Mifare-krakers ontdekken ook fout in paspoortchip

Onderzoekers van de Radboud Universiteit kunnen de nationaliteit van een paspoorthouder bepalen door de erin verwerkte rfid-chips op afstand te bestoken met ongeldige verzoeken. De uitleesmethode lijkt vooral interessant voor criminelen.

Nederlands paspoort Paspoorten uit een groeiend aantal landen beschikken over een rfid-chip waarop gegevens van de houder staan opgeslagen. De data is versleuteld met het Basic Access Control-mechanisme, dat nog niet is gekraakt. Wanneer de chip echter wordt bestookt met ongeldige verzoeken om informatie, kan uit de teruggestuurde foutmeldingen de nationaliteit van de houder worden afgeleid, zeggen de onderzoekers van de Nijmeegse Universiteit. Deze hack zou werken bij paspoorten uit Nederland, Australië, België, Duitsland en nog zes Europese landen, zo meldt Trouw.

Met name paspoortdieven zouden dankzij de hackmethode met een snelle scan op bijvoorbeeld een vliegveld doelgericht hun slag kunnen slaan, waarbij een rfid-scanner van enkele tientallen euro's volstaat. Door de antenne te vervangen door een krachtiger exemplaar kan de rfid-chip op een afstand van ongeveer 25 centimeter worden uitgelezen. De onderzoekers wijzen ook op het theoretische gevaar van een 'paspoortbom', die ontploft als iemand uit een bepaald land passeert.

De onderzoekers uit Nijmegen, die eerder met succes de Mifare-chip in de ov-chipkaart kraakten, stellen dat de beveiligingsnormen die door de VN-organisatie Icao zijn opgesteld, niet voldoen. Pogingen om de opgeslagen persoonsgegevens op de rfid-chips uit te lezen zijn tot nu toe nog zonder succes, maar door het ontbreken van genormaliseerde foutmeldingen bij dataverzoeken blijken de identiteitsbewijzen toch informatie over de eigenaar prijs te geven. De instanties die de paspoorten uitgeven, zouden daarom moeten overwegen om de identiteitspapieren te voorzien van een metalen 'schild', zoals de Amerikaanse paspoorten dat al hebben. Hierdoor zou het ongemerkt uitlezen van een dichtgeslagen paspoort ernstig worden bemoeilijkt. De Nijmeegse onderzoekers zullen volgende maand meer details over hun bevindingen bekendmaken.

IT-banen

Reacties (92)

killingdjef 8 april 2008 12:53

Ik vind het merkwaardig dat deze zaken steeds vaker aan het licht komen. Eerst de OV chip, nu het paspoort. Je begint je af te vragen of de bedrijven die zulke producten moeten ontwikkelen wel competent genoeg zijn hiervoor. Aan de andere kant bestaat er niet iets als een certificaat die aangeeft dat een bedrijf bekwaam genoeg is voor ontwikkeling van high-security objecten zoals een dergelijk passport.

Dit is misschien allemaal een noodzakelijk kwaad om de ICT sector meer volwassen te laten worden?

feuniks @killingdjef • 8 april 2008 13:30

Als ik het met bedrijven over beveiliging heb, dan is het eerste wat ik ze vertel altjjd dat de persoon die claimt een 100% veilig netwerk te ontwikkelen, meteen op straat gezet moet worden.

Een beetje off-topic misschien, aar het geeft het probleem hier ook meteen weer. Het is helaas niet mogelijk om 100% alles uit te sluiten. De reden is dat je nooit alles weet. Als ik een beveiliging maak, dan kan het best zo zijn dat jij toevallig een idee hebt, waar ik niet aan gedacht heb. En als ik 1.000.000 mensen bij elkaar zet om een beveiliging te maken, dan kan dat nog steeds zo zijn. Het probleem is dat je de fout eerst moet zien, om hem te kunnen ondervangen. En daar ligt nu net het probleem.

In dit geval denk ik dat de nationaliteit te achterhalen is, omdat de chips van de verschillende landen gewoon allemaal iets anders op het ongeldige verzoek reageren. Ik denk dat ik dat kan zien als een "404-error" die ook voor elk type server een iets ander scherm oplevert. Als dat het geval is, dan heeft gewoon niemand eraan gedacht dat je op deze maneir kunt zien waar de persoon vandaag komt. De chip geeft de nationaliteit dan ook niet af via het nationaliteitsrecord op de chip, maar hij praat zijn mond voorbij door de "taal die hij spreekt".

