Hoofdcategorieën

[RSS] Index » Nieuws » Pro » Maatschappij » Privacy & beveiliging » Mifare-krakers ontdekken ook fout in paspoortchip

Mifare-krakers ontdekken ook fout in paspoortchip

Door Dimitri Reijerman, dinsdag 8 april 2008 12:47
Submitter: Madcat, views: 15.956

Onderzoekers van de Radboud Universiteit kunnen de nationaliteit van een paspoorthouder bepalen door de erin verwerkte rfid-chips op afstand te bestoken met ongeldige verzoeken. De uitleesmethode lijkt vooral interessant voor criminelen.

Nederlands paspoortPaspoorten uit een groeiend aantal landen beschikken over een rfid-chip waarop gegevens van de houder staan opgeslagen. De data is versleuteld met het Basic Access Control-mechanisme, dat nog niet is gekraakt. Wanneer de chip echter wordt bestookt met ongeldige verzoeken om informatie, kan uit de teruggestuurde foutmeldingen de nationaliteit van de houder worden afgeleid, zeggen de onderzoekers van de Nijmeegse Universiteit. Deze hack zou werken bij paspoorten uit Nederland, Australië, België, Duitsland en nog zes Europese landen, zo meldt Trouw.

Met name paspoortdieven zouden dankzij de hackmethode met een snelle scan op bijvoorbeeld een vliegveld doelgericht hun slag kunnen slaan, waarbij een rfid-scanner van enkele tientallen euro's volstaat. Door de antenne te vervangen door een krachtiger exemplaar kan de rfid-chip op een afstand van ongeveer 25 centimeter worden uitgelezen. De onderzoekers wijzen ook op het theoretische gevaar van een 'paspoortbom', die ontploft als iemand uit een bepaald land passeert.

De onderzoekers uit Nijmegen, die eerder met succes de Mifare-chip in de ov-chipkaart kraakten, stellen dat de beveiligingsnormen die door de VN-organisatie Icao zijn opgesteld, niet voldoen. Pogingen om de opgeslagen persoonsgegevens op de rfid-chips uit te lezen zijn tot nu toe nog zonder succes, maar door het ontbreken van genormaliseerde foutmeldingen bij dataverzoeken blijken de identiteitsbewijzen toch informatie over de eigenaar prijs te geven. De instanties die de paspoorten uitgeven, zouden daarom moeten overwegen om de identiteitspapieren te voorzien van een metalen 'schild', zoals de Amerikaanse paspoorten dat al hebben. Hierdoor zou het ongemerkt uitlezen van een dichtgeslagen paspoort ernstig worden bemoeilijkt. De Nijmeegse onderzoekers zullen volgende maand meer details over hun bevindingen bekendmaken.

Volgende 13:32
Vorige 12:31

Gerelateerde artikelen

Reacties

Flat modeFlat mode Sorteer aflopendSorteer aflopend Moderatie FAQModfaq
Niveaufilter: -1 Ongewenst: 92 reacties zichtbaar920 Neutraal: 88 reacties zichtbaar88+1 Meerwaarde: 30 reacties zichtbaar30+2 Verplicht leesvoer: 1 reactie zichtbaar1
«  1  2  3  »

Door pnieuwla, dinsdag 8 april 2008 12:51

Score: 0
stukje aluminiumfolie eromheen slaan dus!
Sowieso kan iedereen aan mijn kaaskop zien dat ik een nederlander ben...

[Reactie gewijzigd door pnieuwla]

Door PhoenixT, dinsdag 8 april 2008 13:27

Score: 0
Een bom kan dat echter niet. Nu wel dus.

Door Casplantje, dinsdag 8 april 2008 16:04

Score: 0
Ik loop al een jaar rond met een laag alu-folie in mijn paspoorthoes(ik ben over dat soort dingen redelijk paranoïde).
Aan mij kunnen ze ook wel zien dat ik Nederlander ben, en ik ben ook niet echt bang voor een paspoortbom, maar op deze manier is het alleen maar wachten totdat ze meer informatie uit je paspoort kunnen krijgen.

Door TD-er, dinsdag 8 april 2008 20:19

Score: 0
Waarom plaatsen ze die folie niet standaard in de kaft van het paspoort? Dan ben je gelijk van het probleem af.
Tevens kunnen ze vast nog wel iets doen om er een vervalsingskenmerk van te maken en het kost vrijwel niets extra.

Door Rick2910, dinsdag 8 april 2008 22:04

Score: 1
@TD-er

Die chip zit er in om uitgelezen te worden. Die Alu-folie helpt daar niet echt bij.

Wat me wel verrast is dat ze 'maar' max. 25 cm. halen. Ik meen dat deze dingen op 13,56 MHz werken, dus het probleem wat ze (waarschijnlijk) gehad hebben is dat de zend/ontvang antenne van de reader te groot werd (lage frequentie = lange golflengte). En aangezien de chip wordt gevoed door de straling van de zendantenne ben je er niet met alleen meer zendvermogen; je moet het retoursignaal ook goed kunnen opvangen.

