Gepubliceerd: Vrijdag 6 februari 2009
Ethische hacker Chris Paget demonstreert een goedkope manier om RFID-paspoorten op afstand uit te lezen en te klonen.
Toon volledig artikel
Ja het blijft een rommeltje. Geen leuk idee dat ze straks alles van je weten, kunnen volgen, maar ook combinaties kunnen maken die niet wenselijk zijn.
Het wordt straks moeilijk om aan te tonen dat je ergens niet bent geweest en wellicht draaien meer mensen onschuldig de bak in.
Waarom wordt er zolang met een systeem doorgegaan dat gewoon zo lek als een mand is?
"Gekraakt" wat dan? Hij rijdt rondjes en is in staat een tag te scannen, ja dat kan iedereen. Het enige bijzondere is dat hij over een grote afstand de tag leest. Maar we zien niet het moment dat ie daadwerkelijk iemand scanned. Een paspoort echt kopieren heeft hij niet laten zien. Wat hij zegt over creditcards klopt overigens. Paywave en Paypass werken volgens iso 14443, deze kaarten zijn zo uit te lezen en zijn niet voorzien van crypto zoals de Mifare kaarten. Met een standaard NFC reader lees je het creditcardnummer en exp. date. Maar je kan hiermee niet een nieuwe kaart maken, die je weer even kunt gebruiken in het Paypass / Paywave scheme.
Hij zou in dit filmpje demonstreren RFID-paspoorten uit te lezen? Maak dat je grootje wijs.
Die "hacker" laat in het filmpje een Motorola XR400 RFID reader zien. Dat apparaat leest uitsluitend UHF-tags (frequentie rond de 900 MHz). Zulke tags kunnen inderdaad op een meter of tien kunnen worden uitgelezen, maar in paspoorten zitten ze helemaal niet!
De RFID-tags in paspoorten (ook Amerikaanse) zijn van het type ISO14443. Die werken op een veel lagere frequentie van 13.56 MHz, hebben een leesbereik van hoogstens een centimeter of tien, en een UHF-RFID reader zoals de XR400 kan er absoluut niets mee.
Dat "voor minder dan $250" doet er daarmee eigenlijk al niet meer toe, maar dat bedrag slaat ook nog nergens op. Reken maar dat je algauw het tienvoudige neer moet tellen voor een XR400.
Compleet flauwekul dus allemaal.
Volledig mee eens.
Je vraagt dan wel af waar de reactie uit de industrie blijft? Dit soort jongens zorgen er weer wel voor dat nitwit bestuurders in gemeentes en overheid hier tonnen aan tijd in gaan stoppen en geld om uiteindelijk hetzelfde te concluderen.
Elk systeem is uiteindelijk te kraken. Het gaat om hoe je dergelijke risico's managed. De manier waarop de chipkaart discussie in NL is gevoerd is zo'n typisch voorbeeld van 'how no to'
Toch dan bedenken waar het over gaat. Video met uitleg op shmoocon.
De paspoorten waar hij het over heeft zijn rfid's op 900MHz zonder welke vorm van beveiliging dan ook.
Om te kunnen reageren, dient u ingelogd te zijn.
2 jaar geleden: 13 februari 2010
3 jaar geleden: 13 februari 2009
4 jaar geleden: 13 februari 2008
5 jaar geleden: 13 februari 2007
14 jaar geleden: 13 februari 1998
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, ITworld, Jobworld, MacWorld, RAW fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