Het probleem is, dat steeds meer producten dergelijke chips in zich hebben en dat het voor steeds meer mensen interessant is om hier iets mee te doen. Terroristen zijn inderdaad een groep, maar ik denk dat dit maar voornamelijk bangmakerij is en dat we van deze groep relatief weinig te duchten hebben. Grote bedrijven zie ik daar als een groter probleem. Zij willen graag veel weten van ons consumenten en het liefste zouden zij gewoon op ons willen klikken en dan de kenmerken van ons willen uitlezen, zoals dat bij spellen uit de Tycoon serie kan. Een actieve chip die gekoppeld kan worden aan personen en hun koopgedag zou hier al een heel mooie oplossing zijn. AH kan zijn bonuskaart wegdoen als ze in plaats daarvan gewoon via ons paspoort ons kunnen registreren. En het mooie van dit alles is: het kan met een enkele chip. De chip van ons paspoort of rijbewijs kan overal gebruikt worden en zal overal hetzelfde resultaat geven. Als dus een manier wordt gevonden om alleen al het serienummer uit te lezen, dan is het mogelijk om databases aan te leggen op basis van dat serienummer. Meer heb je niet nodig, want die gegevens kun je elders wel krijgen. op het moment dat de persoon met zijn pin afrekend bij de kassa weet men via de bankafschrijfing naam woonplaats en bankrekeningnummer. Een koppeling met de telefoongids levert vaak de rest van de gegevens. En het mooie is, dat iedereen die dit doet dezelfde serienummers uitleest. Dus kan AH met shell de gegevens ruilen. Shell kan via hun camerasysteem kentekenplaten inlezen en via de site van de RDW kun je weer zien wat voor een auto hier bij hoort. Dit kun je oneindig ver doorvoeren.

Ik geef dit even weer, omdat hier de grootste problemen van dit soort systemen zitten. Men komt steeds meer over ons te weten en dat kan tegen ons gebruikt worden. Vroeger of later komt er een verzekeringsmaatschappij die mensen om onduidelijke redenen weigert of hogere premies laat betalen. Uiteindelijk zal dan blijken dat deze verzekering dat doet, omdat de peronen die geweigerd worden te vee pizza's bij AH meenemen, te vaak tanken, en dus weinig of niet met de fiets gaan, regelmatig bij de dokter zitten met een of ander kwaaltje etc. De weg die we nu inslaan is potentieel erg gevaarlijk.

vgroenewold @feuniks • 8 april 2008 14:15

Potentieel ja, maar daar hebben we nu een vrij aardige democratie voor en kunnen we flink gaan protesteren en anders stemmen de volgende keer.

Je hebt zeker gelijk dat dit scenario kan voorkomen en het zou mij niet verbazen wanneer verzekeringsmaatschappijen ernaar kijken, echter zijn deze scenario's al vaker de revue gepasseerd...bijv. met de introductie van mobieltjes, scanners, e.d. maar vooralsnog niet voorgekomen. Verzekeringsmaatschappijen mogen al jaren vanalles vragen via formulieren, lieg je, dan heb je een flink probleem of men keert alsnog niet uit. Het is heel vreemd hoe die business werkt, iedereen moet gewoon een verzekering hebben vanaf de geboorte ongeacht wat deze heeft (zoals het vroeger was volgens mij) en dan is dit probleem opgelost.

mae-t.net @vgroenewold • 9 april 2008 00:51

Ja en nee. Politici, ook die democratisch gekozen zijn, zullen altijd gecorrumpeerd raken door eigen belangen of andere eer en glorie. Gebeurt het een keer niet is het mooi meegenomen. Verkiezingen helpen daar niet altijd tegen omdat je alleen maar grofweg bepaalt in welke richting het beleid moet gaan, of omdat bepaalde issues niet als belangrijk worden ervaren en onderweg ergens sneuvelen. Om het risico op ontwikkelingen in een ongewenste richting te verkleinen hebben we er bijvoorbeeld voor gekozen om de rechterlijke macht grotendeels zelfstandig te laten opereren, en hebben we behalve een 2e kamer ook een 1e kamer, we hebben een grondwet, er staan zo nu en dan actiegroepen op die een issue zoals stemcomputers oppakken, etc..

Iets dat belangrijk is, is om je bij dit soort projecten altijd af te vragen wat je er eigenlijk mee wilt bereiken en hoe het (worst case) misbruikt kan worden. Als die mogelijkheden legio zijn en het gebruik ook wel op een betere manier kan, dien je ervoor te kiezen om het systeem niet in te voeren. Ter bescherming van je eigen portemonnee (zo'n systeem kost altijd geld), en om te voorkomen dat er onnodige mogelijkheden worden geschapen die machtsmisbruik (niet alleen door politici natuurlijk) makkelijker maken.

[Reactie gewijzigd door mae-t.net op 31 juli 2024 04:18]

Cio @vgroenewold • 8 april 2008 14:50

"Potentieel ja, maar daar hebben we nu een vrij aardige democratie voor en kunnen we flink gaan protesteren en anders stemmen de volgende keer."

