. Ciekawostka polega na tym, że źródłowe dokumenty paszportowe, które posłużyły do klonowania, wystawione były jeden na dziecko, drugi na trzydziestosześcioletnią kobietę. Przy okazji nawiązano do niedawnej kradzieży 3 tysięcy blankietów paszportowych, które na pewno będą wykorzystane do wyprodukowania fałszywych paszportów (biometrycznych; bo to właśnie dane biometryczne gromadzone są na mikroprocesorze dołączonym do dokumentu paszportowego).
Dalszy etap testu polegał na przeprowadzeniu pozytywnej weryfikacji sklonowanych paszportów za pomocą oprogramowania Golden Reader, rozwijanego przez organizację standaryzacyjną ONZ, tj. Międzynarodową Organizację Lotnictwa Cywilnego.
Ta próba jest o tyle ważna, gdyż resort spraw wewnętrznych w Wielkiej Brytanii w publicznych wypowiedziach stwierdza, że manipulowanie danymi zgromadzonymi na mikroprocesorze zostanie wychwycone przez takie oprogramowanie, a to ze względu na brak zgodności sum kontrolnych stosowanych do zabezpieczenia danych. Times zauważa, że jedynie 10 spośród 45 państw wyposażanych w paszporty biometryczne, dołączyło do systemu the Public Key Directory (PKD), a tylko pięć z tych dziesięciu faktycznie używa tego systemu. W efekcie ktoś, kto chciałby się posługiwać fałszywym paszportem, może wykorzystać dokument z kraju, który nie wymienia z pozostałymi kodów zabezpieczających (w tym sensie globalny system będzie "bezpieczny" jedynie wówczas, gdy wszystkie kraje będą korzystały z bazy danych zawierającej kody ze wszystkich państw).
Test ma oznaczać, że system paszportowy oparty na paszportach z danymi biometrycznymi da się oszukać. Standardy the International Civil Aviation Organisation dotyczą również polskich paszportów biometrycznych (por. Standardy techniczne paszportów biometrycznych - jak wyinterpretować normy prawne?). Na poziom bezpieczeństwa wpływa również fakt, że dane z paszportów dostępne są w ramach rozwiązań RFID.
- Login to post comments
Piotr VaGla Waglowski
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Ukończył Aplikację Legislacyjną prowadzoną przez Rządowe Centrum Legislacji. Radca ministra w Departamencie Oceny Ryzyka Regulacyjnego a następnie w Departamencie Doskonalenia Regulacji Gospodarczych Ministerstwa Rozwoju. Felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również członkiem Rady ds Cyfryzacji przy Ministrze Cyfryzacji i członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>
dwie strony medalu
Z jednej strony, sukces klonujących jest mniejszy, niż by się to wydawało, bo nie mogą (jeszcze) podrobić podpisu/sumy kontrolnej. To uniemożliwia wykorzystanie takiego paszportu w kraju, który zaimplementował wszystkie opcje systemu, przynajmniej dopóki ktoś nie wykradnie kluczy lub nie wrzuci swoich do bazy używanej do sprawdzania - co nie jest proste, ale też nie jest niemożliwe.
Z drugiej strony, po raz kolejny okazuje się, że "bezpieczne" rozwiązania wcale takimi nie są - a jak jeszcze dodamy do tego RFID (i możliwość skanowania danych zdalnie) to... Problem częściowo w tym, że nie wszystkie kraje wymieniły się kluczami, więc klonując zgodny ze standardem technicznym paszport z jakiegoś trochę zacofanego kraju nie będzie się trzeba przejmować brakiem poprawnego podpisu na danych. Ciekawe zresztą, czy nie da się skopiować całości i wrzucić wprost, bo może się wtedy okazać, że kontrola paszportowa nie zauważy np. niezgodności numeru wydrukowanego na paszporcie z numerem w chipie i przepuści o ile tylko nie włączy się alarm, że odczytany podpis nie zgadza się z danymi.
Abstrahuję już zupełnie od tego, że jak dotąd tylko 45 państw wprowadza te biometryczne potworki. Reszta po staremu, wydaje zwykłe papierowe paszporty, które też będą nadal uznawane. Terroryści i globalni przestępcy mogą spokojnie planować swoje podróże.