Ter illustratie: ik heb bluetooth-telefoons op afstanden van 75-100 meter uit kunnen lezen. Dat deed ik met een zelfgemaakte circulaire antenne welke geopt was op 2,45 GHz. Dat ding was dan wel een 30cm lang :).

Door Bitage, dinsdag 8 april 2008 23:03

Score: 0
Uh, paspoort open en laten scannen :?

Sja, een paspoort is een zeer persoonlijk iets en ik zou het ook niet fijn vinden dat Jan en Alleman er iets uit kunnen vissen zonder mijn toestemming, al is het maar het land van herkomst. Hopelijk worden die politici niet weer zo nalatig als met de OV-chipkaart...

Door mae-t.net, woensdag 9 april 2008 00:40

Score: 0
Die afstand staat uitelegd in een Elektuur van een paar maanden terug. Het kwam erop neer dat de benodigde energie exponentieel toeneemt.

Door killingdjef, dinsdag 8 april 2008 12:53

Score: 0
Ik vind het merkwaardig dat deze zaken steeds vaker aan het licht komen. Eerst de OV chip, nu het paspoort. Je begint je af te vragen of de bedrijven die zulke producten moeten ontwikkelen wel competent genoeg zijn hiervoor. Aan de andere kant bestaat er niet iets als een certificaat die aangeeft dat een bedrijf bekwaam genoeg is voor ontwikkeling van high-security objecten zoals een dergelijk passport.

Dit is misschien allemaal een noodzakelijk kwaad om de ICT sector meer volwassen te laten worden?

Door elmuerte, dinsdag 8 april 2008 12:57

Score: 0
Aan de andere kant bestaat er niet iets als een certificaat die aangeeft dat een bedrijf bekwaam genoeg is voor ontwikkeling van high-security objecten zoals een dergelijk passport.
Klinkt als misplaatst vertrouwen in een keurmerk. Zelfs RSA heeft steken laten vallen, en als er wel een bedrijf is dat kennis heeft van "high-security" dan is het RSA.
Dit is misschien allemaal een noodzakelijk kwaad om de ICT sector meer volwassen te laten worden?
Hoezo? Waarom is dit de schuld van de ICT sector? Volgens mij was het toch echt de overheid die bepaalde goedkope technologie wou pushen die nog niet goed genoeg getest is.

[Reactie gewijzigd door elmuerte]

Door killingdjef, dinsdag 8 april 2008 16:19

Score: 1
Hoezo? Waarom is dit de schuld van de ICT sector? Volgens mij was het toch echt de overheid die bepaalde goedkope technologie wou pushen die nog niet goed genoeg getest is.
Oneens. Als ontwikkelaar accepteer je een opdracht welke verantwoordelijkheden met zich meebrengt. Dat de overheid het goedkoopste van het goedkoopste wil en daarbij ook nog pusht is 1 ding, je er als professional door laten opjagen en beinvloeden is een tweede. Je -hoeft- de opdracht niet te doen als er absurde criteria en deadlines worden gesteld.

Met andere woorden, men moet van het "ja-knikken" af binnen de sector en meer eisen stellen en voorwaarden stellen. Dat is namelijk echt een punt waar de ICT sector op achterloopt als je haar vergelijkt met bijvoorbeeld de bouw.

Door The Zep Man, dinsdag 8 april 2008 17:00

Score: 0
Dat is namelijk echt een punt waar de ICT sector op achterloopt als je haar vergelijkt met bijvoorbeeld de bouw.
Inderdaad. In de bouw kijken ze eerst bij grote overheidsprojecten of er meer uit te halen is dan dat het waard is. O-)

Door tERRiON, dinsdag 8 april 2008 19:36

Score: 1
Ik weet niet wat jouw ervaringen zijn met de bouw, maar mijn ervaringen zijn niet veel anders dan met de ICT-dienstverleners zoals jij die schetst: Je krijgt wat je vraagt. Vraag je iets doms, dan krijg je iets doms. Vraag je iets fantastisch, dan krijg je iets fantastisch. Vraag je iets goedkoops, dan krijg je iets goedkoops.

Het begint niet met wat jou aangeboden wordt maar het begint met wat je vraagt.

En vergeet niet, als jij de opdracht niet doet, doet een ander het wel.

Door 7.01D, dinsdag 8 april 2008 21:09

Score: 0
En vergeet niet, als jij de opdracht niet doet, doet een ander het wel.
En dan loopt die het risico op zijn/haar bek te gaan. Als bedrijven een onmogelijke opdracht aannemen, dan mogen ze daar ook op aangesproken worden. Anders kunnen ze de verantwoordelijkheid altijd op de opdrachtgever afschuiven die in de meeste gevallen incompetent is om een juiste inschatting te maken.

Door mae-t.net, woensdag 9 april 2008 00:43

Score: 0
Precies. Een bedrijf is dan wel commercieel, maar dat ontslaat het niet van enige verantwoordelijkheid als het erop aankomt. Te gretig onmogelijke of conceptueel onwenselijke opdrachten aannemen geeft nou eenmaal problemen.