Van de week bleek nog dat 1 op de 3 nederlanders liever Geert Wilders vertrouwde dan het kabinet (op hun woord dan). Ik denk dat daarmee in beide richtingen wel aangegeven is hoeveel vertrouwen we kunnen hebben in:

1. Onze mede kiesgerechtigden.
2. Onze politici.
3. De welwillendheid van nederlanders om de straat op te gaan.

Ik heb liever een gewoon treinkaartje, of een stevig paspoort, dan een RFID chip die ik al toon zonder deze uit m'n zak te halen! Helaas, mijn privacy is in Den Haag ondergeschikt aan controle en economische belangen.

vgroenewold @Cio • 8 april 2008 15:22

Oh daar heb je meer dan gelijk in, democratie werkt op die manier (waarbij de meeste mensen dus met de waan van de dag meestemmen) ook niet, dat is dan weer het jammere. Een dictatuur waarbij de dictator goede afgewogen beslissingen maakt zou dan eigenlijk beter zijn (met veel mensen over gehad al), maar daar zit ook niemand op te wachten en zo'n figuur bestaat ook niet denk ik. Echte alternatieven hebben we niet, maar de democratie maakt het wel mogelijk dat ik de waan van de dag ook kan veroorzaken en iedereen mijn kant op kan laten kijken.

the_stickie @killingdjef • 8 april 2008 12:59

Een schrijnwerker maakt samen met een slotenmaker een naar hun inzien "perfecte deur", een metaalarbeider ontwerpt vervolgens een krachtigere hamer en slaat de deur (gedeeltelijk) stuk.
Zijn schrijwerker of slotenmaker incompetent?
Imho pas als ze e niet in slagen opnieuw een deur te ontwerpen, die ook deze aanval weerstaat.

moraal: imho zijn er altijd gaatjes, je moet ze alleen maar weten vinden

boesOne @the_stickie • 8 april 2008 13:08

Een slotenmaker zal nooit het perfecte slot moeten claimen omdat de sleutelmaker behoort te weten dat dit niet bestaat.

In die zin is het claimen van een superieure beveiliging door een vrij simpel rfid chipje inderdaad incompetent..

the_stickie @boesOne • 8 april 2008 17:09

maar de marketing "wetten" zeggen dat je nooit de zwakke punten van je product moet promoten

elmuerte @the_stickie • 8 april 2008 13:23

Ja ze zijn incompetent. Want volgens jou verhaaldje hebben de schrijnwerker en slotenmaker hun deur niet fatsoenlijk laten testen (door o.a. een metaalarbeider).

[Reactie gewijzigd door elmuerte op 31 juli 2024 04:18]

elmuerte @killingdjef • 8 april 2008 12:57

Aan de andere kant bestaat er niet iets als een certificaat die aangeeft dat een bedrijf bekwaam genoeg is voor ontwikkeling van high-security objecten zoals een dergelijk passport.

Klinkt als misplaatst vertrouwen in een keurmerk. Zelfs RSA heeft steken laten vallen, en als er wel een bedrijf is dat kennis heeft van "high-security" dan is het RSA.

Dit is misschien allemaal een noodzakelijk kwaad om de ICT sector meer volwassen te laten worden?

Hoezo? Waarom is dit de schuld van de ICT sector? Volgens mij was het toch echt de overheid die bepaalde goedkope technologie wou pushen die nog niet goed genoeg getest is.

[Reactie gewijzigd door elmuerte op 31 juli 2024 04:18]

killingdjef @elmuerte • 8 april 2008 16:19

Hoezo? Waarom is dit de schuld van de ICT sector? Volgens mij was het toch echt de overheid die bepaalde goedkope technologie wou pushen die nog niet goed genoeg getest is.

Oneens. Als ontwikkelaar accepteer je een opdracht welke verantwoordelijkheden met zich meebrengt. Dat de overheid het goedkoopste van het goedkoopste wil en daarbij ook nog pusht is 1 ding, je er als professional door laten opjagen en beinvloeden is een tweede. Je -hoeft- de opdracht niet te doen als er absurde criteria en deadlines worden gesteld.

Met andere woorden, men moet van het "ja-knikken" af binnen de sector en meer eisen stellen en voorwaarden stellen. Dat is namelijk echt een punt waar de ICT sector op achterloopt als je haar vergelijkt met bijvoorbeeld de bouw.

tERRiON @killingdjef • 8 april 2008 19:36

Ik weet niet wat jouw ervaringen zijn met de bouw, maar mijn ervaringen zijn niet veel anders dan met de ICT-dienstverleners zoals jij die schetst: Je krijgt wat je vraagt. Vraag je iets doms, dan krijg je iets doms. Vraag je iets fantastisch, dan krijg je iets fantastisch. Vraag je iets goedkoops, dan krijg je iets goedkoops.

Het begint niet met wat jou aangeboden wordt maar het begint met wat je vraagt.

En vergeet niet, als jij de opdracht niet doet, doet een ander het wel.

7.01D @tERRiON • 8 april 2008 21:09

En vergeet niet, als jij de opdracht niet doet, doet een ander het wel.

En dan loopt die het risico op zijn/haar bek te gaan. Als bedrijven een onmogelijke opdracht aannemen, dan mogen ze daar ook op aangesproken worden. Anders kunnen ze de verantwoordelijkheid altijd op de opdrachtgever afschuiven die in de meeste gevallen incompetent is om een juiste inschatting te maken.

mae-t.net @7.01D • 9 april 2008 00:43

Precies. Een bedrijf is dan wel commercieel, maar dat ontslaat het niet van enige verantwoordelijkheid als het erop aankomt. Te gretig onmogelijke of conceptueel onwenselijke opdrachten aannemen geeft nou eenmaal problemen.

