Электронные паспорта как инструмент для слежки
05-02-2010 21:38
к комментариям - к полной версии
- понравилось!
По заявлению исследователей из Университета Бирмингема, им удалось
обнаружить новую уязвимость в электронных паспортах. Недостатки
применяемой сейчас технологии позволяют создать устройство, которое
будет сигнализировать о появлении в радиусе его действия владельца того
или иного е-паспорта.
На первом этапе злоумышленникам, задумавшим подобную слежку, надо будет
перехватить обмен данными между электронным паспортом жертвы и
авторизованным RFID-сканером (например, при пересечении границы объектом
их интереса). Конечно, обмен данными шифруется, но расшифровывать
перехваченную информацию и не потребуется - достаточно только
перехватить и записать сообщение, в котором сканер передает паспорту
ключ конкретной сессии. Дело в том, что это сообщение (также
закодированное) подписано уникальным для паспорта аутентификационным
MAC-кодом - его паспорт предварительно сообщает сканеру.
Инженеры Том Чотиа и Виталий Смирнов, участвовавшие в разработке этой
технологии, так объясняют ее суть: "Наше изучение настоящих паспортов
показало, что существует отличие между сообщением, которое было
отклонено из-за некорректного ключа сессии, и сообщением, которое было
отклонено из-за ошибки при проверке аутентификационного кода. Для
большинства электронных паспортов это отличие заключается во времени,
после которого паспорт возвращает ошибку (потому что в одном из случаев
ему приходится тратить время на расшифровку сообщения). Длительность
этого интервала зависит преимущественно от того, какая страна выдала
паспорт. Для французских паспортов не нужно и этого: в описанных случаях
они просто возвращают два разных кода ошибок".
Знающим подобный нюанс злоумышленникам остается создать собственный
псевдо-сканер, который будет периодически транслировать в эфир
перехваченное сообщение. Если такой сканер разместить в какой-то точке,
к примеру, возле квартиры, где живет обладатель паспорта, то с его
помощью можно будет в режиме реального времени определять, когда он
уходит или возвращается (если, конечно, паспорт будет у него с собой).
Как и положено, в Университете Бирмингема поставили эксперимент.
Исследователи взяли у добровольцев (сотрудников лаборатории и членов их
семей) их электронные паспорта - всего удалось исследовать три
британских паспорта, два немецких и по одному российскому, греческому,
французскому и ирландскому. Чтобы воплотить в жизнь описанную выше
схему, инженерам из исследовательской группы потребовалось только
доступное в продаже (и весьма дешевое) компьютерное оборудование.
Уязвимыми оказались все е-паспорта без исключения.
вверх^
к полной версии
понравилось!
в evernote
По заявлению исследователей из Университета Бирмингема, им удалось
обнаружить новую уязвимость в электронных паспортах. Недостатки
применяемой сейчас технологии позволяют создать устройство, которое
будет сигнализировать о появлении в радиусе его действия владельца того
или иного е-паспорта.
На первом этапе злоумышленникам, задумавшим подобную слежку, надо будет
перехватить обмен данными между электронным паспортом жертвы и
авторизованным RFID-сканером (например, при пересечении границы объектом
их интереса). Конечно, обмен данными шифруется, но расшифровывать
перехваченную информацию и не потребуется - достаточно только
перехватить и записать сообщение, в котором сканер передает паспорту
ключ конкретной сессии. Дело в том, что это сообщение (также
закодированное) подписано уникальным для паспорта аутентификационным
MAC-кодом - его паспорт предварительно сообщает сканеру.
Инженеры Том Чотиа и Виталий Смирнов, участвовавшие в разработке этой
технологии, так объясняют ее суть: "Наше изучение настоящих паспортов
показало, что существует отличие между сообщением, которое было
отклонено из-за некорректного ключа сессии, и сообщением, которое было
отклонено из-за ошибки при проверке аутентификационного кода. Для
большинства электронных паспортов это отличие заключается во времени,
после которого паспорт возвращает ошибку (потому что в одном из случаев
ему приходится тратить время на расшифровку сообщения). Длительность
этого интервала зависит преимущественно от того, какая страна выдала
паспорт. Для французских паспортов не нужно и этого: в описанных случаях
они просто возвращают два разных кода ошибок".
Знающим подобный нюанс злоумышленникам остается создать собственный
псевдо-сканер, который будет периодически транслировать в эфир
перехваченное сообщение. Если такой сканер разместить в какой-то точке,
к примеру, возле квартиры, где живет обладатель паспорта, то с его
помощью можно будет в режиме реального времени определять, когда он
уходит или возвращается (если, конечно, паспорт будет у него с собой).
Как и положено, в Университете Бирмингема поставили эксперимент.
Исследователи взяли у добровольцев (сотрудников лаборатории и членов их
семей) их электронные паспорта - всего удалось исследовать три
британских паспорта, два немецких и по одному российскому, греческому,
французскому и ирландскому. Чтобы воплотить в жизнь описанную выше
схему, инженерам из исследовательской группы потребовалось только
доступное в продаже (и весьма дешевое) компьютерное оборудование.
Уязвимыми оказались все е-паспорта без исключения.
Вы сейчас не можете прокомментировать это сообщение.
Дневник Электронные паспорта как инструмент для слежки | Максим_Ярмольчик - Дневник Максим_Ярмольчик |
Лента друзей Максим_Ярмольчик
/ Полная версия
Добавить в друзья
Страницы:
раньше»