Еще несколько секунд понадобилось ван Беку, чтобы скопировать содержимое встроенного в паспорт RFID-чипа в другой чип. Примечательно, что идентичность клона подтверждает программа Golden Reader Tool, одобренная и рекомендованная ICAO в качестве стандарта для проверки подлинности электронных паспортов. Впрочем, удивить здесь может разве что легкость и быстрота операции, поскольку собственно клонирование RFID паспортов германский хакер Лукас Грюнвальд (Lukas Grunwald) продемонстрировал еще два года назад (см. "КТ" #649). Самое интересное, однако, началось дальше.
На своем компьютере ван Бек изменил содержимое чипа-клона, подменив фотографию подлинного владельца фотографией другого человека - для смеха взяв снимок бен Ладена. Точно так же, прокомментировал свои действия ван Бек, можно изменять и любые другие биометрические параметры, которые со временем планируется заносить в чип, будь то отпечатки пальцев или снимок радужной оболочки глаза. Поскольку содержимое памяти чипа хешируется и шифруется криптографией с открытым ключом (дабы цифровой подписью защитить данные от подделки), поначалу Golden Reader отказалась принимать модифицированный чип-клон как подлинный.
Но на этот случай у ван Бека есть утилита, созданная известным новозеландским хакером Питером Гутманом (Peter Gutmann) из Оклендского университета. Гутман нашел способ прописывать в чип другую цифровую подпись, которая при проверке будет приниматься за подлинную. Фактически манипулятор может выступать в роли "государства", выпустившего собственный сертификатключ для легитимной подписи паспортов. И на сей раз программа-ридер ICAO принимает чип-клон с новой фотографией и цифровой сигнатурой без возражений
Дабы понять, как такое возможно, рассмотрим механизм борьбы с подделкой криптоключей.
Для этих целей ICAO учредила специальную базу данных - Public Key Directory (PKD). Управляет ею сингапурская компания Netrust, победившая в конкурсе среди восьми претендентов. В идеале, если бы PKD работала как задумывалось, можно было бы моментально подтвердить подлинность настоящего ключа или выявить подделку. Но для этого нужно, чтобы все страны-члены ICAO (а их около двух сотен) подтвердили данные о своих ключахсертификатах.
Но процесс движется медленно Сейчас, спустя полтора года после запуска PKD, к ней подключились и регулярно используют лишь пять стран: Австралия, Новая Зеландия, Сингапур, США и Япония. Поскольку принуждение в данном случае невозможно, ICAO пытается применять и другой способ борьбы с клонированием паспортов - активную аутентификацию. Увы, и она не является обязательной. Это ван Бек тоже продемонстрировал, переписав в чипе-клоне индексный файл так, чтобы ридер пропускал процедуру активной аутентификации. В принципе, можно было бы защитить хешированием и индексный файл, однако в существующих паспортах этого не сделано. А чтобы сделать это сейчас, потребовалось бы отозвать и заменить миллионы уже выпущенных документов.
Комментируя столь унылую ситуацию, сложившуюся вокруг "надежно защищенных" электронных удостоверений личности, вышеупомянутый Эдам Лори резюмировал: "Если вы оцениваете безопасность системы в 99%, то она все равно уязвима на 100%, потому что и оставшийся процент можно использовать по полной программе".
МИКРОФИШКИ: Микрофишки
вещи" - гласило описание софтины. Проще говоря, за кровную штуку предлагалось тупо "понтануться". "Пожалуйста, скажите мне, что это шутка", - так звучал один из отзывов. Автор приложения с такой трактовкой согласен: "Это произведение искусства, без каких-либо функций". Нашлось, однако, восемь человек, пожелавших прикупить "luxury"-программу. Правда, некоторые из них потребовали деньги назад, мотивируя тем, что совершили покупку по ошибке. Администрации App Store ничего не оставалось, как убрать из магазина вызывающе бесполезную софтину, уже ставшую к тому времени причиной горячих сетевых дискуссий. КШ
Среда другая, а методы те же: оскорбления и запугивание тех, кто послабее. Чиновники штата Калифорнии одними из первых озаботились созданием механизма, позволяющего привлекать к ответственности кибершпану. В настоящее время законопроект находится на стадии одобрения поправок, внесенных Сенатом, после чего он будет направлен губернатору штата Арнольду Шварценеггеру. И можно не сомневаться, что "железный Арни" инициативу поддержит. ЖС
ГОЛУБЯТНЯ: Кабы я был султан
Автор: Сергей ГолубицкийЗа событиями в Южной Осетии я слежу из страны, чье правительство тепло и закадычно дружит с Саакашвили, сопереживает его делу, помогает морально и списанным вооружением. Рядовые же граждане Украины, с которыми удалось пообщаться, дружно недоумевают: "Чего это Грузия сначала стерла в порошок райцентр заодно с его не успевшими убежать обитателями, а затем истерично заголосила на весь мир, что на нее, пушистую и хорошую, напал большой и злой разбойник из Мордора?!"
В семидесяти километрах от моей летней резиденции находится другая страна - малая моя родина, - в которой правительство, наоборот, занимается дипломатичным полосканим воды во рту, а граждане пикетируют российское посольство в Кишиневе под лозунгами: "Россия, прекрати агрессию против Грузии".