[Reactie gewijzigd door mae-t.net op 31 juli 2024 04:18]

The Zep Man

Privacy
Hackers
Beveiliging

@killingdjef • 8 april 2008 17:00

Dat is namelijk echt een punt waar de ICT sector op achterloopt als je haar vergelijkt met bijvoorbeeld de bouw.

Inderdaad. In de bouw kijken ze eerst bij grote overheidsprojecten of er meer uit te halen is dan dat het waard is.

Amito @killingdjef • 8 april 2008 12:58

Iedereen kan een fout maken, ook de beste van het beste.

Feit is dat alles te kraken is. Als het niet nu is dan over een paar jaar, met nieuwere/goedkopere apparatuur.

1Mark @Amito • 8 april 2008 14:13

daarom dat hackers ook vaak vantevoren al de discussie starten of het uberhaupt wenselijk is om te automatiseren.

de motivatie tot automatiseren is veelal efficientie, maar de nadelen zijn behoorlijk groot...

tilt @Amito • 8 april 2008 13:46

er is nog steeds een verschil tussen uitlezen en kraken...

en hier gaat het over uitlezen van foutmeldingen

Anoniem: 28557 @tilt • 8 april 2008 22:16

Alles valt op den duur te kraken, overal worden fouten gemaakt, dus ook bij makers van paspoort-chips, en aangezien je bij een paspoort niet zomaar even een 'servicepack' uitrolt, is de enige juiste vraag die gesteld had moeten worden: is het wel verstandig om een paspoort 'remote' uitleesbaar te maken, in mijn opinie is het antwoord daarop: "nee".

bonus @killingdjef • 8 april 2008 13:14

Vaak ook onder productie druk of deadlines gebeuren dit soort dingen. Er wordt gewoon te weinig getest.
Ook echt testen van dat soort dingen is een echt vaak maar wordt heel vak onderschat.

[Reactie gewijzigd door bonus op 31 juli 2024 04:18]

TD-er

@bonus • 8 april 2008 13:39

Vaak ook onder productie druk of deadlines gebeuren dit soort dingen. Er wordt gewoon te weinig getest.
Ook echt testen van dat soort dingen is een echt vaak maar wordt heel vak onderschat.

Voor testen zijn vaak gewoon standaard dingen die ze proberen. Dit soort zaken zal echter niet met heel erg standaard methoden gekraakt worden, dus het is moeilijk te zeggen dat het niet genoeg getest wordt, of meer getest zou moeten worden.
Maar het grote probleem met dit soort zaken is meer dat men gewoon niet wil luisteren naar de tegenargumenten, want je kunt op een veel simpelere manier ook nog wel een schatting maken of er een paspoort voorbij komt, door namelijk naar de range van het serienummer van de RF-id te kijken.
Vergt wel een database bij je scanner, maar dan kan het dus ook.

Maar goed, de overheid had het idee dat RF-id de ideale oplossing is voor dit soort zaken, dus dan komt het er ook, ookal zijn er tientallen groepen die tientallen bezwaren noemen. De overheid kijkt gewoon naar wat binnen hun ambtstermijn gerealiseerd zou kunnen worden.

MCT @TD-er • 8 april 2008 14:30

Bij dit soort omvangrijke en belangrijke ontwikkelingen zou gewoon standaard een hacker(scommunity) in de arm genomen moeten worden om er eens goed wat gaten in te schieten. De ontwikkeling van nieuwe technieken en het kraken van deze nieuwe systemen zal altijd door blijven gaan, echter zullen dit soort zaken veel minder gebeuren.

Anoniem: 87832 @MCT • 8 april 2008 16:03

Hoezo "een hacker"? Dit soort systemen zouden gewoon open verspreid moeten worden zodat iedere hacker, die het wil, alle mogelijkheden heeft om met volledige kennis van de gebruikte algorithmes en beveiliginsmethodes het systeem te kraken.

Alles anders is "security by obscurity".

Als bedrijven hier niet aan tegemoet willen komen dan zul je je toch af moeten vragen of je met dat bedrijf in zee wilt gaan. Alternatief is een universiteit hiervoor te benaderen en als die geen beveiliging kunnen bedenken die goed genoeg is, misschien moet je dan maar gewoon niet vertrouwen of rfid.

ZpAz

@Anoniem: 28557 • 8 april 2008 15:18

Mja wat wil je ook als je je eigen broer doodslaat

vgroenewold 8 april 2008 12:59

Tsja ach, je kan nu zien of iemand een paspoort heeft en uit welk land. Interessant. Kan ik dat? Nee, geen idee hoe. Criminelen...technische kunnen het, heeft dat enorme nadelen? Ik kan het mij nog niet bedenken. 25 cm afstand met een krachtige antenne, volgens mij weten veel criminelen al veel eerder wie een paspoort bij zich heeft...door gewoon te kijken naar de mensen die ermee zwaaien op het vliegveld... deze kraak demo's komen steeds vaker voor, inclusief zeer theoretische verschrikkelijke dingen die je ermee kan doen... zitten deze onderzoeker om meer subsidie te springen?

