RFID-paspoort vol met beveiligingslekken
Paspoorten met een contactloze chip zijn niet noodzakelijkerwijs een goed stap in de strijd tegen terreur. Een gerichte aanslag wordt zelfs eenvoudiger.
Dat bleek uit een demonstratie op de BlackHat-conferentie in Las Vegas. Het bedrijf Flexilis filmde een bom die afgaat op het moment dat er een Amerikaans paspoort in de buurt is.
Kern van het probleem is de zender in de chip, die continu een signaal afgeeft. "Dat de informatie van de reiziger versleuteld is, maakt niet uit", vertelt Kevin Mahaffey tegenover Webwereld. "De informatie over de nationaliteit is niet versleuteld, omdat dit nodig is voor de decryptie."
In de demonstratie, die ook als film beschikbaar (mov) is, werd deze kennis gebruikt voor het koppelen van een explosief aan een RFID-lezers, die de bom laat afgaan op het moment dat een Amerikaans paspoort binnen een straal van tien meter is. "Dat wordt natuurlijk nog beter", denkt Mahaffey. "Als de Nederlanders straks zo'n paspoort hebben dan kun je daar natuurlijk op filteren."
Encryptie gemakkelijk te kraken
Ondertussen toont de Duitser Lukas Grunwald aan dat de verhoogde beveiliging van de paspoortchips nog steeds onvoldoende is. Hij zal demonstreren hoe de encryptie kan worden doorbroken en vervolgens een kloon van het paspoort kan worden gemaakt. De techneut maakte eerder al naam door in een supermarkt de RFID-labels van producten te veranderen.
Het laatste probleem lijkt lastig op te lossen, maar volgens Mahaffey is een aanslag wel eenvoudig te voorkomen: "De risico's nemen fors af als het paspoort niet alleen aan de voorkant, maar aan beide kanten van een RFID-filter zijn voorzien. Pas als je het paspoort openklapt kun je dan de informatie opvangen."
Inmiddels heeft Flexilis contact gehad met de FBI en andere overheidsorganen die nu de juiste verantwoordelijken proberen te vinden om te kijken of er voor de introductie van de paspoorten in oktober dit jaar nog iets verbeterd kan worden. Ook Nederland heeft plannen met de RFID-chips te gaan werken.
"Eigenlijk is het wel cynisch dat het paspoort een aanslag gemakkelijker maakt, terwijl juist de dreiging van terreur als aanleiding van het probleem wordt gegeven", meent Mahaffey. In de laatste versie van de podcast ICT Roddels geeft hij een uitgebreid interview.