[Reactie gewijzigd door mae-t.net]

Door Amito, dinsdag 8 april 2008 12:58

Score: 0
Iedereen kan een fout maken, ook de beste van het beste.

Feit is dat alles te kraken is. Als het niet nu is dan over een paar jaar, met nieuwere/goedkopere apparatuur.

Door tilt, dinsdag 8 april 2008 13:46

Score: 0
er is nog steeds een verschil tussen uitlezen en kraken...

en hier gaat het over uitlezen van foutmeldingen :p

Door jeroenr, dinsdag 8 april 2008 22:16

Score: 1
Alles valt op den duur te kraken, overal worden fouten gemaakt, dus ook bij makers van paspoort-chips, en aangezien je bij een paspoort niet zomaar even een 'servicepack' uitrolt, is de enige juiste vraag die gesteld had moeten worden: is het wel verstandig om een paspoort 'remote' uitleesbaar te maken, in mijn opinie is het antwoord daarop: "nee".

Door markclausing, dinsdag 8 april 2008 14:13

Score: 1
daarom dat hackers ook vaak vantevoren al de discussie starten of het uberhaupt wenselijk is om te automatiseren.

de motivatie tot automatiseren is veelal efficientie, maar de nadelen zijn behoorlijk groot...

Door the_stickie, dinsdag 8 april 2008 12:59

Score: 1
Een schrijnwerker maakt samen met een slotenmaker een naar hun inzien "perfecte deur", een metaalarbeider ontwerpt vervolgens een krachtigere hamer en slaat de deur (gedeeltelijk) stuk.
Zijn schrijwerker of slotenmaker incompetent?
Imho pas als ze e niet in slagen opnieuw een deur te ontwerpen, die ook deze aanval weerstaat.

moraal: imho zijn er altijd gaatjes, je moet ze alleen maar weten vinden

Door boesOne, dinsdag 8 april 2008 13:08

Score: 1
Een slotenmaker zal nooit het perfecte slot moeten claimen omdat de sleutelmaker behoort te weten dat dit niet bestaat.

In die zin is het claimen van een superieure beveiliging door een vrij simpel rfid chipje inderdaad incompetent..

Door the_stickie, dinsdag 8 april 2008 17:09

Score: 0
maar de marketing "wetten" zeggen dat je nooit de zwakke punten van je product moet promoten :D

Door elmuerte, dinsdag 8 april 2008 13:23

Score: 0
Ja ze zijn incompetent. Want volgens jou verhaaldje hebben de schrijnwerker en slotenmaker hun deur niet fatsoenlijk laten testen (door o.a. een metaalarbeider).

[Reactie gewijzigd door elmuerte]

Door bonus, dinsdag 8 april 2008 13:14

Score: 0
Vaak ook onder productie druk of deadlines gebeuren dit soort dingen. Er wordt gewoon te weinig getest.
Ook echt testen van dat soort dingen is een echt vaak maar wordt heel vak onderschat.

[Reactie gewijzigd door bonus]

Door TD-er, dinsdag 8 april 2008 13:39

Score: 1
Vaak ook onder productie druk of deadlines gebeuren dit soort dingen. Er wordt gewoon te weinig getest.
Ook echt testen van dat soort dingen is een echt vaak maar wordt heel vak onderschat.
Voor testen zijn vaak gewoon standaard dingen die ze proberen. Dit soort zaken zal echter niet met heel erg standaard methoden gekraakt worden, dus het is moeilijk te zeggen dat het niet genoeg getest wordt, of meer getest zou moeten worden.
Maar het grote probleem met dit soort zaken is meer dat men gewoon niet wil luisteren naar de tegenargumenten, want je kunt op een veel simpelere manier ook nog wel een schatting maken of er een paspoort voorbij komt, door namelijk naar de range van het serienummer van de RF-id te kijken.
Vergt wel een database bij je scanner, maar dan kan het dus ook.

Maar goed, de overheid had het idee dat RF-id de ideale oplossing is voor dit soort zaken, dus dan komt het er ook, ookal zijn er tientallen groepen die tientallen bezwaren noemen. De overheid kijkt gewoon naar wat binnen hun ambtstermijn gerealiseerd zou kunnen worden.

Door MCT, dinsdag 8 april 2008 14:30

Score: 0
Bij dit soort omvangrijke en belangrijke ontwikkelingen zou gewoon standaard een hacker(scommunity) in de arm genomen moeten worden om er eens goed wat gaten in te schieten. De ontwikkeling van nieuwe technieken en het kraken van deze nieuwe systemen zal altijd door blijven gaan, echter zullen dit soort zaken veel minder gebeuren.

Door mvdlee, dinsdag 8 april 2008 16:03

Score: 1
Hoezo "een hacker"? Dit soort systemen zouden gewoon open verspreid moeten worden zodat iedere hacker, die het wil, alle mogelijkheden heeft om met volledige kennis van de gebruikte algorithmes en beveiliginsmethodes het systeem te kraken.

