Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 65 reacties
Bron: BBC, submitter: Zaphod B.

Twee burgers zijn er met behulp van een 200 euro kostende rfid-lezer, wat zelfgeschreven software en de programmatuur die gebruikt wordt door douane en politiediensten in geslaagd de informatie van een rfid-paspoort te kopiŽren.

Elektronische identiteitskaartNa de aanslagen op elf september werd de drang om een elektronisch paspoort in te voeren alleen maar groter en de resultaten van die drang beginnen stilletjesaan tastbaar te worden. Lukas Grunwald en Christian Bottger zagen echter nog wat haken en ogen aan deze benadering en besloten een poging te doen de onveiligheid van het systeem aan te tonen. Een van hun zorgen is dat het met een traditioneel identiteitsbewijs duidelijk is als iemand zijn paspoort kwijt is en dat een kopie gemakkelijk te herkennen is. Doordat de informatie op een e-id digitaal opgeslagen is, zijn de gekopieerde gegevens echter niet van de originelen te onderscheiden.

Met die wetenschap in het achterhoofd schaften Grunwald en Bottger zich voor 200 euro een rfid-lezer aan op eBay. Waar ze de 'Golden Reader Tool', de software die douaniers en politiediensten gebruiken om e-id's uit te lezen, vandaan haalden is onbekend. Met deze software, de rfid-lezer en een zelfgeschreven programmaatje dat RFdump gedoopt werd, was het echter een koud kunstje om de paspoortgegevens naar de harde schijf te kopiŽren. Een standaardapparaat volstaat vervolgens om de bemachtigde gegevens op een blanco chip weg te schrijven. Een woordvoerder van het UK Home Office wist echter te melden dat het niet duidelijk is waarom iemand de informatie op de chip zou willen achterhalen. 'Een eventuele aanvaller zou er, behalve de foto die ook op andere manieren eenvoudig te achterhalen is, geen informatie mee krijgen die hij nog niet weet', aldus de woordvoerder. Bovendien werd benadrukt dat de mogelijkheid tot het kopiŽren van de digitale informatie het nog niet eenvoudig maakt een vals paspoort te construeren.

Lees meer over

Moderatie-faq Wijzig weergave

Reacties (65)

Een woordvoerder van het UK Home Office wist echter te melden dat het niet duidelijk is waarom iemand de informatie op de chip zou willen achterhalen. 'Een eventuele aanvaller zou er, behalve de foto die ook op andere manieren eenvoudig te achterhalen is, geen informatie mee krijgen die hij nog niet weet', aldus de woordvoerder.
Wat is dan het nut van die chip?
Waar ze de 'Golden Reader Tool', de software die douaniers en politiediensten gebruiken om e-id's uit te lezen, vandaan haalden is onbekend.
Dit vind ik eigenlijk wel interessanter dan het feit dat die gasten de gegevens konden kopieren. Natuurlijk kan je die uitlezen als je software hebt die daarvoor bedoeld is. Zo eng is dat niet, want als die niet bestond had de douane ook weinig aan zo'n paspoort. Wat pas echt eng is, is hoe ze in godsnaam aan die software gekomen zijn.
Hoe ze er aan gekomen zijn is niet echt belangrijk. Het feit dat ze er aan gekomen zijn is balangrijk. Want dit houd in dat kwaadwillende er ook aan kunnen komen.
Hoe kom je daar nou bij? Het is juist belangrijk dat je weet hoe ze eraan gekomen zijn. Dat ze eraangekomen zijn weten we al, daar kan je verder niets mee.
Hoe kom je daar nou bij? Het is juist belangrijk dat je weet hoe ze eraan gekomen zijn. Dat ze eraangekomen zijn weten we al, daar kan je verder niets mee.
Nee.

Het onderwerp is de veiligheid van het RFID paspoort. Hoe ze aan die apparatuur komen is bijzaak. Als jij die apparatuur beter moet beveiligen omdat anders mensen RFID paspoorten kunnen namaken, dan is het principe van de paspoorten zelf security through obscurity en duurt het niet veel langer voordat een alternatief apparaat is ontwikkeld wat hetzelfde kan als de originele apparatuur welke de douane gebruikt.
Die Golden Reader Tool is echt geen geheim produkt ofzo. Allerlei bedrijven die in deze markt werkzaam zijn, gebruiken dit tool.

De beveiliging zit niet in dit tool, maar in de chip op het paspoort!
Dat is niet zo heel moeilijk. Ik heb laatst een paspoort aangevraagd hier bij de gemeente. Ze hadden een PC met reader ter demonstratie in de publieke ruimte gezet om te testen of je paspoort correct gelezen kon worden. Zo heb ik na het ophalen van mijn paspoort ook even geprobeerd en ik kreeg inderdaad op het scherm mijn pasfoto en persoonlijke gegevens. Het is natuurlijk een koud kunstje om met je gekloonde RFID chip even te kijken of deze goed in te scannen is. Daar heb je die software niet voor nodig.
Dan heb je nog steeds de software niet. En als ik het zo lees gebruikten ze die software om het ding uit te lezen, niet alleen om te controleren of hun kopie werkte.

Dus wat hebben ze gedaan? Heel die PC meegenomen uit het gemeentehuis?
Of zijzelf of kennissen werkten op het gemeentehuis. Ben je er ook al. Punt is dat die hard- en software dus makkelijk te verkrijgen is.
Waarom niet? Ik kan me voorstellen dat als mensen hiermee bezig zijn ze er ook niet voor schuwen om 's nachts in het gemeentehuis in te breken om de computer+scanner mee te nemen.
Bovendien werd benadrukt dat de mogelijkheid tot het kopiŽren van de digitale informatie het nog niet eenvoudig maakt een vals paspoort te construeren.
Dat ben ik niet met ze eens.
Het is juist de bedoeling van de RFID dat vervalsingen moeilijker worden maar wanneer "iedereen" een vervalsing kan maken inclusief de originele digitale data dan zijn we toch weer terug bij af ?
Je kan misschien wel de data uitlezen, maar je zal toch nog altijd een nieuw fysiek paspoort moeten maken om er iets mee te kunnen. Je zal aan de douane immers nog altijd een 'controle op het oog' van het document hebben.
Het ging er juist om dat het ingevoerd is als EXTRA beveiliging. Dit is dus kul.
Vermits ze blijkbaar niet de foto hebben (kunnen) veranderen, is het dus wel een extra beveiliging.
Het was inderdaad misschien wel beter geweest als ook het kopieren bemoeilijkt werd, door misschien de kaart een response te laten genereren die verschillend is bij een verschillende vraag.
Inderdaad.
Nu kijkt de douance nog (een klein beetje) naar het papier en andere eigenschappen van een papieren paspoort.
Met zo'n chippie blijft er alleen nog 'effe scannen' over.
Sinds wanneer kijkt de douane naar jou paspoort?

Ben ik werkeloos geworden overnacht? Ik was en ben nog steeds van mening dat de controle op personen aan de grens mbt de reisdocumenten een taak is die wordt uitgevoerd en is opgedragen aan de Koninklijke Marechaussee?

Shit.....iemand werk voor mij?

:Y)
Is het electronische gedeelte niet een aanvulling op het paspoort. Dus naast de foto, gegevens en de nodige watermerken enzo, zit er een chip op zodat de gegevens die op het paspoort snel gecross-referenced kunnen worden met een database vol criminelen...

Dus dat je die gegevens van het paspoort kan halen is nog niet zo een ramp, dat kan ik met mijn eigen ogen ook.

Electronica alleen is denk ik geen veilige vervanger van iets tastbaars.
Toch knap dat je dat allemaal kunt zien op pakweg 3meter afstand, zeker als je bedenkt dat ik normaal gesproken niet met mijn paspoort om mijn nek loop.
Als je paspoort wordt uitgelezen gebeurt dat door een gerechtigd iemand (marechaussee). Die mag dus ook je paspoort vasthouden, dus geen 3m maar 20 cm.

En de electronische gegevens zouden ook op niet meer dan een paar cm uit te lezen moeten zijn
Dat is juist de grap bij dit systeem. Als je de ontvangst/zend unit versterkt werkt het ook op veel grotere afstanden. Dus ipv max 2 meter werkt het dan ook zonder meer op 5meter of zelfs meer.

Het gaat nou juist erom dat niet gerechtigde personen jou data kunnen uitlezen en evt op een nieuw paspoort kunnen zetten.
Stel je lijkt op een of andere crimineel welke doelbewust aan het scannen is naar jou paspoort gegevens. Even later loopt er dus een potentiele terrorist rond met jou identitieit. Even later overvalt deze een bank, blaast een bus op of whatever. De scanner aan de ingang van de bank of het openbare vervoer heeft jou id vastgesteld en opgeslagen. Nou ja, de rest bedenk je zelf maar.

Klinkt misschien allemaal vergezocht, maar in de nabije toekomst is dit zeker niet persee het geval.
Het paspoort aanzich is in feite altijd hetzelfde, je hoeft deze dus niet te zien om er een te kunnen maken. Als je de persoonsgevens hebt ben je ver genoeg.
"The Net, part III (identity theft in Europe)"

Staring: Sandra Bullock once again...

http://imdb.com/title/tt0113957/

Hoe duidelijk wil je het hebben?
...behalve de foto die ook op andere manieren eenvoudig te achterhalen is, geen informatie mee krijgen die hij nog niet weet', ....
Bedoeling van het kopieren is juist voor het maken van een VALS paspoort, en dat is bij deze dus gelukt.

Zo kan iemand met andermans indentiteit vrolijk naar een ander land reizen en daar zijn of haar heil zoeken...
Een vals palspoort met de originele foto en informatie inderdaad..

Maar dit is toch geen nieuws, maar al een paar keer aangetoond ?
(4 aug 2006: http://www.theregister.co.uk/2006/08/04/cloning_epassports/)

(nog even gelezen.. exact hetzelfde verhaal dus als bijna een half jaar geleden maar op de register link dus met wat meer technische inhoud.)
Elke persoon met computerkennis (ala Tweaker) die had je dit kunnen vertellen.

Het is electronisch, nullen en enen, en het kan die nullen en enen uitzenden.
Je pikt het signaal op, slaat het ergens in op wat het exacte zelfde signaal ook kan uitzenden en je bent klaar.

Wordt al tijden gedaan door de proffesionele autodief.


Nergens in deze lijst met reacties lees ik "goh dat had ik nou niet verwacht!"

Wie doet er mee met een gelijksoortig iets als "Wij vertrouwen stem computers niet!" ?

Anders wordt het er weer met een paar wetten ofzo doorheen gedrukt. Mocht dat gebeuren dan gaat mijn paspoort eerst de magnetron in als ik ene nieuwe heb gekocht. (Gekocht ja, ze zijn schandalig duur)
Zo simpel is het niet. Je kunt natuurlijk wel enen en nullen opslaan, maar als deze data in een volgende 'transactie' niet meer geldig is, heb je er dus niets aan.

Bijvoorbeeld bij de (nieuwe) EMV bankpassen wordt hier gebruik van gemaakt.
En erger nog, je kunt dus met je toekomstige nieuwe (valse) paspoort ook een rekening openen!

Even een aardig bedragje lenen, en degene van wie de e-ID echt is heeft er weer een schuld bij...
lekker genuanceerd weer....

Alsof je zelf mag bepalen wat voor soort paspoort je krijgt. De VS hameren nu al op een paspoort moet biometrische gegevens van de drager erin. Volgende stap kan dan RFID zijn.

Ik had eigelijk gedacht dat je paspoorten pas uit kon lezen op het moment dat je een soort van 'toestemming' had. En met een redelijke tijdsvertraging zodat 'bruteforce' niet mogelijk zou zijn. nja, lekker beveiligd allemaal weer :(
Ik heb wel eens iemand horen zeggen dat zo'n paspoort terrorisme juist in de hand werkt. Je kunt nu een bom zo afstellen dat ie alleen afgaat als de juiste persoon met z'n rfid in de buurt is :)
dat zou idd moeten kunnen. Maar dit maakt het voor ons burgers wel veiliger. Want waarom zou iemand mij opblazen ipv balkenende, of de koningin.
Het gaat ook niet om jou, maar om jou en de andere 500 westerlingen/Amerikanen/Joden/etc. in die ruimte.
Opblazen is natuurlijk een extreem voorbeeld, hoewel je nu nooit kunt voorspellen wie jou om welke reden dan dood wilt... Wie weet omdat je blauwe ogen hebt, of gewoon omdat je een man bent ouder dan 16.

Wat veel meer mensen van mekaar willen is weten waar ze geweest zijn. Opblazen is dan altijd nog een optie :)
Dat ligt maar net aan wat voor bereik die dingen hebben natuurlijk. Veel RFID toepassingen die ik ken hebben een bereik van hooguit twee centimeter.
Leuk,

Het bereik is dan weer prima te verhogen door een sterkere ontvanger te gebruiken, deze stuurt immers de stroom.

Er is al een proof of concept vuilnisbak bom gemaakt, zoek maar eens naar filmpjes.

Deze bom gaat af zodra er een amerikaans paspoort langs de prullenbak liep.
Hier is het filmpje.

http://www.youtube.com/watch?v=-XXaqraF7pI

edit: Dit was een reactie op killercow.
ik zie het al voor me...

"drukt u n op de akkoord knop van uw paspoord om deze te laten uitlezen"

krijg je een bluetooth idee om zo in andermans telefoons te snuffelen... ook niet erg practisch!
ligt het nou aan mij of lees ik elke keer bij RFID dat het makkelijk te kopieren is en dat de beveiliging r*k is?
als de data nou ge-encrypt zou zijn, en de encryptie code als een barcode op kaart geprint zou staan zou het al een stuk veiliger zijn.

maar aan de andere kant zou de Rrid nogsteeds een uniek id uitzenden ookal kan je de data niet unencrypten.

ik vraag me af hoelang het zal duren voordat grappenmakers de rfid uitlezen van de president ( van america) en deze data op het internet zetten.
Nee dat ligt niet aan jou, maar aan de media ;)

Het probleem is dat de media op elk 'contactless' product het naampje RFID plakt, ookal heeft de achterliggende techniek niets tot weinig met elkaar te maken.

De redenering is als volgt:
- sommige RFID toepassingen zijn gekraakt
- paspoort is contactless, dus RFID
- dus paspoort is makkelijk te kraken
Denk niet dat het ooit mogelijk word die dingen NIET na te maken... Denk eerder dat ze een soort van lezer moeten maken die ook je hartslag meet en je vingerafdruk leest. Goed, het word dan natuurlijk wel een drukte op bijv luchthavens... Zou niet weten wat tegenwoordig niet meer nagemaakt/gekraakt kan worden.
Hartslag zegt weinig,
varieert de hele dag,

en vingerafdruk is ook gewoon te kopieeren.

En dan nog ben je niet veilig,
stel je voor dat de dader niks heeft gedaan, komt het land binnen en maakt een mestbom, maak je gewoon met huis tuin en keukenspullen.
Daarnaast is het wel frappant dat uitgerekend het land waar je wapens bij wijze van spreke in de supermakt kunt kopen aankomt met deze kul omdat het dan veiliger wordt.

9/11 heeft het westen een les nog niet geleerd,
het waren martelaren,
die sterven voor hun doel en van die mensen hoef je geen tweede daad te verwachten.
en vingerafdruk is ook gewoon te kopieeren
Niet op afstand.


Offtopic:
Over die terroristen, het is nogsteeds discutabel hoe echt 9/11 was.

Ik ben ervan overtuigd dat het gebeurd is om die Rfid en andere privacy schendende en meer controlerende shit te rechtvaardigen, en om een excuus voor een oorlog te hebben.
Het probleem is dat het lezen van RFID contactloos is. De grote vraag, wat is de aflees straal. Als het 1m is dan is het in de rij op het vliegveld wachten genoeg om heel wat paspoort gegevens te lezen. Deze gegevens kan je later dan gebruiken voor een vals paspoort (zonder dan de persoon die gekopieerd is dat weet).
Het is niet de rfid chip die de uitleesafstand bepaalt, maar de antenne / reader. Tevens is het succesvol uitlezen van RFID chips ook nog afhankelijk van de orientatie van RFID tags, richting en orientatie van de antenne. Bovendien worden bewegende RFID tags makkelijker 'gezien' dan stilstaande objecten.

Van een rij aanschuivende mensen is het relatief eenvoudig rfid tags te lezen.
Wat volgens mij wel het idee is, is om het paspoort te omhullen in materiaal dat de informatie niet doorlaat. Dus dat de chip pas afgelezen kan worden als je je paspoort open doet.
wanneer krijgen ze door dat die RFID chips niet veilig zijn.
leuk als daarlijk mensen voor de grap met RFID-killers aan de slag gaan. Er staan zat guides op het internet om er een te maken en zonder legetiem passport kunnen we onszelf niet eens meer legetimeren / het land uit.

http://www.boingboing.net...howto_turn_a_disposa.html
De beveiliging van zo'n paspoort is absoluut niet te vergelijken met een RFID zoals die in de logistiek wordt gebruikt.

De techniek is vergelijkbaar met de chip technologie die op bijna alle (nieuwe) creditcards wordt toegepast.
zie ook dit artikel:
http://www.guardian.co.uk...,00.html?gusrc=rss&feed=1
(van een maand geleden).

De data is niet beveiligd, slechts de communicatie. De sleutel zou ook niet bijzonder ingewikkeld zijn.
Zij konden het paspoort uit lezen van een afstand van 7,5 centimeter (in plaats van het voorgeschreven maximum van 2 centimeter). Nederlanders zouden 30 centimeter gehaald hebben.

Het lijkt er op dat security niet zo'n hoge prioriteit heeft gehad.
Ach, daarvoor is de doofpot toch uitgevonden? Het is modern en chic en dus moeten we het hebben.

Ook leuk waren de Amerikaanse hackers die een bom hadden gebouwd die afging als iemand met een bepaalde nationaliteit langsliep. Hilarisch, maar ook wel heel eng tegelijkertijd...

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True