Sicherheitsprüfung für elektronische Reisepässe überlistet
Elvis lebt, zumindest wenn man den Scannern für elektronische Reisepässe am Flughafen Amsterdam Glauben schenken darf. In einem Video des Sicherheitsspezialisten Jeroen van Beek (auch als vonJeek bekannt) ist zu sehen, wie der Pass-Scanner einen nachgemachten ePassport ausliest und die Daten des verstorbenen Elvis Aaron Presley nebst Foto auf dem Bildschirm anzeigt.
Gelungen ist der Trick laut Beschreibung durch den Einsatz einer Java Card und einem darauf laufendem ePassport-Emulator-Applet sowie durch Ausnutzung von Schwachstellen bei der Verifikation der Daten. Offenbar prüfen die Scanner nicht alle definierten Sicherheitsmerkmale einer Karte, sodass manipulierte Pässe oder solche mit komplett neuen Daten keine Warnung oder einen Alarm auslösen. Die Grundlagen seines Angriffs hat van Beek bereits auf der vergangenen Black Hat präsentiert (Folien hier).
Damit andere seinen Hack nachvollziehen können, hat van Beek eine vollständige Beschreibung der Vorgehensweise und der notwendigen Tools veröffentlicht. Im derzeitigen Stadium gäben die ePassports seiner Ansicht nach ein falsches Gefühl von Sicherheit.
(dab/c't)
Quelle: Heise Online, 30.9.2008
Elvis lebt, zumindest wenn man den Scannern für elektronische Reisepässe am Flughafen Amsterdam Glauben schenken darf. In einem Video des Sicherheitsspezialisten Jeroen van Beek (auch als vonJeek bekannt) ist zu sehen, wie der Pass-Scanner einen nachgemachten ePassport ausliest und die Daten des verstorbenen Elvis Aaron Presley nebst Foto auf dem Bildschirm anzeigt.
Gelungen ist der Trick laut Beschreibung durch den Einsatz einer Java Card und einem darauf laufendem ePassport-Emulator-Applet sowie durch Ausnutzung von Schwachstellen bei der Verifikation der Daten. Offenbar prüfen die Scanner nicht alle definierten Sicherheitsmerkmale einer Karte, sodass manipulierte Pässe oder solche mit komplett neuen Daten keine Warnung oder einen Alarm auslösen. Die Grundlagen seines Angriffs hat van Beek bereits auf der vergangenen Black Hat präsentiert (Folien hier).
Damit andere seinen Hack nachvollziehen können, hat van Beek eine vollständige Beschreibung der Vorgehensweise und der notwendigen Tools veröffentlicht. Im derzeitigen Stadium gäben die ePassports seiner Ansicht nach ein falsches Gefühl von Sicherheit.
(dab/c't)
Quelle: Heise Online, 30.9.2008