Alles anders is "security by obscurity".

Als bedrijven hier niet aan tegemoet willen komen dan zul je je toch af moeten vragen of je met dat bedrijf in zee wilt gaan. Alternatief is een universiteit hiervoor te benaderen en als die geen beveiliging kunnen bedenken die goed genoeg is, misschien moet je dan maar gewoon niet vertrouwen of rfid.

Door feuniks, dinsdag 8 april 2008 13:30

Score: 2
Als ik het met bedrijven over beveiliging heb, dan is het eerste wat ik ze vertel altjjd dat de persoon die claimt een 100% veilig netwerk te ontwikkelen, meteen op straat gezet moet worden.

Een beetje off-topic misschien, aar het geeft het probleem hier ook meteen weer. Het is helaas niet mogelijk om 100% alles uit te sluiten. De reden is dat je nooit alles weet. Als ik een beveiliging maak, dan kan het best zo zijn dat jij toevallig een idee hebt, waar ik niet aan gedacht heb. En als ik 1.000.000 mensen bij elkaar zet om een beveiliging te maken, dan kan dat nog steeds zo zijn. Het probleem is dat je de fout eerst moet zien, om hem te kunnen ondervangen. En daar ligt nu net het probleem.

In dit geval denk ik dat de nationaliteit te achterhalen is, omdat de chips van de verschillende landen gewoon allemaal iets anders op het ongeldige verzoek reageren. Ik denk dat ik dat kan zien als een "404-error" die ook voor elk type server een iets ander scherm oplevert. Als dat het geval is, dan heeft gewoon niemand eraan gedacht dat je op deze maneir kunt zien waar de persoon vandaag komt. De chip geeft de nationaliteit dan ook niet af via het nationaliteitsrecord op de chip, maar hij praat zijn mond voorbij door de "taal die hij spreekt".

Het probleem is, dat steeds meer producten dergelijke chips in zich hebben en dat het voor steeds meer mensen interessant is om hier iets mee te doen. Terroristen zijn inderdaad een groep, maar ik denk dat dit maar voornamelijk bangmakerij is en dat we van deze groep relatief weinig te duchten hebben. Grote bedrijven zie ik daar als een groter probleem. Zij willen graag veel weten van ons consumenten en het liefste zouden zij gewoon op ons willen klikken en dan de kenmerken van ons willen uitlezen, zoals dat bij spellen uit de Tycoon serie kan. Een actieve chip die gekoppeld kan worden aan personen en hun koopgedag zou hier al een heel mooie oplossing zijn. AH kan zijn bonuskaart wegdoen als ze in plaats daarvan gewoon via ons paspoort ons kunnen registreren. En het mooie van dit alles is: het kan met een enkele chip. De chip van ons paspoort of rijbewijs kan overal gebruikt worden en zal overal hetzelfde resultaat geven. Als dus een manier wordt gevonden om alleen al het serienummer uit te lezen, dan is het mogelijk om databases aan te leggen op basis van dat serienummer. Meer heb je niet nodig, want die gegevens kun je elders wel krijgen. op het moment dat de persoon met zijn pin afrekend bij de kassa weet men via de bankafschrijfing naam woonplaats en bankrekeningnummer. Een koppeling met de telefoongids levert vaak de rest van de gegevens. En het mooie is, dat iedereen die dit doet dezelfde serienummers uitleest. Dus kan AH met shell de gegevens ruilen. Shell kan via hun camerasysteem kentekenplaten inlezen en via de site van de RDW kun je weer zien wat voor een auto hier bij hoort. Dit kun je oneindig ver doorvoeren.

Ik geef dit even weer, omdat hier de grootste problemen van dit soort systemen zitten. Men komt steeds meer over ons te weten en dat kan tegen ons gebruikt worden. Vroeger of later komt er een verzekeringsmaatschappij die mensen om onduidelijke redenen weigert of hogere premies laat betalen. Uiteindelijk zal dan blijken dat deze verzekering dat doet, omdat de peronen die geweigerd worden te vee pizza's bij AH meenemen, te vaak tanken, en dus weinig of niet met de fiets gaan, regelmatig bij de dokter zitten met een of ander kwaaltje etc. De weg die we nu inslaan is potentieel erg gevaarlijk.

Door vgroenewold, dinsdag 8 april 2008 14:15

Score: 1
Potentieel ja, maar daar hebben we nu een vrij aardige democratie voor en kunnen we flink gaan protesteren en anders stemmen de volgende keer.

Je hebt zeker gelijk dat dit scenario kan voorkomen en het zou mij niet verbazen wanneer verzekeringsmaatschappijen ernaar kijken, echter zijn deze scenario's al vaker de revue gepasseerd...bijv. met de introductie van mobieltjes, scanners, e.d. maar vooralsnog niet voorgekomen. Verzekeringsmaatschappijen mogen al jaren vanalles vragen via formulieren, lieg je, dan heb je een flink probleem of men keert alsnog niet uit. Het is heel vreemd hoe die business werkt, iedereen moet gewoon een verzekering hebben vanaf de geboorte ongeacht wat deze heeft (zoals het vroeger was volgens mij) en dan is dit probleem opgelost.

