Passaporti elettronici a rischio sniffing

La società di sicurezza Riscure è riuscita a decifrare facilmente i codici dei passaporti elettronici distribuiti in Olanda: basta un'antenna e un normale PC per impossessarsi di tutti i dati sensibili

Roma - I passaporti elettronici con tecnologia wireless integrata non sono sicuri. Questa è l'opinione non solo delle associazioni che difendono gli interessi e i diritti della privacy dei consumatori, ma anche della società di sicurezza Riscure.

L'azienda olandese, specializzata nel comparto smart card, ha dichiarato che una serie di test hanno dimostrato l'inefficienza del sistema di protezione degli e-passport RFID testati attualmente in Olanda. Per intercettare la comunicazione wireless fra i passaporti e i reader è sufficiente un'antenna e un dispositivo di rilevamento posizionato a circa dieci metri dalle postazioni di controllo. La decifrazione dei dati, poi, è possibile in non più di due ore con un comune PC dotato di un'applicazione specifica. Insomma, tutte le informazioni personali contenute negli e-passport sarebbero disponibili in poche ore a chiunque volesse appropriarsene.

Il "codice segreto" è anche piuttosto banale, composto com'è da data di scadenza del documento, data di nascita del possessore e numero identificativo del passaporto. Gli e-passport olandesi, che condividono con quelli degli altri paesi occidentali la maggior parte delle soluzioni tecnologiche adottate, avrebbero dimostrato di sfruttare uno schema di numerazione sequenziale altamente insicuro.
Harko Robroch, direttore di Riscure, è convinto che questo problema riguarderà la prima serie di e-passport che verranno distribuiti dal Governo olandese il prossimo agosto, e probabilmente anche gli analoghi documenti tedeschi e svizzeri.

"Tutto il gioco della decifratura, una volta scoperta la correlazione fra il codice identificativo e i dati del possessore, è quanto mai semplice. L'età, e quindi la data di nascita, può essere stimata ad occhio; il documento è valido per non più di cinque anni. La progressione sequenziale della numerazione dei passaporti può essere rilevata monitorando il numero di documenti rilasciati ogni giorno in Olanda. Tutto questo permette, con applicazioni specifiche, di raggiungere l'obiettivo", ha spiegato Robroch a securitydocumentworld.com.

L'analista olandese per calcolare il numero di consegne giornaliere dei passaporti ha furbescamente studiato dozzine di e-passport e comparato il numero progressivo con la data di scadenza. Il risultato finale gli ha permesso di valutare una distribuzione quotidiana prossima alle 5mila unità.

"In presenza di questi dati, l'efficacia algoritmica della protezione scende dai 50/60 bit a circa 35 bit, rendendo possibile così il cracking in poche ore. Il Governo ha accolto le mie indicazioni e credo che la soluzione al problema sia possibile. La scelta, ad esempio, di utilizzare uno schema di numerazione non prevedibile potrebbe migliorare la sicurezza complessiva", ha spiegato Robroch.

Dario d'Elia
TAG: sicurezza
11 Commenti alla Notizia Passaporti elettronici a rischio sniffing
Ordina
  • secondo voi perchè io mi sono comprato un kit RFID?
    300 ? ma ben spesi.
    Lo uso anche per clonare i badge aziendali e gli skypass
    non+autenticato

  • - Scritto da: Anonimo
    > secondo voi perchè io mi sono comprato un kit
    > RFID?
    > 300 ? ma ben spesi.
    > Lo uso anche per clonare i badge aziendali e gli
    > skypass

    rotfl sei un ciarlatano!
    gli skypass hanno provato tutti a copiarli, peccato che il girello resta fermo e il display avvisa del tentativo di doppio ingresso! Occhiolino
    non+autenticato
  • Cosa che fa perfettamente il paio con questa notizia perche' la strada tracciata dalle grandi corporation e dai governi conniventi e compiacenti vorrebbe condurre a questo.
    Si Si metteteveli dove dico io....

    E e poi chi era che diceva: "non abbiamo niente da nascondere"?... Ma che cce freggaaa ma che ce'mportaaaa se 'rgoverno inCXXXlo c' ha messo er chippeeee

    P.S.
    Scusatemi per la riflessione eccessivamente profonda ma credo che oramai ci sia ben poco da aggiungere all' argomento. Chi ha orecchi per intendere intenda....
  • Si chiama progresso.
    Sapresti rinunciare all'energia elettrica?
    Presto il controllo di ogni essere umano degno di essere controllato (si perchè a chi vuoi che freghi mai di controllare cosa fa un boscimane atteso che non sarà mai interessato a bere la coca cola..) sarà avvertito come indispensabile.
    Certo ci saranno degli effetti collaterali come lo smog che producono le centrali elettriche alimentate ad olio combustibile... ma vuoi mettere?
    Evitiamo almeno il dolore: pieghiamoci a 90°, facciamo un bel respiro, rilassiamo i muscoli... dimenticavo una bella lubrificatina e via......................

    Mal tempora currunt
    non+autenticato
  • Perchè tutti devono PER FORZA adottare subito questi sistemi?
    Card qui, elettro-coso la... ma perchè?
    Sono settori troppo delicati per affidarsi subito a tecnologie pionieristiche.
    La cultura della sicurezza è ancora troppo settoriale e quindi managers e aziende (che sono le uniche a muovere un po' il culetto sul lato della diffusione, in pratica) non sono preparate.
    Sono molto reattive nel captare l'esistenza di una novità e di cercare di applicarla rivendendola... ma in realtà la cultura generale non è alta, e nessuno pensa nel modo corretto, ovvero "come potrebbero fregarmi?"
    non "sicuramente è impossibile".

    :(
    non+autenticato
  • - Scritto da: Anonimo
    > Perchè tutti devono PER FORZA adottare subito
    > questi sistemi?

    Perché l'Imperatore degli Stati Uniti così ha comandato a tutte le province dell'Impero. Anzi qualche mese fa ci ha pure detto che si sta spazientendo perché ci stiamo mettendo troppo tempo ad eseguire i loro ordini.

    non+autenticato
  • Perché se vuoi andare in america e il tuo normale passaporto è stato fatto dopo una certa data in USA ci vai solo con il visto.
    non+autenticato
  • tanto che ci frega...siamo tutti di sinistra...perchè andiamo in usa? a comprare le nike?
    non+autenticato
  • a parte tutto...

    60 bit sono comunque pochi. Non possono affatto garantire sicurezza, al momento e' possibile anche per una piccola organizzazione pensare di realizzare hardware in grado di decrittare un codice cosi' debole.
    non+autenticato
  • OK, non e' la questione 60, 12 o 256 bit, e' la complessita' dei sistemi che li rendi facilmente proni a difetti e bachi magari non previsti (questo dei 60bit in parte si poteva prevedere e la cosa mi inquieta ancora di piu') , chi ti dice che anche con un chip con una chiave a 512 non salti fuori qualche bug che renda aggirabile la protezione? Un conto e' che suceda per 3 bischeri ma se succede per milioni di persone?
    Comunque stiamo a vedere, in fondo e' solo l' inizio, magari le generazioni successuve verranno anche testate meglio e piu' a lungo prima di essere diffuse.

    - Scritto da: Anonimo
    > a parte tutto...

    > 60 bit sono comunque pochi. Non possono affatto
    > garantire sicurezza, al momento e' possibile
    > anche per una piccola organizzazione pensare di
    > realizzare hardware in grado di decrittare un
    > codice cosi' debole.