'Rfid-paspoort eenvoudig te kopiëren met juiste software'

Twee burgers zijn er met behulp van een 200 euro kostende rfid-lezer, wat zelfgeschreven software en de programmatuur die gebruikt wordt door douane en politiediensten in geslaagd de informatie van een rfid-paspoort te kopiëren.

Elektronische identiteitskaart Na de aanslagen op elf september werd de drang om een elektronisch paspoort in te voeren alleen maar groter en de resultaten van die drang beginnen stilletjesaan tastbaar te worden. Lukas Grunwald en Christian Bottger zagen echter nog wat haken en ogen aan deze benadering en besloten een poging te doen de onveiligheid van het systeem aan te tonen. Een van hun zorgen is dat het met een traditioneel identiteitsbewijs duidelijk is als iemand zijn paspoort kwijt is en dat een kopie gemakkelijk te herkennen is. Doordat de informatie op een e-id digitaal opgeslagen is, zijn de gekopieerde gegevens echter niet van de originelen te onderscheiden.

Met die wetenschap in het achterhoofd schaften Grunwald en Bottger zich voor 200 euro een rfid-lezer aan op eBay. Waar ze de 'Golden Reader Tool', de software die douaniers en politiediensten gebruiken om e-id's uit te lezen, vandaan haalden is onbekend. Met deze software, de rfid-lezer en een zelfgeschreven programmaatje dat RFdump gedoopt werd, was het echter een koud kunstje om de paspoortgegevens naar de harde schijf te kopiëren. Een standaardapparaat volstaat vervolgens om de bemachtigde gegevens op een blanco chip weg te schrijven. Een woordvoerder van het UK Home Office wist echter te melden dat het niet duidelijk is waarom iemand de informatie op de chip zou willen achterhalen. 'Een eventuele aanvaller zou er, behalve de foto die ook op andere manieren eenvoudig te achterhalen is, geen informatie mee krijgen die hij nog niet weet', aldus de woordvoerder. Bovendien werd benadrukt dat de mogelijkheid tot het kopiëren van de digitale informatie het nog niet eenvoudig maakt een vals paspoort te construeren.

IT-banen

Reacties (65)

Anoniem: 189898 18 december 2006 11:41

Een woordvoerder van het UK Home Office wist echter te melden dat het niet duidelijk is waarom iemand de informatie op de chip zou willen achterhalen. 'Een eventuele aanvaller zou er, behalve de foto die ook op andere manieren eenvoudig te achterhalen is, geen informatie mee krijgen die hij nog niet weet', aldus de woordvoerder.

Wat is dan het nut van die chip?

Waar ze de 'Golden Reader Tool', de software die douaniers en politiediensten gebruiken om e-id's uit te lezen, vandaan haalden is onbekend.

Dit vind ik eigenlijk wel interessanter dan het feit dat die gasten de gegevens konden kopieren. Natuurlijk kan je die uitlezen als je software hebt die daarvoor bedoeld is. Zo eng is dat niet, want als die niet bestond had de douane ook weinig aan zo'n paspoort. Wat pas echt eng is, is hoe ze in godsnaam aan die software gekomen zijn.

elmuerte @Anoniem: 189898 • 18 december 2006 12:10

Hoe ze er aan gekomen zijn is niet echt belangrijk. Het feit dat ze er aan gekomen zijn is balangrijk. Want dit houd in dat kwaadwillende er ook aan kunnen komen.

Anoniem: 189898 @elmuerte • 18 december 2006 12:16

Hoe kom je daar nou bij? Het is juist belangrijk dat je weet hoe ze eraan gekomen zijn. Dat ze eraangekomen zijn weten we al, daar kan je verder niets mee.

The Zep Man @Anoniem: 189898 • 18 december 2006 13:28

Hoe kom je daar nou bij? Het is juist belangrijk dat je weet hoe ze eraan gekomen zijn. Dat ze eraangekomen zijn weten we al, daar kan je verder niets mee.

Nee.