Door Cio, dinsdag 8 april 2008 14:50

Score: 0
"Potentieel ja, maar daar hebben we nu een vrij aardige democratie voor en kunnen we flink gaan protesteren en anders stemmen de volgende keer."

Van de week bleek nog dat 1 op de 3 nederlanders liever Geert Wilders vertrouwde dan het kabinet (op hun woord dan). Ik denk dat daarmee in beide richtingen wel aangegeven is hoeveel vertrouwen we kunnen hebben in:

1. Onze mede kiesgerechtigden.
2. Onze politici.
3. De welwillendheid van nederlanders om de straat op te gaan.

Ik heb liever een gewoon treinkaartje, of een stevig paspoort, dan een RFID chip die ik al toon zonder deze uit m'n zak te halen! Helaas, mijn privacy is in Den Haag ondergeschikt aan controle en economische belangen.

Door vgroenewold, dinsdag 8 april 2008 15:22

Score: 0
Oh daar heb je meer dan gelijk in, democratie werkt op die manier (waarbij de meeste mensen dus met de waan van de dag meestemmen) ook niet, dat is dan weer het jammere. Een dictatuur waarbij de dictator goede afgewogen beslissingen maakt zou dan eigenlijk beter zijn (met veel mensen over gehad al), maar daar zit ook niemand op te wachten en zo'n figuur bestaat ook niet denk ik. Echte alternatieven hebben we niet, maar de democratie maakt het wel mogelijk dat ik de waan van de dag ook kan veroorzaken en iedereen mijn kant op kan laten kijken.

Door mae-t.net, woensdag 9 april 2008 00:51

Score: 1
Ja en nee. Politici, ook die democratisch gekozen zijn, zullen altijd gecorrumpeerd raken door eigen belangen of andere eer en glorie. Gebeurt het een keer niet is het mooi meegenomen. Verkiezingen helpen daar niet altijd tegen omdat je alleen maar grofweg bepaalt in welke richting het beleid moet gaan, of omdat bepaalde issues niet als belangrijk worden ervaren en onderweg ergens sneuvelen. Om het risico op ontwikkelingen in een ongewenste richting te verkleinen hebben we er bijvoorbeeld voor gekozen om de rechterlijke macht grotendeels zelfstandig te laten opereren, en hebben we behalve een 2e kamer ook een 1e kamer, we hebben een grondwet, er staan zo nu en dan actiegroepen op die een issue zoals stemcomputers oppakken, etc..

Iets dat belangrijk is, is om je bij dit soort projecten altijd af te vragen wat je er eigenlijk mee wilt bereiken en hoe het (worst case) misbruikt kan worden. Als die mogelijkheden legio zijn en het gebruik ook wel op een betere manier kan, dien je ervoor te kiezen om het systeem niet in te voeren. Ter bescherming van je eigen portemonnee (zo'n systeem kost altijd geld), en om te voorkomen dat er onnodige mogelijkheden worden geschapen die machtsmisbruik (niet alleen door politici natuurlijk) makkelijker maken.

[Reactie gewijzigd door mae-t.net]

Door Trema, dinsdag 8 april 2008 12:55

Score: 0
Ik herinner me dat dit juist een "feature" was, hoe twijfelachtig ook. Om de rest van de informatie te kunnen lezen (decoderen), moet je eerst weten uit welk land het paspoort komt. Dat moet dus "vrij" te lezen zijn.
(Ik denk dat het een artikel in C'T was van een paar jaar terug.)

Door CherandarGuard, dinsdag 8 april 2008 12:58

Score: 0
Ik heb dit inderdaad ook al eerder voorbij zien komen, toen werd er het idee aan gekoppeld dat terorristen een bom zouden kunnen bouwen die alleen afgaat wanneer er een (vul nationaliteit in) in de buurt is.
Ze hadden zelfs een proof-of-concept bom gemaakt die afging toen er een amerikaans paspoort langs kwam. Ik meen dat dit tijdens een hackers conferentie speelde.

Door Wouser, dinsdag 8 april 2008 19:15

Score: 0
Gelukkig merk ik dat ik niet de enigste ben die dacht dat dit al eerder al eens ontdekt was.

Door Dope-E, dinsdag 8 april 2008 12:55

Score: 0
* alu-hoedje afzet en om paspoort vouwt

Door Aham brahmasmi, dinsdag 8 april 2008 17:17

Score: 0
Geniaal! :D _/-\o_
Helemaal eens met leuk_he. Humor moet een onderdeel van deze website blijven. Daarom moet Henk ook terug als boegbeeld van t.net! :>

Door vgroenewold, dinsdag 8 april 2008 12:59

Score: 1
Tsja ach, je kan nu zien of iemand een paspoort heeft en uit welk land. Interessant. Kan ik dat? Nee, geen idee hoe. Criminelen...technische kunnen het, heeft dat enorme nadelen? Ik kan het mij nog niet bedenken. 25 cm afstand met een krachtige antenne, volgens mij weten veel criminelen al veel eerder wie een paspoort bij zich heeft...door gewoon te kijken naar de mensen die ermee zwaaien op het vliegveld... deze kraak demo's komen steeds vaker voor, inclusief zeer theoretische verschrikkelijke dingen die je ermee kan doen... zitten deze onderzoeker om meer subsidie te springen?

Beveiliging is altijd te kraken, dat zou toch duidelijk moeten zijn. Dus hoe moeilijk maken we dat? Om een product niet belachelijk duur te maken pleit ik voor een graad die voor gemiddelde gebruikers te moeilijk is, meer beveiliging heeft weinig zin...afhankelijk dan van het type informatie. Maar ook bij staatsgeheimen...wie heeft daar iets aan...een ander land/groep...en ja, die kraken zich dan suf en komen vast met een manier. Zo kan je bezig blijven met geld spenderen.

[Reactie gewijzigd door vgroenewold]

Door Mecallie, dinsdag 8 april 2008 13:08

Score: 1
Beveiliging is altijd te kraken, dat zou toch duidelijk moeten zijn.
Blijkbaar niet. Anders snap ik namelijk niet waarom we plotseling deze chip in onze pas moeten hebben. Puur en alleen om dat de US denkt dat dat veiliger is...
Dus hoe moeilijk maken we dat? Om een product niet belachelijk duur te maken pleit ik voor een graad die voor gemiddelde gebruikers te moeilijk is, meer beveiliging heeft weinig zin...afhankelijk dan van het type informatie. Maar ook bij staatsgeheimen...wie heeft daar iets aan...een ander land/groep...en ja, die kraken zich dan suf en komen vast met een manier. Zo kan je bezig blijven met geld spenderen.
En toch: als ik word gedwongen een paspoort bij mij te hebben met al deze gegevens er op dan vind ik dat de overheid er flink wat moeite in mag steken om dit goed te beveiligen. En dan inderdaad tegen de wat verder ontwikkelde criminelen ja.

Nog even en het is normaal dat de overheid je maar gewoon vraagt om met je BSN en PIN op je hoofd rond te lopen: het is immers toch niet goed te beveiligen...

Door vgroenewold, dinsdag 8 april 2008 13:20

Score: 1
Identificatie is verplicht, dat de VS hier een zegje in heeft...tsja, het enige wat we daar aan kunnen doen is anders stemmen de volgende keer. Als er echt grote nadelen aan het licht gaan komen wordt het vanzelf wel aangepast. Je hebt wel gelijk dat men dit wilde om bijv. terroristen het leven zuur te maken, dat gaat dus niet werken...niet voor de fanatieke in ieder geval.

En uiteraard, ik wil zeker niet mijn medische info hierop hebben e.d. Maar hoe ik eruit zie, uit welk land ik kom en dat ik de chip heb...mwoa, niet al te erg...niet erger dan het verplicht moeten hebben van het paspoort zelf. En ik geef liever niet 100 Euro uit aan een sterk verbeterde beveiliging ipv 25 voor een normaal beveiligde.

Door c-r-all, dinsdag 8 april 2008 13:09

Score: 1
maar stel je nou voor dat de volgende stap (het uitlezen van persoonsgegevens) ook gekraakt wordt. Met 25 cm afstand in op een druk treinstation, vliegveld, voetbalwedstrijd etc etc etc heb je binnen een uurtje honderden identiteiten gestolen.

Vervolgens kan je rfid chips zo maken dat ze dit signaal weer uitzenden, en voila je identiteit is gekopieerd en kan nu gebruikt worden voor drugstransporten tot illegale immigratie

Door t_captain, dinsdag 8 april 2008 13:15

Score: 1
Dan heb je in feite maar een optie over: 3 seconden magnetron.

Dat je paspoort alweer een technische storing heeft, kun jij natuurlijk niet helpen. Je werkt prima mee aan een controle als je je paspoort geeft aan een douanier geeft om het met de hand te controleren.

Door Plopeye, dinsdag 8 april 2008 18:47

Score: 1
Dit betekend dat je eigenhandig wijzigingen in je paspoort aanbrengt en dit is strafbaar...

Dit betekend dat je een rijkseigendom vernield.

Artikel 4 paspoortwet:
Elk reisdocument blijft na uitreiking rijkseigendom. Onze Minister oefent het eigendomsrecht uit.


Indien je dus met een defecte chip bij de Doune komt gaat artikel 54 van de paspoortwet in werking:
Artikel 54

1. Een reisdocument wordt ingehouden, indien:

a. het van rechtswege is vervallen ingevolge artikel 47 of 48;

b. het zodanig is beschadigd dat daarin opgenomen beveiligingskenmerken zijn aangetast, gegevens niet meer leesbaar zijn of een deel ervan ontbreekt;

c. in of aan het document wijzigingen zijn aangebracht of aantekeningen zijn gesteld door een onbevoegde;

d. de foto van de houder niet langer voldoende gelijkenis vertoont;

e. blijkt dat daarin abusievelijk verkeerde gegevens zijn vermeld dan wel anderszins fouten zijn gemaakt bij de vervaardiging van het reisdocument.

[Reactie gewijzigd door Plopeye]

Door NHJ BV, dinsdag 8 april 2008 13:19

Score: 0
Het gevaar is dat criminelen nu veel gerichter paspoorten kunnen stelen. Als ze een Peruaans paspoort nodig hebben, gaan ze naar een vliegveld toe, gaan ergens in een rij voor de WC ofzo staan en scannen even welke nationaliteiten er allemaal zijn.

Door vgroenewold, dinsdag 8 april 2008 13:25

Score: 0
Dat zou het stelen dan wat efficienter maken (alhoewel ik denk dat het enigzins opvalt), maar men steelt het hoe dan ook, alleen nu steelt men gewoon alles wat los en vast zit. Dus het probleem wordt hiermee niet plots groter, misschien eerder kleiner. ;)

[Reactie gewijzigd door vgroenewold]

Door Webdoc, dinsdag 8 april 2008 12:59

Score: 1
dit is overigens niet echt een mega-probleem. Maximale afstand is 25cm met gepimpte antenne - moet je toch vrij dicht bij iemand zijn om dit te scannen. En als je als shady crimineel blij in de wachthal van een vleigveld 1 voor 1 bij mensen dichtbij gaat staan valt dat ook wel erg snel op. Het zou netter moeten, maar het is echt niet zo dat dit een grote ramp is.

Door elmuerte, dinsdag 8 april 2008 13:06

Score: 1
Zeker nog nooit in de rij gestaan op het vliegveld om bijvoorbeeld in te checken, of een van de vele security check points.

Door Webdoc, dinsdag 8 april 2008 13:33

Score: 1
Slechts 80 keer in mijn leven of zo. En jij denkt dat het daar niet verdacht is als er een of andere dude steeds bij iedereen dichtbij gaat staan? Echt wel dat security personeel daar op getraind is, danwel getrained wordt als blijkt dat deze exploit gaan worden toegepast.

Daarbij is het hele idee van deze paspoorten nou juist dat je veel minder in de rij staat omdat het afhandelen door de RFID chip veel sneller gaat. Blik van douande dude op je gezicht, en klaar.

[Reactie gewijzigd door Webdoc]

Door mae-t.net, woensdag 9 april 2008 01:18

Score: 0
Deze dude hoeft niet bij iedereen vlakbij te gaan staan, zo nu en dan is ruim voldoende, kost alleen wat meer moeite en wat meer verschillende dudes die niet cool zijn.

Door jeroenr, dinsdag 8 april 2008 14:46

Score: 1
Het gaat erom dat je informatie vrijgeeft waarvan je zelf niet gekozen hebt die vrij te geven en dat je geen keuze hebt om een ander merk paspoort aan te schaffen. De keuze is: in je eigen landje blijven of met zo'n ding op zak gaan lopen.

Door Pidi, dinsdag 8 april 2008 13:03

Score: 0
Als je even afziet van de wel heel ver gezochte paspoortbom, kan iemand mij dan uitleggen wat het mij kan schelen als iemand aan m'n paspoort kan zien dat ik uit Nederland kom?
Als ik moet inchecken of door de douane loop, heb ik m'n paspoort in m'n hand en kan ook iedereen zien daar dat paspoort vandaan komt.

Door t_captain, dinsdag 8 april 2008 13:11

Score: 0
De vraag blijft natuurlijk: als je kennelijk bepaalde informatie kan afleiden uit de response van het paspoort, welke informatie is nog meer betroffen?

Ik mis vooralsnog de reaktie van de fabrikant, waarin duidelijk wordt gemaakt welke velden wel/niet zijn uit te lezen met een soortgelijke hack als nu voor de nationaliteit wordt toegepast.

Tot die verklaring wordt gepubliceerd en gecontroleerd, moet je er veiligheidshalve van uitgaan dat de hack alles blootlegt.

Door BartS12, dinsdag 8 april 2008 13:32

Score: 0
Ik meen uit de tekst van het artikel hierboven al uit te kunnen maken dat er helemaal geen 'data velden' worden uitgelezen.

De respons op ongeldige verzoeken is alleen verschillend voor verschillende paspoorten (=landen). De een zegt "ongeldig verzoek", de ander antwoordt "illegal function call". Rara, welke is het Nederlands paspoort?

Door straffe_hendrik, dinsdag 8 april 2008 15:51

Score: 1
Die laatste..De andere is van een Belg :P

Aan de ene kant vind ik het ook wel een beetje zorgelijk, zeker omdat je inderdaad kunt afvragen wat er wel niet allemaal meer afgelezen kan worden van de chip.

Aan de andere kant vind ik, dat het in dit voorbeeld wel een beetje overdreven is.
Je kunt ook namelijk ook iemand gewoon aan spreken met "hee waar kom jij met je cowboy hoed vandaan?"

Als je dan met een knauwend amerikaans accent te horen krijgt "sorry dude, what are you saying?"

Dan weet je ook dat zo iemand een amerikaans paspoort op zak heeft. Bovendien kan dat van een afstand groter dan 25 cm.

Bij dit soort zaken vind ik het meest zorgelijke het schijnbare gemak waarmee overheden dergelijk chips willen inzetten bij allerlei passen en kaartjes.
Ik ben daar helemaal niet van gediend. Niet in de laatste plaats omdat het vaak geen of zeer geringe meerwaarde heeft, zoals bij de OV chipkaart.

[Reactie gewijzigd door straffe_hendrik]

Door jeroenr, dinsdag 8 april 2008 17:49

Score: 0
Aan de andere kant vind ik, dat het in dit voorbeeld wel een beetje overdreven is. Je kunt ook namelijk ook iemand gewoon aan spreken met [...]
Je kunt ook iemand vragen wat zijn pincode, sexuele voorkeur, creditkaartnummer, favoriete standje, welke partij hij op gestemd heeft en of hij de laatste tijd nog met zichzelf gespeeld heeft, maar dat betekend nog niet dat diegene daarop gaat antwoorden of blij is als die informatie zonder zijn medeweten uit te lezen is.

Bovendien: dit is het eerste lek dat er bekend wordt, iets zegt mij dat er nog meer zullen volgen...

Door TD-er, dinsdag 8 april 2008 13:47

Score: 0
Als jij op vakantie bent in een land, heb je je paspoort niet zichtbaar bij je, maar vaak wel in je jaszak.
Tegenwoordig zijn wij NLers vanwege een of ander filmpje niet meer heel populair in een groot aantal landen. Tevens zijn dat landen waarin men niet zo bekend staat om discussies. Dus zo heel puur theoretisch is dit idee van een ontsteker ook weer niet.

Door paradoXical, dinsdag 8 april 2008 13:05

Score: 1
Dit is wel zorgelijk te noemen, want hoe zal de situatie over 5 jaar zijn?
De techniek staat niet stil, stel je eens voor dat deze gegevens over 5 jaar eenvoudig te bemachtigen zijn. Met paspoortgegevens kunnen criminelen veel leuke dingen doen.

Door RM-rf, dinsdag 8 april 2008 13:07

Score: 1
"De onderzoekers wijzen ook op het theoretische gevaar van een 'paspoortbom', die ontploft als iemand uit een bepaald land passeert."
Dat is zulk een bullshit... enkel een bepaald 'theoretisch voorbeeld' die vooral het effect heeft dat het extra 'opmerkzaamheid' wekt, omdat het de suggestie wekt van iets heel geheimzinnigs en gevaarlijks....

Leuk voor de media om de indruk te wekken dat een bepaalde iets heel 'gevaarlijks' kan zijn, als er zelfs 'bommen' op gebaseerd kunnen worden.

In realiteit is het hooguit gevaarlijk als je sowieso al zo paranoide bent dat je in iedere medereiziger al een zelf-opblaasterrorist ziet die het specifiek op jou zou hebben voorzien.

In feite kan je een bom laten triggeren op ieder signaal of sensor-input, waarvan dus idd een RFID signaal er eentje is...
ik vermoed overigens dat het 1000x eenvoudiger is via meegedragen GSM's en hun signalen veel meer uit te vinden van een persoon, dan via een 'eventueel' meegedragen paspoort.

[Reactie gewijzigd door RM-rf]

Door Pidi, dinsdag 8 april 2008 13:42

Score: 0
Amen.

Als je op deze manier gaat redeneren, dan moeten we ook bang zijn voor de nieuwe generatie compact digicams, want deze hebben gezichtsherkenning. Met een beetje tweaken kun je de camera vast zo instellen dat ie ook nog eens herkent van welk ras iemand is. Koppel daaraan een wapen en...

Afijn, met een beetje fantasie kun je iedereen wel bang maken.

Door mae-t.net, woensdag 9 april 2008 01:29

Score: 0
Da's inderdaad voorlopig nog fantasie, maar de nationaliteit van iemand vaststellen door zijn paspoort 'af te luisteren' kan dus gewoon. Geen fantasie dus. Zelfs al zou de terorrist die daar iets mee doet op fantasie berusten, dan is het een voldoende aanleiding om je af te vragen of je die chip nou wel nodig had. Het antwoord is nee, dus waarom zou je hem erop willen? Zelfs een onnodig risico van 0,00001 is precies dat: onnodig. En het kost nog geld ook...

Door Akino, dinsdag 8 april 2008 13:10

Score: 0
Ik heb de chip in m'n ID kaart al lang eruit geblazen in de magnetron.
Stond nergens dat ie niet tegen elektise straling kon,ook is me niet verteld dat er een chip inzat.
«  1  2  3  »

Op dit item kan niet meer gereageerd worden.

Volgende 13:32
Vorige 12:31
VNU Media logo Powered by True

© 1998 - 2008 Tweakers.net - Alle rechten voorbehouden

Uitgever van: