Na ov-chip nu ook lek in paspoort
Legio criminele toepassingen
De chip in het nieuwe Nederlandse paspoort en andere passen is ’lek’. Dieven kunnen snel zien of iemand een paspoort bij zich heeft en uit welk land hij komt.
Moderne paspoorten in tassen of binnenzakken verraden draadloos hun aanwezigheid én uit welk land ze komen. Onderzoekers van de Radboud Universiteit in Nijmegen hebben een beveiligingslek ontdekt in de chip die de pas juist veiliger moet maken.
„We hebben op de universiteit studenten van tien nationaliteiten en bij allen kunnen we ongezien zeggen uit welk land hun pas komt”, aldus Erik Poll, die samen met Wojciech Mostowski en Henning Richter het beveiligingsprobleem ontdekte. In ieder geval paspoorten uit Nederland, Australië, België, Duitsland en nog zes Europese landen zijn voortaan ongemerkt te traceren en te herkennen. Poll denkt dat dit voor bijna alle moderne paspoorten geldt.
Het lek is des te opmerkelijker omdat de chips voldoen aan de zwaarste eisen van de Icao, de luchtvaartorganisatie van de Verenigde Naties. De passen zijn voorzien van een beveiliging die de gegevens in de chip, zoals naam, adres en een foto van de houder, tegen ongeoorloofd uitlezen beschermen. Dat lukt, maar bij die beveiliging is een andere, simpele kwestie over het hoofd gezien.
Poll: „We hoeven alleen maar een foute code naar een paspoort te sturen. In de Icao-regels staat precies hoe een chip in het paspoort moet antwoorden op elke correcte vraag van een officieel leesapparaat, zoals bij de douane. Maar men is vergeten dat ook te regelen voor antwoorden op verkeerde vragen. In de praktijk blijkt dat elk land een eigen manier heeft bedacht om met foute codes om te gaan. Analyseer de foutmelding die je terugkrijgt na het bewust versturen van een verkeerde code en je weet uit welk land het paspoort komt.”
Foutmeldingen verraden veel over de werking van computers en zijn al vaak gebruikt om systemen te kraken. Daar heeft de Icao echter niet genoeg bij stilgestaan, blijkt nu.
De chip in het paspoort werkt, net als die in bijvoorbeeld de gekraakte OV-chipkaart en toegangspasjes, met de draadloze rfid-technologie. Daardoor is een rfid-lezer van een paar tientjes genoeg om de paspoorten te herkennen. Om ze geschikt te maken om op afstanden van 25 centimeter te werken, in plaats van de standaard van enkele centimeters, hoeft er alleen maar een grotere antenne aan te worden gekoppeld.
Poll en zijn twee collega’s zullen hun ontdekking volgende maand tijdens een congres over beveiliging demonstreren en er meer details over bekend maken. In hun artikel voor dat congres waarschuwen zij ervoor dat terroristen een ’paspoortbom’ zouden kunnen maken die alleen afgaat als een paspoort uit een bepaald land langskomt.
Minder spectaculair maar mogelijk realistischer, zo schrijven zij, is de dief die eerst vaststelt of iemand een paspoort bij zich heeft, waar die zit (in jas, tas of broekzak) en of het een pas van de gewenste nationaliteit is, waarna een zeer gerichte beroving mogelijk wordt.
© Trouw 2010, op dit artikel rust copyright.
Reacties (23)
Met zn allen tegen de Illuminatie, die hier vast weer achter zit.
Mensen, wij worden niet meer gehoord in deze maatschappij tegenwoordig want alles wat de overheid wil, dat wordt er toch wel doorgedrukt. De overheid is inmiddels zo bang voor onze bevolking dat ze vinden dat dit soort maatregelen nodig zijn. Ik vraag me af of nieuwe verkiezingen zullen helpen.
Ik zeg; gooi je paspoort even 10 seconden in de magnetron, is het chipje wat in je paspoort zit kapot! Dat jouw chipje het dan niet meer doet, is niet jouw probleem! Jij hebt nog steeds een geldig legitimatiebewijs en een geldig reisdocument (lijkt mij).
Nienke Pruiksma, Lochem op 15-07-2009, 13:52
zal ook lekker makelijk zijn voor bomaanslagenhee komen ze uit .... (amerika, nederland enz.) dan gaat de bom vanzelf af.lekker slim
pieter, chaam op 08-04-2008, 21:35
Sinds wanneer is Australië een Europees land? En zolang er beveiliging is zal er een iemand het willen kraken, het is juist knap dat we mensen opleiden die dat snel kunnen!Neerlandicus.