Het onderwerp is de veiligheid van het RFID paspoort. Hoe ze aan die apparatuur komen is bijzaak. Als jij die apparatuur beter moet beveiligen omdat anders mensen RFID paspoorten kunnen namaken, dan is het principe van de paspoorten zelf security through obscurity en duurt het niet veel langer voordat een alternatief apparaat is ontwikkeld wat hetzelfde kan als de originele apparatuur welke de douane gebruikt.

cire @elmuerte • 19 december 2006 21:49

Die Golden Reader Tool is echt geen geheim produkt ofzo. Allerlei bedrijven die in deze markt werkzaam zijn, gebruiken dit tool.

De beveiliging zit niet in dit tool, maar in de chip op het paspoort!

DexterDee @Anoniem: 189898 • 18 december 2006 12:38

Dat is niet zo heel moeilijk. Ik heb laatst een paspoort aangevraagd hier bij de gemeente. Ze hadden een PC met reader ter demonstratie in de publieke ruimte gezet om te testen of je paspoort correct gelezen kon worden. Zo heb ik na het ophalen van mijn paspoort ook even geprobeerd en ik kreeg inderdaad op het scherm mijn pasfoto en persoonlijke gegevens. Het is natuurlijk een koud kunstje om met je gekloonde RFID chip even te kijken of deze goed in te scannen is. Daar heb je die software niet voor nodig.

Anoniem: 189898 @DexterDee • 18 december 2006 12:46

Dan heb je nog steeds de software niet. En als ik het zo lees gebruikten ze die software om het ding uit te lezen, niet alleen om te controleren of hun kopie werkte.

Dus wat hebben ze gedaan? Heel die PC meegenomen uit het gemeentehuis?

tweakerbee @Anoniem: 189898 • 19 december 2006 00:29

Of zijzelf of kennissen werkten op het gemeentehuis. Ben je er ook al. Punt is dat die hard- en software dus makkelijk te verkrijgen is.

bcd87 @Anoniem: 189898 • 19 december 2006 08:58

Waarom niet? Ik kan me voorstellen dat als mensen hiermee bezig zijn ze er ook niet voor schuwen om 's nachts in het gemeentehuis in te breken om de computer+scanner mee te nemen.

Defspace 18 december 2006 11:35

Bovendien werd benadrukt dat de mogelijkheid tot het kopiëren van de digitale informatie het nog niet eenvoudig maakt een vals paspoort te construeren.

Dat ben ik niet met ze eens.
Het is juist de bedoeling van de RFID dat vervalsingen moeilijker worden maar wanneer "iedereen" een vervalsing kan maken inclusief de originele digitale data dan zijn we toch weer terug bij af ?

HellPunk @Defspace • 18 december 2006 11:41

Je kan misschien wel de data uitlezen, maar je zal toch nog altijd een nieuw fysiek paspoort moeten maken om er iets mee te kunnen. Je zal aan de douane immers nog altijd een 'controle op het oog' van het document hebben.

DarkTemple @HellPunk • 18 december 2006 12:31

Het ging er juist om dat het ingevoerd is als EXTRA beveiliging. Dit is dus kul.

Adion

@DarkTemple • 18 december 2006 14:18

Vermits ze blijkbaar niet de foto hebben (kunnen) veranderen, is het dus wel een extra beveiliging.
Het was inderdaad misschien wel beter geweest als ook het kopieren bemoeilijkt werd, door misschien de kaart een response te laten genereren die verschillend is bij een verschillende vraag.

Anoniem: 133782 @Defspace • 18 december 2006 11:43

Inderdaad.
Nu kijkt de douance nog (een klein beetje) naar het papier en andere eigenschappen van een papieren paspoort.
Met zo'n chippie blijft er alleen nog 'effe scannen' over.

Yor @Anoniem: 133782 • 19 december 2006 00:10

Sinds wanneer kijkt de douane naar jou paspoort?

Ben ik werkeloos geworden overnacht? Ik was en ben nog steeds van mening dat de controle op personen aan de grens mbt de reisdocumenten een taak is die wordt uitgevoerd en is opgedragen aan de Koninklijke Marechaussee?

Shit.....iemand werk voor mij?

Anoniem: 100148 18 december 2006 11:41

Is het electronische gedeelte niet een aanvulling op het paspoort. Dus naast de foto, gegevens en de nodige watermerken enzo, zit er een chip op zodat de gegevens die op het paspoort snel gecross-referenced kunnen worden met een database vol criminelen...

Dus dat je die gegevens van het paspoort kan halen is nog niet zo een ramp, dat kan ik met mijn eigen ogen ook.

Electronica alleen is denk ik geen veilige vervanger van iets tastbaars.

KBDE @Anoniem: 100148 • 18 december 2006 11:56

Toch knap dat je dat allemaal kunt zien op pakweg 3meter afstand, zeker als je bedenkt dat ik normaal gesproken niet met mijn paspoort om mijn nek loop.

Anoniem: 100148 @KBDE • 18 december 2006 12:07

Als je paspoort wordt uitgelezen gebeurt dat door een gerechtigd iemand (marechaussee). Die mag dus ook je paspoort vasthouden, dus geen 3m maar 20 cm.

En de electronische gegevens zouden ook op niet meer dan een paar cm uit te lezen moeten zijn

KBDE @Anoniem: 100148 • 18 december 2006 13:19

Dat is juist de grap bij dit systeem. Als je de ontvangst/zend unit versterkt werkt het ook op veel grotere afstanden. Dus ipv max 2 meter werkt het dan ook zonder meer op 5meter of zelfs meer.

Het gaat nou juist erom dat niet gerechtigde personen jou data kunnen uitlezen en evt op een nieuw paspoort kunnen zetten.
Stel je lijkt op een of andere crimineel welke doelbewust aan het scannen is naar jou paspoort gegevens. Even later loopt er dus een potentiele terrorist rond met jou identitieit. Even later overvalt deze een bank, blaast een bus op of whatever. De scanner aan de ingang van de bank of het openbare vervoer heeft jou id vastgesteld en opgeslagen. Nou ja, de rest bedenk je zelf maar.

Klinkt misschien allemaal vergezocht, maar in de nabije toekomst is dit zeker niet persee het geval.
Het paspoort aanzich is in feite altijd hetzelfde, je hoeft deze dus niet te zien om er een te kunnen maken. Als je de persoonsgevens hebt ben je ver genoeg.

Anoniem: 63672 @Anoniem: 100148 • 18 december 2006 14:53

"The Net, part III (identity theft in Europe)"

Staring: Sandra Bullock once again...

http://imdb.com/title/tt0113957/

Hoe duidelijk wil je het hebben?

Anoniem: 63672 18 december 2006 11:32

...behalve de foto die ook op andere manieren eenvoudig te achterhalen is, geen informatie mee krijgen die hij nog niet weet', ....

Bedoeling van het kopieren is juist voor het maken van een VALS paspoort, en dat is bij deze dus gelukt.

Zo kan iemand met andermans indentiteit vrolijk naar een ander land reizen en daar zijn of haar heil zoeken...

Sentry23 @Anoniem: 63672 • 18 december 2006 11:54

Een vals palspoort met de originele foto en informatie inderdaad..

Maar dit is toch geen nieuws, maar al een paar keer aangetoond ?
(4 aug 2006: http://www.theregister.co.uk/2006/08/04/cloning_epassports/)

(nog even gelezen.. exact hetzelfde verhaal dus als bijna een half jaar geleden maar op de register link dus met wat meer technische inhoud.)

merethan @Anoniem: 63672 • 19 december 2006 16:21

Elke persoon met computerkennis (ala Tweaker) die had je dit kunnen vertellen.

Het is electronisch, nullen en enen, en het kan die nullen en enen uitzenden.
Je pikt het signaal op, slaat het ergens in op wat het exacte zelfde signaal ook kan uitzenden en je bent klaar.

Wordt al tijden gedaan door de proffesionele autodief.

Nergens in deze lijst met reacties lees ik "goh dat had ik nou niet verwacht!"

Wie doet er mee met een gelijksoortig iets als "Wij vertrouwen stem computers niet!" ?

Anders wordt het er weer met een paar wetten ofzo doorheen gedrukt. Mocht dat gebeuren dan gaat mijn paspoort eerst de magnetron in als ik ene nieuwe heb gekocht. (Gekocht ja, ze zijn schandalig duur)

cire @merethan • 19 december 2006 21:43

Zo simpel is het niet. Je kunt natuurlijk wel enen en nullen opslaan, maar als deze data in een volgende 'transactie' niet meer geldig is, heb je er dus niets aan.

