head

 


 

News

Hacker liest unbemerkt RFID-Personaldokumente von US-Bürgern aus

 

Der RFID-Sicherheitsexperte Chris Paget hat in einem Praxistest gezeigt, wie einfach es ist, die vom US-Außenministerium ausgegebenen neuen Passport Cards aus der Ferne auszulesen und zu klonen. Paget machte sich dazu seit Ende Oktober 2008 bekannte Schwachstelle in der Implementierung der verwendeten RFID-Karten zunutze. Zum Auslesen benutzte er eine Motorola-RFID-Antenne und einen RFID-Leser von Symbol für rund 250 US-Dollar, womit er eine Reichweite von rund 10 Metern erreicht haben will. Die Ausrüstung verstaute er nebst Laptop und selbst geschriebener Software in seinem Auto und ging auf RFID-Jagd.

Innerhalb von 20 Minuten will er zwei RFID-Tags in Passport Cards unbemerkt ausgelesen haben - ohne Wissen der Besitzer. Bei den ausgelesenen Daten handelte es sich nur um eine Seriennummer, die zwar keine persönlichen Informationen enthalte, allerdings mit einer Datenbank des Department of Homeland Security (DHS) verknüpft ist und etwa bei Grenzübertritten geprüft wird. Die Seriennummer lässt sich in handelsübliche RFID-Karten zurückschreiben. Nach Meinung der Bürgerrechtsvereinigung American Civil Liberties Union sei dies der erste Schritt, um elektronische Pässe zu fälschen.

Paget hat damit erfolgreich demonstriert, was Forscher von RSA bereits Ende des vergangenen Jahres herausgefunden und veröffentlicht hatten. Demzufolge verfügen die Passport Cards über keine Anti-Cloning-Funktion, wie sie etwa das DHS gefordert hat.

In den USA sollen rund 750.000 Personen eine RFID-Karte für Reisen zwischen den USA, Mexico, Canada, den Karibischen Inseln und den Bermuda-Inseln besitzen. Keine Gültigkeit haben die ID-Karten indes für Reisen per Flugzeug ins US-Ausland.

Auch die neuen elektronischen Führerscheine (Enhanced Drivers Licence, EDL) lassen sich auf die gleiche Weise auslesen und klonen. EDLs bieten etwa Washington und New York State an. Nach Meinung von Paget ließen sich mit dem großflächigen Erfassen von RFID-Tags Bewegungsprofile erstellen.

Die zuständigen Behörden sehen jedoch kein Problem. Mit den ausgelesenen Daten könne man wenig anfangen. Zudem seien die Karten mit Schutzhüllen versehen, die das ungewollte Auslesen verhindern sollen. Auch dies hatten die RSA-Forscher aber bereits vergangenes Jahr bemängelt: Trotz Hülle war es möglich, die Seriennummer auszulesen.


Quelle: heise.de




 

Im Innenministerium schützt man sich mit Alu-Folie vor der RFID-Technologie

 

Alle neuen deutschen Reisepässe enthaltenen einen digitalen RFID-Chip, auf dem die biometrischen Daten des Bürgers gespeichert sind. Viele Mitarbeiter des Innenministeriums trauen dieser Technologie nicht- und schützen sich ...


In der Werbung des Innenministeriums wurde der neue Reisyepass als "absolut fälschungssicher" und in Hinblick auf die Datensicherheit völlig unproblematisch dargestellt. Schon im August 2006 kam dann der GAU: Auf der amerikanischen Sicherheits-Fachmesse "Black Hat Conferenz" führte ein deutscher Wissenschaftler vor, wie leicht der neue deutsche Reisepass mit den personenbezogenen Daten auf dem RFID-Chip ausgelesen und missbräuchlich verwendet werden kann. Lukas Grünwald, Geschäftsführer der "DN-Systems Enterprise Internet Solution" aus Hildesheim führte vor, wie die auf den RFID-Chips hinterlegten Daten kopiert und in ein anderes elektronisches Ausweisdokument eingelesen werden können.


Im Branchenmagazin Wired erklärte er dann, die RFID-Pässe seien reine Geldverschwendung, weil sie die Sicherheit nicht erhöhen. Er will nach eigenen Angaben zwei Wochen gebraucht haben, um die angeblich fälschungssicheren Ausweise zu hacken und herauszufinden, wie sich die elektronischen Daten eines RFID-Passes auslesen, klonen und auf einen anderen Chip übertragen lassen. Die Daten seien auf beliebige Smartcards übertragbar, die dann z.B. als Zutrittsberechtigung benutzt werden können. Im Bundesinnenministerium hat man die Darstellung offenkundig geprüft und für realistisch befunden. Denn dort kursiert derzeit eine Alufolie, mit der man sich gegen das Auslesen des RFID-Chips im Reisepass schützen kann. Die Folie scheint eine echte Marktlücke zu sein, im Internet wird sie für 6 Euro vertrieben.


Abgeschirmt von der kräftigen Metallfolie kann der RFID-Chip eines Reisepasses angeblich nicht mehr angefunkt und ausgelesen werden. Gute Exportchancen hat die Folie nun wohl auch in die Niederlande und nach österreich. Weil die Verschlüsselung der biometrischen Daten nicht gut war, konnte in den Niederlanden schon der erste RFID-Pass gehackt werden, die österreichische E-Pass-Lösung kämpft mit ähnlichen Schwierigkeiten.