Neerlandicus, utrecht op 08-04-2008, 21:35
200.000 "Beveiligers" waken over 16.5 miljoen verdachten : dat zijn U, ik, wij allemaal. Sinds 9/11 zijn onze burgerrechten "voor onze eigen veiligheid" afgenomen. De moord op Van Gogh is daarvoor misbruikt en er is maar weinig protest geweest. Post- en telefoongeheim zijn afgeschaft. Ipv 6 maanden PC-Eurospionnage stellen Balk.c.s 18 maanden voor!Kliklijnen prijzen burenverraad aan! Nu het paspoort weer.Het wordt tijd voor nieuwe verkiezingen!
CAREL VAN EEDEN, Landsmeer op 08-04-2008, 21:34
Uiteráárd bagatelliseert de overheid de kritiek op de paspoortchip. Je ziet hier ook weer het vertrouwde drievoudige patroon terug waarmee het probleem wordt "getackled", lees weggedefiniëerd. Alleréérst wordt er glashard ontkend. "Uit ónze tests is gebleken dat het produkt absoluut veilig is, gaat u maar rustig slapen". Als daarna blijkt dat de tests ondeugdelijk zijn geweest valt men terug op de tweede verdedigingslinie "er zijn wel problemen maar we lossen ze nog wel op". Nóg iets later blijkt dat waarschuwingen van externe deskundigen keihard in de wind zijn geslagen. Dan heet het ineens "deze problemen waren vooraf ingecalculeerd"...
koen, stationslaan op 08-04-2008, 21:34
Met de technologische ontwikkelingen van deze tijd is het onmogelijk een honderd procent veilige paspoort te ontwikkelen.De kennis op dit terrein van vandaag is morgen al verouderd. De overheid moet waakzaam blijven en de mensen goed informeren. P.S. het onderzoek van de Uni van Nijmegen wordt op verzoek van de overheid uitgevoerd!Misschien moet de Uni anders communiceren cq het nieuws anders naar buiten brengen.
Henry, Vleuten op 08-04-2008, 21:34
Maak je geen illusies dat een onderhuids geímplanteerde chip wel veilig is-- het is alleen lastiger om er aluminium omheen te wikkelen.En verder, ja, de overheid houdt niet zo van chip-experts. Die zeuren alleen maar over veiligheid, en dat houdt zo op ... (ja, ik ben er één, dus ik weet er alles van)
jg, kalkar op 08-04-2008, 17:14
En dat is nou precies waar het om gaat, Mark Watson, want vandaag heeft de SP hier vragen over gesteld. Ze hebben gewoon geen kaas gegeten van informatica. Trouw meldt alleen maar wat er momenteel gebeurt. Dat is hun taak, meer niet.En dat van die speciale envelop is ook waanzin. Nog even en je moet een hele brandkast meezeulen.
Jan, Thuis op 08-04-2008, 12:46
Ik vraag me echt af welke koekebakkers verantwoordelijk zijn voor dergelijke blunders. Elke fatsoenlijke programmeur/ontwikkelaar kent het risico van informatielekken door foutmeldingen. Dit lek in paspoortchips is het schoolvoorbeeld van een beginnersfout op beveiligingsgebied. Laten ze de security in paspoorten door stagiaires ontwerpen ofzo? Het lijkt iig alsof er nooit een beveiligingsexpert betrokken is bij het ontwerp en implementatie, anders was deze flater niet gemaakt. Ik vind dit zeer, zeer zorgwekkend. Zeker omdat dit geen incident is, maar bijna gangbare praktijk lijkt te worden.
Farenji, Rotterdam op 08-04-2008, 12:38
Bijna een kwart eeuw na het paspoortendrama jaagt men nog steeds "fraudebestendige" beveiligingen na.Maar de vooortgang van de techniek maakt dergelijke beveiligingen even onbereikbaar als de "Steen der Wijzen", waarnaar de middeleeuwse alchimisten zochten. De OV-chipcard-organisatie zou er daarom beter aan doen een voorbeeld te nemen aan de werkwijze van de grote creditcard-ondernemingen. In plaats van de onbereikbare "fraudebestendigheid" na te jagen, houden die het gebruik van hun kaarten voortdurend in de gaten en nemen discreet en snel maatregelen zodra zij misbruik ontdekken. Zo kan het ook bij de OV-chipcard.
Edwin Elm, Den Haag op 08-04-2008, 12:32
Sinds ik dit nieuwe paspoort heb, zit er dan ook altijd een flinke lap aluminiumfolie omheengewikkeld. Ik wil niet dat mijn paspoort ongevraagd gelezen wordt.
cris, waddinxveen op 08-04-2008, 12:29
Met dank aan de Nederlandse Gestapo die mij verplicht om altijd een legitimatie bewijs bij me te hebben.
John Tab, Bussum op 08-04-2008, 12:12
Merkwaardige subkop.Ook moordenaars, spionnen, hackers, voetballers en bejaarden kunnen dit dan lezen.
Nico Klaasen Bos, Veenendaal op 08-04-2008, 11:34
Jaren geleden is er al een proof of concept gemaakt voor een bom die afgaat als er een amerikaans paspoort in de buurt is. Oud nieuws dus.
Sylvain Vriens, Amsterdam op 08-04-2008, 11:29
Wel toevallig, al die onveilige passen van de laatste tijd. Vermoedelijk worden we op deze wijze klaargestoomd voor de onderhuids geďmplanteerde biometrische RFID-chip. Al je gegevens in je hand, of in je voorhoofd, geen gedonder meer met al die onveilige pasjes en hackers. Alleen maar voordelen!...toch?
KazOo, Zuidwolde op 08-04-2008, 11:10
Ik sluit me voor 100% bij Mark Watson aan. Dit is totaal niets nieuws, het was al enige tijd bekend (inclusief het risico om bommen te maken die alleen afgaan indien iemand van een bepaalde nationaliteit in de buurt is). De landeninformatie wordt volgens mij gebruikt om sleutels te genereren om de uiteindelijke persoonsinformatie uit te lezen.Dus oud nieuws, maar gezien de hype over "het kraken van chips" wel leuk voor Trouw om weer eens in de spotlight te staan.
Rutger, Eindhoven op 08-04-2008, 10:51
Daarom heb ik nooit een paspoort bij me, en ik raad iedereen aan dat ook te doen.
Jeroen, Nederland op 08-04-2008, 09:03
Omdat de privacybescherming sinds de WTC aanslagen op de tocht staat kan dit allemaal gebeuren. Het wordt tijd dat ze in den Haag en de media eens wakker worden en ophouden met gezeur over PVV en Ton. Meningen zijn niet interessant. Kom met argumenten.Een van de andere redenen dat de ICT sektor zo lek als een mandje is, is waarschijnlijk gebrek aan kennis en voor een dubbeltje eerste rang willen zitten.( invoeren zonder afdoende te testen) Nederland kennisland? Bel eens de eerste beste infolijn en zie hoe u "geholpen" wordt, door automaten. Zielig en frustrerend dŕt is het
g.agresti, tiel op 08-04-2008, 09:03
Het ongemerkt uitlezen van de rfid-chip op een paspoort is eenvoudig te voorkomen door gebruik te maken van een speciale envelop gemaakt van een hoog geleidende materiaal dat voldoende elektromagnetische straling tegen houdt. Hiermee kunnen alle huidige rfid-kaarten worden beschermd tegen het ongewenst uitlezen, kopiëren of zelfs veranderen van gegevens. Ook voor het nieuwe Nederlandse rfid-paspoort is een dergelijke envelop beschikbaar. www.chipsafe.eu
Herbert ten Have, Dordrecht op 08-04-2008, 08:57
Zucht! Al jaren loopt de overheid achter de feiten aan, want ze hebben nog steeds geen kaas gegeten van informatica. En wat heeft ons dat weer allemaal gekost?
Jan Paspoort, Nederland op 08-04-2008, 08:57
Dus passen op je paspoort biedt ook geen garantie meer.Valt de staat nu onzurgvuldigheid of uitlokking tot diefstal te verwijten en gaat de staat daarom alle schade vergoeden die de houder van een gestolen paspoort geleden heeft?
Co van Toorenburg, Den Haag op 08-04-2008, 08:57
Oud nieuws. Trouw moet eerst eens onderzoek doen voordat ze een dergelijk bericht publiceren.De techniek is gericht op snellere grenspassage en het uitlezen van passen op korte afstand.Dit was bij de introductie al bekend en heeft toen ook dezelfde berichten in de pers veroorzaakt, al voor introductie maar ook een paar maal daarna.Er is destijds ook gereageerd door de overheid ten aanzien van de kwetsbaarheid. Een beetje zoeken op Internet en je leert een hoop.
Mark Watson, Amsterdam op 08-04-2008, 08:57
Dit verbaast me niks,was alom bekend dat het geen waterproof beveiliging is.Onze privacy wordt ons afgenomen onder dreiging en bangmakerij,maar er is niemand die de gewone mens beschermt of garanties kan geven,tevens is er ook niemand die zich er druk over maakt of tegen protesteert.
ingeslapen, Amsterdam op 08-04-2008, 08:57
Plaats een reactie
Stuur artikel door