Bijvoorbeeld bij de (nieuwe) EMV bankpassen wordt hier gebruik van gemaakt.

Rvanlaak @Anoniem: 63672 • 20 december 2006 01:58

En erger nog, je kunt dus met je toekomstige nieuwe (valse) paspoort ook een rekening openen!

Even een aardig bedragje lenen, en degene van wie de e-ID echt is heeft er weer een schuld bij...

j-a-s-p-e-r 18 december 2006 11:37

lekker genuanceerd weer....

Alsof je zelf mag bepalen wat voor soort paspoort je krijgt. De VS hameren nu al op een paspoort moet biometrische gegevens van de drager erin. Volgende stap kan dan RFID zijn.

Ik had eigelijk gedacht dat je paspoorten pas uit kon lezen op het moment dat je een soort van 'toestemming' had. En met een redelijke tijdsvertraging zodat 'bruteforce' niet mogelijk zou zijn. nja, lekker beveiligd allemaal weer

Kama @j-a-s-p-e-r • 18 december 2006 11:46

Ik heb wel eens iemand horen zeggen dat zo'n paspoort terrorisme juist in de hand werkt. Je kunt nu een bom zo afstellen dat ie alleen afgaat als de juiste persoon met z'n rfid in de buurt is

Kevinp @Kama • 18 december 2006 11:58

dat zou idd moeten kunnen. Maar dit maakt het voor ons burgers wel veiliger. Want waarom zou iemand mij opblazen ipv balkenende, of de koningin.

Anoniem: 189898 @Kevinp • 18 december 2006 12:02

Het gaat ook niet om jou, maar om jou en de andere 500 westerlingen/Amerikanen/Joden/etc. in die ruimte.

Kama @Kevinp • 18 december 2006 14:14

Opblazen is natuurlijk een extreem voorbeeld, hoewel je nu nooit kunt voorspellen wie jou om welke reden dan dood wilt... Wie weet omdat je blauwe ogen hebt, of gewoon omdat je een man bent ouder dan 16.

Wat veel meer mensen van mekaar willen is weten waar ze geweest zijn. Opblazen is dan altijd nog een optie

Anoniem: 189898 @Kama • 18 december 2006 11:57

Dat ligt maar net aan wat voor bereik die dingen hebben natuurlijk. Veel RFID toepassingen die ik ken hebben een bereik van hooguit twee centimeter.

killercow @Anoniem: 189898 • 18 december 2006 12:22

Leuk,

Het bereik is dan weer prima te verhogen door een sterkere ontvanger te gebruiken, deze stuurt immers de stroom.

Er is al een proof of concept vuilnisbak bom gemaakt, zoek maar eens naar filmpjes.

Deze bom gaat af zodra er een amerikaans paspoort langs de prullenbak liep.

Anoniem: 116394 @Anoniem: 189898 • 18 december 2006 12:59

Hier is het filmpje.

http://www.youtube.com/watch?v=-XXaqraF7pI

edit: Dit was een reactie op killercow.

Timdows @j-a-s-p-e-r • 18 december 2006 11:43

ik zie het al voor me...

"drukt u n op de akkoord knop van uw paspoord om deze te laten uitlezen"

krijg je een bluetooth idee om zo in andermans telefoons te snuffelen... ook niet erg practisch!

boss-20 18 december 2006 11:45

Denk niet dat het ooit mogelijk word die dingen NIET na te maken... Denk eerder dat ze een soort van lezer moeten maken die ook je hartslag meet en je vingerafdruk leest. Goed, het word dan natuurlijk wel een drukte op bijv luchthavens... Zou niet weten wat tegenwoordig niet meer nagemaakt/gekraakt kan worden.

Iblies @boss-20 • 18 december 2006 13:02

Hartslag zegt weinig,
varieert de hele dag,

en vingerafdruk is ook gewoon te kopieeren.

En dan nog ben je niet veilig,
stel je voor dat de dader niks heeft gedaan, komt het land binnen en maakt een mestbom, maak je gewoon met huis tuin en keukenspullen.
Daarnaast is het wel frappant dat uitgerekend het land waar je wapens bij wijze van spreke in de supermakt kunt kopen aankomt met deze kul omdat het dan veiliger wordt.