Beveiliging is altijd te kraken, dat zou toch duidelijk moeten zijn. Dus hoe moeilijk maken we dat? Om een product niet belachelijk duur te maken pleit ik voor een graad die voor gemiddelde gebruikers te moeilijk is, meer beveiliging heeft weinig zin...afhankelijk dan van het type informatie. Maar ook bij staatsgeheimen...wie heeft daar iets aan...een ander land/groep...en ja, die kraken zich dan suf en komen vast met een manier. Zo kan je bezig blijven met geld spenderen.

[Reactie gewijzigd door vgroenewold op 31 juli 2024 04:18]

Anoniem: 196696 @vgroenewold • 8 april 2008 13:09

maar stel je nou voor dat de volgende stap (het uitlezen van persoonsgegevens) ook gekraakt wordt. Met 25 cm afstand in op een druk treinstation, vliegveld, voetbalwedstrijd etc etc etc heb je binnen een uurtje honderden identiteiten gestolen.

Vervolgens kan je rfid chips zo maken dat ze dit signaal weer uitzenden, en voila je identiteit is gekopieerd en kan nu gebruikt worden voor drugstransporten tot illegale immigratie

t_captain @Anoniem: 196696 • 8 april 2008 13:15

Dan heb je in feite maar een optie over: 3 seconden magnetron.

Dat je paspoort alweer een technische storing heeft, kun jij natuurlijk niet helpen. Je werkt prima mee aan een controle als je je paspoort geeft aan een douanier geeft om het met de hand te controleren.

Plopeye @t_captain • 8 april 2008 18:47

Dit betekend dat je eigenhandig wijzigingen in je paspoort aanbrengt en dit is strafbaar...

Dit betekend dat je een rijkseigendom vernield.

Artikel 4 paspoortwet:
Elk reisdocument blijft na uitreiking rijkseigendom. Onze Minister oefent het eigendomsrecht uit.

Indien je dus met een defecte chip bij de Doune komt gaat artikel 54 van de paspoortwet in werking:
Artikel 54

1. Een reisdocument wordt ingehouden, indien:

a. het van rechtswege is vervallen ingevolge artikel 47 of 48;

b. het zodanig is beschadigd dat daarin opgenomen beveiligingskenmerken zijn aangetast, gegevens niet meer leesbaar zijn of een deel ervan ontbreekt;

c. in of aan het document wijzigingen zijn aangebracht of aantekeningen zijn gesteld door een onbevoegde;

d. de foto van de houder niet langer voldoende gelijkenis vertoont;

e. blijkt dat daarin abusievelijk verkeerde gegevens zijn vermeld dan wel anderszins fouten zijn gemaakt bij de vervaardiging van het reisdocument.

[Reactie gewijzigd door Plopeye op 31 juli 2024 04:18]

Anoniem: 14842 @vgroenewold • 8 april 2008 13:08

Beveiliging is altijd te kraken, dat zou toch duidelijk moeten zijn.

Blijkbaar niet. Anders snap ik namelijk niet waarom we plotseling deze chip in onze pas moeten hebben. Puur en alleen om dat de US denkt dat dat veiliger is...

Dus hoe moeilijk maken we dat? Om een product niet belachelijk duur te maken pleit ik voor een graad die voor gemiddelde gebruikers te moeilijk is, meer beveiliging heeft weinig zin...afhankelijk dan van het type informatie. Maar ook bij staatsgeheimen...wie heeft daar iets aan...een ander land/groep...en ja, die kraken zich dan suf en komen vast met een manier. Zo kan je bezig blijven met geld spenderen.

En toch: als ik word gedwongen een paspoort bij mij te hebben met al deze gegevens er op dan vind ik dat de overheid er flink wat moeite in mag steken om dit goed te beveiligen. En dan inderdaad tegen de wat verder ontwikkelde criminelen ja.

Nog even en het is normaal dat de overheid je maar gewoon vraagt om met je BSN en PIN op je hoofd rond te lopen: het is immers toch niet goed te beveiligen...

vgroenewold @Anoniem: 14842 • 8 april 2008 13:20

Identificatie is verplicht, dat de VS hier een zegje in heeft...tsja, het enige wat we daar aan kunnen doen is anders stemmen de volgende keer. Als er echt grote nadelen aan het licht gaan komen wordt het vanzelf wel aangepast. Je hebt wel gelijk dat men dit wilde om bijv. terroristen het leven zuur te maken, dat gaat dus niet werken...niet voor de fanatieke in ieder geval.

En uiteraard, ik wil zeker niet mijn medische info hierop hebben e.d. Maar hoe ik eruit zie, uit welk land ik kom en dat ik de chip heb...mwoa, niet al te erg...niet erger dan het verplicht moeten hebben van het paspoort zelf. En ik geef liever niet 100 Euro uit aan een sterk verbeterde beveiliging ipv 25 voor een normaal beveiligde.

