Sähköinen passi soveltuu sabotointiin
1.8.2007 13:52 Saksalainen tietoturvatutkija esitteli viime vuonna sähköisten passien kloonausta. Tänä vuonna hän sabotoi passinlukijoita muokatulla passilla ja väärentää sormenjälkiä.
Viime vuonna saksalainen Lukas Grunwald esitteli Las Vegasin Defcon-tapahtumassa, kuinka sähköisestä passista voi tehdä kopioita. Ensi viikonloppuna Grunwald aikoo esitellä, kuinka sähköisellä passilla voi kaataa passinlukijoita.
Grunwald hyödyntää passinlukijoiden sabotoinnissa passin sisältämää jpeg2000-muodossa olevaa passikuvaa. Muokkaamalla tietyillä tavoilla kuvatiedostoa, passinlukijat kaatuvat. Grunwald on testannut haavoittuvuutta kahdella eri valmistajan passinlukijalla.
Rfid-guru on sitä mieltä, että haavoittuvuuden avulla passinlukijat voitaisiin käskyttää hyväksymään vanhentunut tai väärennetty sähköinen passi. Myös Windows-pohjainen tietokone, johon passinlukija on kytketty, voi olla haavoittuvainen passihyökkäykselle.
Grunwald ei Wiredin mukaan nimeä lukijalaitteiden valmistajia, mutta haavoittuvaisia lukijoita on miehen mukaan käytössä joillakin lentokentillä. Tietoturvatutkija ei myöskään usko, että muiden valmistajien lukijat olisivat yhtään sen turvallisempia.
Saksalaistutkija on myös löytänyt toisen haavoittuvuuden, jonka avulla sähköisestä passista voidaan kopioida passin omistajan sormenjäljet. Sähköisessä passissa sormenjäljet ovat tallennettu normaalina kuvatiedostona, jota on hyvin helppo käsitellä eri käyttötarkoituksiin.
Matias Mäki
matias.maki@sanoma.fi
Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.
- Digitodayn tuoreimmat uutiset.
- 10.2. Facebook-kaverin poisto johti kaksoismurhaan
- 10.2. Googlen lompakko hakkeroitiin helposti
- 10.2. Google pystyttää kilpailijaa Dropboxille
- 10.2. Alcatel-Lucent lopettaa työpaikkoja
- 10.2. Pirate Bay uhmaa muistitikulla estoja
- 10.2. Comptel puolittaa osingon
- 10.2. Kodak keskittyy kuvien tulostamiseen
- 10.2. Yle: Piraattiradio häiriköi Turun seudulla
- 10.2. Windows XP:lle harvinaisen vähän korjauksia
- 10.2. Itsemurhatehtaan johtajalta vohkittiin salasana
- 10.2. Googlen ensimmäinen työntekijä lähtee
- 10.2. Microsoft keskeytti yllättäen Lumia 900:n varaukset
- 10.2. FBI: Steve Jobsilla oli top-secret -luokitus
- 9.2. Uusi iPad tulee maaliskuun alussa?
- 9.2. Siri opiskelee kiinaa ja venäjää
- 9.2. Peliskene poimi presidentin palkinnon
- 9.2. Google: Näytä surfailusi, saat rahaa
- 9.2. Skimmaajat teettivät erikoislaitteita Suomen oloihin
- 9.2. Samsungilta ei julkistuksia Barcelonassa
- 9.2. Ciscon tulos parani reippaasti
- Uusimmat
- 48h luetuimmat kaikista uutisista.
- 8.2. Nokia-pomo: Puhelimet ovat Designed in Finland
- 10.2. FBI: Steve Jobsilla oli top-secret -luokitus
- 8.2. Nokian Salon tehdasta on ajettu alas pitkään
- 10.2. Microsoft keskeytti yllättäen Lumia 900:n varaukset
- 8.2. Kaksi minuuttia Iron Skyta – Elokuva "täynnä vastoinkäymisiä"
- 9.2. Sadan tonnin sakot kuluttajien harhauttamisesta
- 8.2. Nokia julkistaa huippupuhelimen Barcelonassa
- 8.2. Applen televisio voi saada liikeohjauksen
- 8.2. Yllätys: Nokia on ylivoimainen web-johtaja
- 9.2. Yllättävä ongelma: iPhone 4S ei toimi kiinalaisten sim-kortilla
- Luetuimmat
- 48h suositelluimmat kaikista uutisista.