9/11 heeft het westen een les nog niet geleerd,
het waren martelaren,
die sterven voor hun doel en van die mensen hoef je geen tweede daad te verwachten.

merethan @Iblies • 19 december 2006 16:41

en vingerafdruk is ook gewoon te kopieeren

Niet op afstand.

Offtopic:
Over die terroristen, het is nogsteeds discutabel hoe echt 9/11 was.

Ik ben ervan overtuigd dat het gebeurd is om die Rfid en andere privacy schendende en meer controlerende shit te rechtvaardigen, en om een excuus voor een oorlog te hebben.

Anoniem: 36844 18 december 2006 11:59

Waarom RFID? Waarom niet gewoon zo een chip als op je ChipKnip zit? Wat is het voordeel van RFID?

Anoniem: 100148 @Anoniem: 36844 • 18 december 2006 12:03

Idd, maak een chip die alleen door fysiek contact is uit te lezen, zijn die gasten nu al te lui om je paspoort tegen een uitlezer aan te drukken?

elmuerte 18 december 2006 12:07

Het probleem is dat het lezen van RFID contactloos is. De grote vraag, wat is de aflees straal. Als het 1m is dan is het in de rij op het vliegveld wachten genoeg om heel wat paspoort gegevens te lezen. Deze gegevens kan je later dan gebruiken voor een vals paspoort (zonder dan de persoon die gekopieerd is dat weet).

Anoniem: 48989 @elmuerte • 18 december 2006 13:15

Het is niet de rfid chip die de uitleesafstand bepaalt, maar de antenne / reader. Tevens is het succesvol uitlezen van RFID chips ook nog afhankelijk van de orientatie van RFID tags, richting en orientatie van de antenne. Bovendien worden bewegende RFID tags makkelijker 'gezien' dan stilstaande objecten.

Van een rij aanschuivende mensen is het relatief eenvoudig rfid tags te lezen.

Anoniem: 36844 @Anoniem: 48989 • 18 december 2006 13:53

Wat volgens mij wel het idee is, is om het paspoort te omhullen in materiaal dat de informatie niet doorlaat. Dus dat de chip pas afgelezen kan worden als je je paspoort open doet.

densoN 18 december 2006 11:39

wanneer krijgen ze door dat die RFID chips niet veilig zijn.
leuk als daarlijk mensen voor de grap met RFID-killers aan de slag gaan. Er staan zat guides op het internet om er een te maken en zonder legetiem passport kunnen we onszelf niet eens meer legetimeren / het land uit.

http://www.boingboing.net...howto_turn_a_disposa.html

cire @densoN • 19 december 2006 21:47

De beveiliging van zo'n paspoort is absoluut niet te vergelijken met een RFID zoals die in de logistiek wordt gebruikt.

De techniek is vergelijkbaar met de chip technologie die op bijna alle (nieuwe) creditcards wordt toegepast.

Anoniem: 43565 18 december 2006 11:56

zie ook dit artikel:
http://www.guardian.co.uk...,00.html?gusrc=rss&feed=1
(van een maand geleden).

De data is niet beveiligd, slechts de communicatie. De sleutel zou ook niet bijzonder ingewikkeld zijn.
Zij konden het paspoort uit lezen van een afstand van 7,5 centimeter (in plaats van het voorgeschreven maximum van 2 centimeter). Nederlanders zouden 30 centimeter gehaald hebben.

Het lijkt er op dat security niet zo'n hoge prioriteit heeft gehad.

Sorcerer8472 @Anoniem: 43565 • 18 december 2006 12:58

Ach, daarvoor is de doofpot toch uitgevonden? Het is modern en chic en dus moeten we het hebben.

Ook leuk waren de Amerikaanse hackers die een bom hadden gebouwd die afging als iemand met een bepaalde nationaliteit langsliep. Hilarisch, maar ook wel heel eng tegelijkertijd...

Op dit item kan niet meer gereageerd worden.

'Rfid-paspoort eenvoudig te kopiëren met juiste software'

Lees meer

IT-banen

Reacties (65)

Sorteer op:

Weergave: