Geen chip is veilig voor de Digital Security onderzoeksgroep van de afdeling informatica van de Radboud Universiteit Nijmegen. In januari hackte de 25 man grote computergroep de openbaar-vervoerchipkaart, in maart een wijdverbreide toegangspas, onder meer gebruikt op militaire bases, en vorige week deden ze hetzelfde met de paspoortchip. Handig voor terroristen, suggereerde De Telegraaf. Die zouden bijvoorbeeld een bom kunnen maken, die alleen afgaat als er iemand met een Amerikaans paspoort in de buurt is. Kan dat? En waarom kraken de Nijmegenaren, die met overheidsgeld worden betaald, deze belangrijke beveiligingssystemen?
Net als de chip op de ov-kaart is de paspoortchip een RFID-chip, die via elektromagnetische golven op afstand werkt. Een douanebeambte kan de informatie van de chip op zijn computerscherm lezen door de geboortedatum van de eigenaar, het paspoortnummer en de vervaldatum in zijn computer in te voeren. De computer versleutelt deze informatie tot een toegangscode voor de RFID-chip. Alleen als deze toegangcode klopt, kan de douanier de informatie op de chip lezen. Deze gegevens staan overigens ook gewoon in het paspoort gedrukt. De chip is bedoeld als extra echtheidskenmerk van het paspoort en niet voor snellere grenscontrole of om extra informatie op te slaan.
Nationaliteit ontfutselen
Maar het is de Nijmegenaren gelukt om de nationaliteit van de eigenaar aan de chip te ontfutselen zonder de geboortedatum, het paspoortnummer en de vervaldatum te kennen. Dat doen ze door de chip met een RFID-apparaat een nietbestaande opdracht te geven. Net als een computerprogramma geeft de paspoortchip een foutmelding wanneer hij een onuitvoerbare opdracht krijgt. Deze foutmelding verschilt per paspoort, zo ontdekten de Nijmegenaren, ofwel: hij verschilt per nationaliteit.
Zo kan de nationaliteit van de eigenaar dus worden achterhaald, zonder het paspoort te bekijken of de eigenaar te ondervragen. Maar de RFID-chip werkt alleen binnen een afstand van 25 centimeter. Terroristen die het gemunt hebben op Amerikanen moeten dus met een RFID-apparaat vlak langs de tassen en de kleding van passagiers scannen, op zoek naar Amerikaanse paspoorten. Je kunt je afvragen of dat de slimste manier is om een Amerikaan te vinden.
De ov-chipkaart werd stapje voor stapje gehackt, maar de Poolse onderzoeker Wojciech Mostowski, die samen met Henning Richter en Erik Poll aan de paspoortchip werkte, verwacht niet dat dit het begin is van een algehele hack van de paspoortchip. ‘We gaan er nog over nadenken, maar voorlopig hebben we geen idee hoe we de chip verder kunnen kraken.' Overigens heeft Mostowski een tip voor diegenen die zich zorgen maken over de veiligheid van hun paspoortgegevens: verpak het paspoort in zilverfolie, dan kan niemand ook de douanier niet de chip lezen.
De onderzoekers van de Digital Security groep proberen allerlei chips te hacken - ze slaagden er overigens niet in de chipknip te hacken - en zoeken daarnaast naar gaten in de beveiliging van webapplicaties en mobiele telefoons.
Onderzoeker Erik Poll noemt het zijn plicht, juist omdat zijn groep uit belastinggeld wordt betaald. De veiligheid van deze systemen moet worden getest. Poll geeft toe dat het niet altijd zonneklaar is dat de Digital Security groep de maatschappij een dienst bewijst. ‘Onze kraak van de ov-chipkaart kost ov-bedrijven en de overheid waarschijnlijk veel geld. Maar als wij het niet hadden gedaan, had iemand anders het gedaan. Wij hebben ons succes netjes gemeld. Anderen hadden er misschien misbruik van gemaakt.'
Welkom op de portal RFID4u.nl
Deze onafhankelijke portal informeert professionals en eind-gebruikers over de praktische toepassing van RFID binnen de bedrijfsprocessen in het algemeen en de integratie met primaire systemen, zoals ERP en WMS, in het bijzonder.
RFID internet shops
BARCODEplaza
RFIDplaza
NFCplaza
MIFAREplaza
Partners
BARCODEplaza
EasyLogic
IDCARDplaza
RFIDplaza.com
Zetes
Lees hier verder ...
 | RSS newsfeed |
info@RFID4u.nl
Alle rechten voorbehouden
© copyright 2005-2007
RFID4u.nl
improves your business