« Att låta en nioåring åka tunnelbana hem ensam i New York | Main | Vem använder rss? »
den 14 april 2008
Säkerhet, komplexitet och RFID i passen
Nya europeiska pass innehåller RFID-kretsar. De svarar på radiosignaler och skickar man med rätt krypteringsnyckel så får man tillbaka de uppgifter som står i passen.
Krypteringsnyckeln är tryckt inuti passen. Det låter tokigt, men är inte så dumt. Det gör att man är säker på att kunna läsa passets innehåll elektroniskt bara man har tillgång till det fysiska passet.
Om man däremot inte har krypteringsnyckeln så ska man ju inte få reda på någonting alls. Det verkar också vara implementerat enligt den överenskomna standarden, så om man snällt frågar passet över RFID-frekvensen vad det är för något, utan att skicka med krypteringsnyckeln, så får man inget vettigt svar tillbaka.
Vad som nu är upptäckt är att om man skickar en förfrågan till passet som inte ser ut som den ska, är ofullständig på något sätt, eller innehåller otillåtna tecken, då får man olika respons beroende på vilket land passet kommer ifrån! Allt enligt denna artikel i The Register.
Detta betyder att man på avstånd kan avläsa nationaliteten på personer förutsatt att de har sitt pass på sig. Inte så bra.
Jag tar upp ämnet dels för att det visar vår sårbara IT-infrastruktur, och dels för att det visar vilken sorts tänkande som behövs när man ska bygga upp en stabil infrastruktur. Att inte bara tänka på hur systemet ska fungera, utan också på alla möjliga sätt man kan skicka tokiga saker till systemet.
Jag gillar att se IT-system nästan som om de har fysikaliska egenskaper, och att tänka mig att man kan "banka" på dem, bända dem, borra i dem, och att ibland uppför de sig helt konstigt, ungefär som den här droppen av glas.
/Simon
02:48 e.m. | Permalink
Comments
Det har ju diskuterats andra säkerhetsproblem tidigare. Jag vet inte om de fortfarande är giltiga. Vet du? Länk 1: http://www.schneier.com/blog/archives/2006/08/hackers_clone_r.html Länk 2: http://www.guardian.co.uk/technology/2006/nov/17/news.homeaffairs
Wired berättar hur man "stänger av" sin RFID: http://www.wired.com/wired/archive/15.01/start.html?pg=9
Posted by: ctail | 2008-04-14 15.53.24
Rätt brutala en del av de där tipsen... Länk 2 var rätt intressant, om all information man kan få tag på bara man har lite att börja med typ ett boarding-kort eller ett bonuskortnummer...
Nej, jag vet inte vilka som fortfarande är aktuella. Letade lite i Pär Ströms BBB-nyhetsbrev, för jag hade för mig att han hade skrivit om det, men kunde inte hitta några bra sökord... :-(
Posted by: Simon | 2008-04-14 21.47.17
Ju mer någon litar på ett system, desto mer lättlurad är personen om någon lyckats kompromettera systemet.
Posted by: steelneck | 2008-05-08 19.44.56