GreatDictator @vgroenewold • 8 april 2008 13:19

Het gevaar is dat criminelen nu veel gerichter paspoorten kunnen stelen. Als ze een Peruaans paspoort nodig hebben, gaan ze naar een vliegveld toe, gaan ergens in een rij voor de WC ofzo staan en scannen even welke nationaliteiten er allemaal zijn.

vgroenewold @GreatDictator • 8 april 2008 13:25

Dat zou het stelen dan wat efficienter maken (alhoewel ik denk dat het enigzins opvalt), maar men steelt het hoe dan ook, alleen nu steelt men gewoon alles wat los en vast zit. Dus het probleem wordt hiermee niet plots groter, misschien eerder kleiner.

[Reactie gewijzigd door vgroenewold op 31 juli 2024 04:18]

paradoXical 8 april 2008 13:05

Dit is wel zorgelijk te noemen, want hoe zal de situatie over 5 jaar zijn?
De techniek staat niet stil, stel je eens voor dat deze gegevens over 5 jaar eenvoudig te bemachtigen zijn. Met paspoortgegevens kunnen criminelen veel leuke dingen doen.

Anoniem: 142442 8 april 2008 13:15

Wil je jezelf beschermen tegen ongeoorloofd uitlezen dan moet je de van een rfid chip voorziene documenten afgeschermd opbergen.
Er zijn al readymade producten op de markt maar voor de echte tweaker is dit: http://www.rpi-polymath.com/ducttape/RFIDWallet.php
misschien ook wat.

Gabberhead @Anoniem: 142442 • 8 april 2008 15:00

De ouderwetse folie waarin computeronderdelen worden geleverd werkt ook prima.

VisionMaster @Anoniem: 142442 • 8 april 2008 15:54

Ik wou zoiets eergister kopen op Amazon. Althans... niet een doe het zelf projectje, maar een mooi net hoesje. Echter bleek er een export restrictie te zitten op die dingen

WTF...

Verder vroeg ik Leidschendam-Voorburg een paar weken terug of ze heel misschien van die anti-RFID mapjes/hoesje bij mij nieuwe paspoort gaven. Ze wisten niet eens waar ik het over had...

Ach ja... dan maar zelf knutselen.

Rembert 8 april 2008 15:12

Najah, als ik een nieuw paspoort aan ga vragen, dan ga ik het boekje direkt onderwerpen aan een EMP pulsje, bijvoorbeeld 5 seconden in de magnetron. Werkt prima.

Testen kun je met bv. een bankbiljet, daar zitten ook RFID chips op. Het bankbiljet knettert even bij de chip en that's it. Niet te lang in de magneping, want dan fikt je bankbiljetje op (je paspoort brandt vast ook erg goed).

Je paspoort in de magnetron leggen mag trouwens vast niet: het blijft een gevalletje van beschadigen van staatseigendom. Maar ik vind lijfbehoud een hoger goed dan het beschermen van de eigendommen van de staat - moet de staat mij maar beter beschermen ;-)

Overigens hebben de identiteitskaarten in Belgie ook al een RFID chip aan boord, maar welke informatie die bevatten?

Japs @Rembert • 8 april 2008 15:34

Weet je zeker dat er RFID chips in euro bankbiljetten zitten ??
Volgens mij zijn het gewoon de folie-strips en hologram-folie die doorfikken in de magnetron.

MMaI @Japs • 8 april 2008 15:50

nee in bankbiljetten zijn het de metaalstrips die afvonken

overigens heeft hij wle een punt, want RFID chips fikken af als je ze in de magnetron legt.
maw, alle mensen halen voortaan gewoon hun rfid paspoort op, 5 sec in de magnetron et voila

low tech life hacks werken altijd het beste tegen hightech

durian @MMaI • 8 april 2008 16:39

Een magnetron is nauwelijks low tech te noemen

Maar ik denk niet dat je met een paspoort met een kapotte chip nog het land uit of in komt. Mag je dat eerst aan de douane uit gaan leggen...

Maghiel @durian • 8 april 2008 18:52

euh, ik reis regelmatig, en heb m'n chip al lang onklaar gemaakt. geen problemen gehad.

Webdoc 8 april 2008 12:59

dit is overigens niet echt een mega-probleem. Maximale afstand is 25cm met gepimpte antenne - moet je toch vrij dicht bij iemand zijn om dit te scannen. En als je als shady crimineel blij in de wachthal van een vleigveld 1 voor 1 bij mensen dichtbij gaat staan valt dat ook wel erg snel op. Het zou netter moeten, maar het is echt niet zo dat dit een grote ramp is.

Anoniem: 28557 @Webdoc • 8 april 2008 14:46

Het gaat erom dat je informatie vrijgeeft waarvan je zelf niet gekozen hebt die vrij te geven en dat je geen keuze hebt om een ander merk paspoort aan te schaffen. De keuze is: in je eigen landje blijven of met zo'n ding op zak gaan lopen.

elmuerte @Webdoc • 8 april 2008 13:06

Zeker nog nooit in de rij gestaan op het vliegveld om bijvoorbeeld in te checken, of een van de vele security check points.

Webdoc @elmuerte • 8 april 2008 13:33

Slechts 80 keer in mijn leven of zo. En jij denkt dat het daar niet verdacht is als er een of andere dude steeds bij iedereen dichtbij gaat staan? Echt wel dat security personeel daar op getraind is, danwel getrained wordt als blijkt dat deze exploit gaan worden toegepast.

Daarbij is het hele idee van deze paspoorten nou juist dat je veel minder in de rij staat omdat het afhandelen door de RFID chip veel sneller gaat. Blik van douande dude op je gezicht, en klaar.

[Reactie gewijzigd door Webdoc op 31 juli 2024 04:18]

mae-t.net @Webdoc • 9 april 2008 01:18

Deze dude hoeft niet bij iedereen vlakbij te gaan staan, zo nu en dan is ruim voldoende, kost alleen wat meer moeite en wat meer verschillende dudes die niet cool zijn.

totaalgeenhard 8 april 2008 13:29

Oud nieuws al in 2006 kon je dit al weten.

http://webwereld.nl/artic...t-beveiligingslekken.html

Overigens is het vreemd dat de meeste mensen niet inzien dat uitlezen van een paspoort inherent is aan een biometrisch paspoort.

Als je straks een paspoort hebt die in meerdere landen uitgelezen moet worden, dan is het toch vanzelfsprekend dat er protocollen zijn die in meerdere landen aan meerdere organisaties (waaronder leveranciers) ter beschikking worden gesteld.

Gezien vrije markt kan iedereen bij BZK protocollen opvragen en daarmee een oplossing maken die paspoorten kan uitlezen.

Atomsk @totaalgeenhard • 8 april 2008 14:08

Het zal toch wel iets ingewikkelder zijn mag ik hopen. Iedereen kan ook de PGP algoritmes downloaden, maar dat wil nog niet zeggen dat je dan ook ieder versleuteld e-mailjte kunt ontcijferen.

Probleem met dit soort projecten is denk ik meer dat het zo lang duurt, dat tegen de tijd dat het eigenlijk wordt toegepast, de gebruikte technologie al aardig verouderd is. Tel daar nog de gebruiksduur bij op en je hebt een redelijke kans dat het gekraakt wordt voordat de opvolger wordt geïntroduceerd.

totaalgeenhard @Atomsk • 8 april 2008 19:06

In 2006 hadden ze de beveiligde sector waar de (statische) persoonsgegevens opstaan niet gekraakt. In dat geval is biometrisch paspoort zinloos omdat iedereen zijn eigen identiteit kan programmeren en dat zou juist gezien de noodzaak voor biometrisch paspoort (absoluut vaststellen identiteit + snelheid controles) onderuit halen.

Wat wel inherent is (en blijft) dat de gegevens middels RFID (gegevens + biometrisch gegevens) uitgelezen moet kunnen worden, dat is gewoon een protocol die openbaar is.

pnieuwla 8 april 2008 12:51

stukje aluminiumfolie eromheen slaan dus!
Sowieso kan iedereen aan mijn kaaskop zien dat ik een nederlander ben...

[Reactie gewijzigd door pnieuwla op 31 juli 2024 04:18]

TD-er

@pnieuwla • 8 april 2008 20:19

Waarom plaatsen ze die folie niet standaard in de kaft van het paspoort? Dan ben je gelijk van het probleem af.
Tevens kunnen ze vast nog wel iets doen om er een vervalsingskenmerk van te maken en het kost vrijwel niets extra.

TDeK

Beveiliging

@TD-er • 8 april 2008 22:04

@TD-er

Die chip zit er in om uitgelezen te worden. Die Alu-folie helpt daar niet echt bij.

Wat me wel verrast is dat ze 'maar' max. 25 cm. halen. Ik meen dat deze dingen op 13,56 MHz werken, dus het probleem wat ze (waarschijnlijk) gehad hebben is dat de zend/ontvang antenne van de reader te groot werd (lage frequentie = lange golflengte). En aangezien de chip wordt gevoed door de straling van de zendantenne ben je er niet met alleen meer zendvermogen; je moet het retoursignaal ook goed kunnen opvangen.

Ter illustratie: ik heb bluetooth-telefoons op afstanden van 75-100 meter uit kunnen lezen. Dat deed ik met een zelfgemaakte circulaire antenne welke geopt was op 2,45 GHz. Dat ding was dan wel een 30cm lang

Bitage @TDeK • 8 april 2008 23:03

Uh, paspoort open en laten scannen

Sja, een paspoort is een zeer persoonlijk iets en ik zou het ook niet fijn vinden dat Jan en Alleman er iets uit kunnen vissen zonder mijn toestemming, al is het maar het land van herkomst. Hopelijk worden die politici niet weer zo nalatig als met de OV-chipkaart...

mae-t.net @TDeK • 9 april 2008 00:40

Die afstand staat uitelegd in een Elektuur van een paar maanden terug. Het kwam erop neer dat de benodigde energie exponentieel toeneemt.

PhoenixT @pnieuwla • 8 april 2008 13:27

Een bom kan dat echter niet. Nu wel dus.

