Hopp til navigasjon Hopp til innhold
cebit06

E-pass kan klones

Den tyske «black hat»-hackeren Lukas Grunwald har greid å kopiere innholdet på brikkene i de nye elektroniske passene.

cebit06– Hele pass-designet er totalt hjerneskadd. Fra mitt ståsted er alle disse RFID-passene en total sløsing med penger. De øker ikke sikkerheten i det hele tatt, er Grunwalds nådeløse dom.

Verdensstandard

Grunwald jobber til daglig som konsulent i sikerhetsselskapet DN-Systems Enterprise Internet Solution. Han var en av foredragsholderne på Black Hat-konferansen for hackere i Las Vegas i uka som gikk. Der viste han hvor enkelt det er å få tak i – og dermed få mulighet til å misbruke – de nye elektroniske passene som er i ferd med å bli standard på reise både i USA, Europa og resten av verden.

I passene sitter en liten elektronisk brikke der de viktigste opplysningene om passinnehaveren er lagret. Denne informasjonen overføres til en leser via RFID (Radio Frequency Identification).

Liten åpning er nok

Grunwald har utviklet et lite program kalt RFDump som kan fange opp, kopiere og – i hvert fall teoretisk – også endre informasjonen i passene. Metoden viste seg å være like effektive med EU-pass som med amerikanske. Og dermed etter alt å dømme også den norske varianten.

Amerikanske myndigheter har forutsett at noe slikt kan hende. Derfor har de laget passene slik at de må åpnes før brikken kan leses. Men Grunwald viste at det bare skal en liten gjenstand som en kam eller en penn til før passet er åpent nok til å kunne leses av uvedkommende.

Manuell kontroll løsningen

Passene er også elektronisk sikret for å hindre at de leses av andre enn immigrasjonsmyndighetene. Men som den drevne hackeren han er klarte Grunwald enkelt å komme forbi denne.

Amerikanske myndigheter hevder at de lenge har visst om alle disse svakhetene, men at de holder det for usannsynlig at noen vil utnytte dem. I tillegg framholder de at det ikke vil bli aktuelt med ren elektronisk inspeksjon av passene. Det vil fortsatt være mennesker som foretar passkontrollen, og de vil kunne avsløre eventuelle misforhold mellom informasjonen i passet og personen som bærer det.

Oppdatert 7/8-2006 kl. 17.23

Kilder:
Blackhat.com
Wired.com
news.com
Forbes.com

Stikkord: Maskinvare