- 8.2. IPadille haetaan porttikieltoa Kiinaan
- 8.2. Kiinassa tarjolla miljardien eurojen verkkourakat
- 8.2. Nokian potkut uhkaavat tuhatta Salon tehtaalla
- 9.2. Microsoft tarjoaa Lumia 800 -kimppua ystävänpäivänä
- 9.2. Windows 8:n testiversio ilmestyy karkauspäivänä
- 9.2. Apple myy vihdoin iPhone 4S:ää Kiinassa
- Suositelluimmat
- 48h kommentoiduimmat kaikista uutisista.
- 8.2. Nokia-pomo: Puhelimet ovat Designed in Finland
- 9.2. Yllättävä ongelma: iPhone 4S ei toimi kiinalaisten sim-kortilla
- 10.2. FBI: Steve Jobsilla oli top-secret -luokitus
- 8.2. Nokian Salon tehdasta on ajettu alas pitkään
- 8.2. Applen televisio voi saada liikeohjauksen
- 10.2. Microsoft keskeytti yllättäen Lumia 900:n varaukset
- 9.2. Microsoft tarjoaa Lumia 800 -kimppua ystävänpäivänä
- 8.2. Nokia julkistaa huippupuhelimen Barcelonassa
- 8.2. Yllätys: Nokia on ylivoimainen web-johtaja
- 9.2. Uusi iPad tulee maaliskuun alussa?
- Kommentoiduimmat
Uutispäivä
Vuorokauden kaikki uutiset yhdellä sivulla.
Kevyt ja nopea
Oletko jo tutustunut m.digitoday.fi-mobiilisivustoon?
Uusimmat uutiset
- Googlen lompakko hakkeroitiin helposti 16:26
- Pirate Bay uhmaa muistitikulla estoja 14:02
- Itsemurhatehtaan johtajalta vohkittiin salasana 10:03
- FBI: Steve Jobsilla oli top-secret -luokitus 07:00
- Skimmaajat teettivät erikoislaitteita Suomen oloihin 14:16
- Brittilehti sekaantui sähköpostien vakoiluun 15:46
- Suomalaiset taitavat tietoturvan hopean arvoisesti 21:47
- Tietoturvayhtiöltä yritettiin kiristää lunnasrahoja 13:15
- Lisää
Digiyesterday
Kolme vuotta sitten
Etelä-Koreassa gigabitin yhteydet koteihin vuonna 2012
11.02.2009 Etelä-Koreassa aiotaan nostaa nettiyhteyksien nopeudet kymmenkertaisiksi kolmessa vuodessa.
Taloussanomat
- Koulutettu, ole iloinen huonosta palkastasi 06:01
- SK: Nokia ulkoisti lokakuussa – Accenture jakaa jo eropaketteja 20:59
- Suoraan Wall Streetiltä: "Olen nyt alfauros" 20:24
- Kreikan sopu järkkyi jo: Puoluepomo aikoo äänestää ei 16:22
- Raatoja tulee ravintola-alalla: "Dokaaminen meni muodista" 15:01
- Tämä sana joutui pannaan – Ollila haluaa sen takaisin 15:39
- Erimielisyyksiä osingoista – OP-Pohjola antoi potkut pankkiirilleen 10:07
- USA:ssa luottamus notkahti vielä pelättyäkin enemmän 17:32
- Merkel: Kreikka tarvitsee lisää apua 13:01
- Kreikan poliisi haluaa pidättää EU-virkailijat 17:12
- » Taloussanomat.fi
-
-163 e
HP Workstation Z210 SFF (Xeon E3-1225, 4 GB, 500 GB, Win 7 Home Premium), keskusyksikkö
-
-79 e
HP Z400 (Xeon W3550, 6 GB, 1 TB, Win 7 Professional), keskusyksikkö
-
-76 e
Apple Mac Pro (Xeon 2.8 GHz, 8 GB, 2 TB, OS X), keskusyksikkö
-
-27 e
HP Workstation Z210 (Core i3-2120, 4 GB, 500 GB, Win 7 Home Premium), keskusyksikkö
-
-21 e
HP 7300 MT (Core i3-2120, 2 GB, 500 GB, Win 7 Professional), keskusyksikkö
Kommentit (21)
Se mitä tulee sormenjälkien "varastamiseen" on taas vähän niin ja näin. Sormen jäljet voi saada sirulta ja niitä voi koittaa tunkea jollekin toiselle sirulle johonkin passiin, mutta jos oikea taho ei ole näitä allekirjoittanut, niin ei tätä mikään passintarkastuslaite hyväksy. Veikkaan kuitenkin tarkoituksen olevan se, että passin siru itse vertailee sormenjälkitietoja eikä siis luovuta niitä ja nyt jos tää Lapinp..saksalainen on saanut ne sieltä, niin kyseessähän on bugi korttikäyttiksessä ja siis ongelma.
Jpeg2000:lla varmaan voi kaataa järjestelmän ja ilo on se, että passintarkastus jonoutuu ja tullimiehet sormeilevat harmistuksissaan kumihanskalla kaatajan kehon aukkoja... ;-)
Uutta provoo odotellessa.
Lähdetään siitä, että henkilön identiteettiin puuttuu kaikkein helpoimmin taskuvaras, joka varastaa hänen lompakkonsa. Rahatkin menee, kun varas katsoo ensin pankkiautomaatilla asioivan henkilön tunnusluvun selän takana. Ja kasvokuvankin saa suoraan www.treffisivustoilta tai otettua kännykkäkameralla hieman helpommin kuin yrittämällä salakuunnella jonkun passin rfid-liikennettä. Esimerkiksi lentoasemallahan tämä onnistuu, kunhan onnistuu ensin asentamaan salakuuntelulaitteen 10 sentin päähän passintarkastuksen työasemasta ja salauksen murtoa varten on käytettävissä supertietokone. Jokainen voi miettiä, kuinka helppoa tämä on, vai onko.
Se tekninen turvallisuus, mitä passin toteutukseen on jo nykyisellään rakennettu, ylittää tällä hetkellä moninkertaisesti kaikkien julkisessa käytössä olevien asiakirjojen turvallisuuden, mukaan luettuna setelit ja luottokortit. Näistä vaihtoehdoista en ensimmäisenä lähtisi huolestumaan passin turvallisuudesta.
Passin fyysiset turvatekijät ovat erittäin kehittyneitä, ja sähköinen turvallisuus (siru, jossa sähköisesti allekirjoitettu tieto ja riittävän turvallinen lukemisolosuhteiden hallinta) siihen lisättynä tekevät jo nykyisellään passin väärentämisen käytännössä mahdottomaksi. Minkä tahansa muun asiakirjan väärentäminen on helpompaa. Nukkukaa siis yönne rauhassa ilman passipainajaisia. Uneksikaa mielummin niistä etelämeren maista, joihin päästäkseen sitä turvallista passia voi käyttää.
Vielä yksi kommentti tuohon edellä olleeseen "Voi varastaa - virolaiset ja venäläiset ns yrittäjät tekevät tätä jo nykyään, maksamatta mitään verojakaan suomessa." Ainahan kaupunkitarinoihin voi uskoa jos haluaa. Niitä voi myös levittää, jos yhteiskunta tuntuu mädältä, elämässään ei koe mitään mielekästä ja muiden maiden kansalaisten haukkuminen on ainoa ilon lähde. Tarinoihin voi myös olla uskomatta ja yrittää hankkia itselleen oikeaa tietoa ja asiantuntemusta. Ehkä siitä oma elämänlaatukin paranee eikä kaikesta tarvitse syyttää valtiota tai ulkomaalaisia. Tai oikeastaan ketä tahansa paitsi itseään.
Tietoenator ja wm-data hommiin vaan niin järjestelmä saadaan n. 3000miljardilla jos vertaa suhteessa AKEn järjestelmän hintaan :)
Niin varmaan. Miksei vaan lainaa hepun taskusta passia vähäksi aikaa ja lue niitä sormenjälkiä passin kannesta? Saa luultavasti samalla kaikki sormet eikä tarvitse sijoittaa biljardia euroa niihin salakuuntelulaitteisiin ja supertietokoneisiin.