Casplantje @pnieuwla • 8 april 2008 16:04

Ik loop al een jaar rond met een laag alu-folie in mijn paspoorthoes(ik ben over dat soort dingen redelijk paranoïde).
Aan mij kunnen ze ook wel zien dat ik Nederlander ben, en ik ben ook niet echt bang voor een paspoortbom, maar op deze manier is het alleen maar wachten totdat ze meer informatie uit je paspoort kunnen krijgen.

Anoniem: 161878 8 april 2008 20:05

Ik snap er niets! Waarom moet er nog een chip in een pas?

Één nummer is voldoende welke iedereen mag lezen. Ieder gerechtigde (politie, douane, arts/verpleegkundige, e.d.) kan met dat nummer die informatie, waartoe die gerechtigd is, via de al bestaande netwerken in een fractie van een seconde binnenkrijgen. Niks aparte paspoorten/rijbewijzen/bankpassen/ed. Iedere database hoeft maar met één kolom uitgebreid worden voor dat nummer en men kan met één pas uit de weg.
Nieuwe rekening openen bij een bank! Ik haal mijn pas erdoor en mijn nieuwe rekening wordt aan mijn pas gekoppeld. De pas is beveiligd met één of meerdere pincodes (bijvoorbeeld voor verschillende bankrekeningen). Politie typt of leest jou code in een pda/smartphone en ze krijgen al hun noodzakelijke gegevens te zien met een mooie prent van je net gemaakte foto op het gemeentehuis (misschien 10 minuten geleden)..

Nu moet dagen op een pas wachten die toch zo te kraken is.
Ik snap het niet! Of denk ik hier te gemakkelijk over?

cire @Anoniem: 161878 • 9 april 2008 02:31

Er bestaat geen wereldwijd netwerk waar je met '1' nummertje alle gegevens van iemand kunt checken...

Bovendien de pas is helemaal niet gekraakt... Je hebt hem pas gekraakt als je zelf een paspoort aan kunt maken met 'valse' gegevens of als je de data op een paspoort kunt wijzigen.

Anoniem: 161878 @cire • 9 april 2008 14:32

Dat is juist mijn punt. Waarom bestaat er niet zo'n wereldwijd netwerk? Dit lijkt mij vele malen goedkoper dan de huidige passen systeem.

En inderdaad kan je met alleen 1 nummer niet alle nodige informatie ophalen. Maar het is wel voldoende dat je bekent bent onder 1 nummer. Voor het daadwerkelijk ophalen moet er uiteindelijk een samenstelling komen van jou nummer met andere gegevens, waaronder wat er opvraagt moet worden en door wie.

Wat er opgevraagd moet worden bepaald al grotendeels waar de informatie vandaan moet komen.
Adresgegevens van gemeentehuizen. Boetes van politiebureaus. Medische gegevens van ziekenhuizen, e.d.
Bijvoorbeeld boetes kan gegevens van zowel een politiebureau in Zwolle als één in Antwerpen opleveren.
Maar dit is weer afhankelijk door validatie van degene die het opvraagt. Een Nederlandse motoragent die die informatie (boetes) opvraagt, kan dus van Antwerpen niets terugkrijgen. Maar een Belgische motoragent kan wel medische gegevens krijgen van een Nederlandse ziekenhuis die noodzakelijk zijn na een ongeval (bijvoorbeeld i.g.v. diabetes) van een Nederlander in België.

Dit soort gegevens is gemakkelijker op te vragen als je overal onder één nummer bekent bent dan met allemaal passen met allemaal verschillende nummers.

Verder lijkt mij dat de implementatie vrij eenvoudig moet zijn.

Alle databases met contact gegevens dienen met 1 kolom uitgebreid te worden. Daarnaast kunnen overtollige kolommen weer weg.
Er moet een routing systeem komen.
Er moet een validatie systeem komen.

Of is dit te simpel gedacht?

Trema 8 april 2008 12:55

Ik herinner me dat dit juist een "feature" was, hoe twijfelachtig ook. Om de rest van de informatie te kunnen lezen (decoderen), moet je eerst weten uit welk land het paspoort komt. Dat moet dus "vrij" te lezen zijn.
(Ik denk dat het een artikel in C'T was van een paar jaar terug.)

CherandarGuard @Trema • 8 april 2008 12:58

Ik heb dit inderdaad ook al eerder voorbij zien komen, toen werd er het idee aan gekoppeld dat terorristen een bom zouden kunnen bouwen die alleen afgaat wanneer er een (vul nationaliteit in) in de buurt is.
Ze hadden zelfs een proof-of-concept bom gemaakt die afging toen er een amerikaans paspoort langs kwam. Ik meen dat dit tijdens een hackers conferentie speelde.

Chip. @CherandarGuard • 8 april 2008 19:15

Gelukkig merk ik dat ik niet de enigste ben die dacht dat dit al eerder al eens ontdekt was.

Op dit item kan niet meer gereageerd worden.

Mifare-krakers ontdekken ook fout in paspoortchip

Lees meer

IT-banen

Reacties (92)

Sorteer op:

Weergave: