28 ianuarie este ziua protecției datelor cu caracter personal. În 2013, ApTI își propune sã vã prezinte, în sãptãmâna ce începe cu aceastã datã, cinci subiecte (câte unul în fiecare zi) de interes pentru protecția vieții private și a datelor personale în societatea informaționalã de astãzi. Începem cu un articol despre securitatea pașaportului electronic și a datelor pe care le cuprinde.
În cadrul ApTI am facut deseori comentarii critice (spre exemplu aici) la adresa documentelor electronice cu sau fãrã identificatori biometrici pe care guvernul României a decis sã le implementeze, deseori dupã un simulacru de dezbatere publicã. Am atras atenția asupra faptului cã, dacã tot se decide implementarea unor astfel de mãsuri, sunt douã condiții esențiale de a fi implementate pentru a asigura încrederea în folosirea acestor documente electronice:
realizarea unui audit anual de securitate, de cãtre experți independenți, ale cãrui concluzii sã fie disponibile public;
realizarea unui audit anual de impact asupra vieții private (privacy impact assesment), care trebuie sã fie disponibil public în mod integral.
Pentru cã am fost ignorați în mod constant în aceste cereri, am rugat un expert independent în securitate IT sã ne ajute în realizarea unei analize empirice a securitãții pașaportului electronic românesc. Ce a ieșit – vedeți mai jos:
Pe scurt – ce am descoperit:
Informațiile cu privire la siguranța pașaportului electronic fie sunt vagi și exagerate, fie nu existã pe site-urile publice ale emitenților. Lipsa informațiilor oficiale clare și corecte nu duce la creșterea încrederii în aceste documente, orice informație (chiar nedocumentatã) din terțe surse putând deveni astfel credibilã.
Datele primare (mai puțin amprentele) care sunt înscrise pe cip pot fi citite în mod electronic, de la distanțã, folosind produse legale disponibile public. Nivelul de îndemânare tehnicã pentru a citi aceste date poate fi considerat unul mediu pentru o persoana familiarizatã cu tehnologia informației.
Cheia de acces ce ar trebui sã protejeze aceste date primare este relativ ușor de ghicit. Nivelul de îndemânare tehnicã pentru a ghici cheia de acces la datele primare: mediu spre ridicat.
Datele primare pot fi citite de la distanțã, chiar și printr-un rucsac.
Cipul poate fi clonat (mai puțin amprentele biometrice).
Dacã s-ar folosi un pașaport falsificat cu un cip clonat pe o „poarta inteligentã” (detalii mai jos), existã posibilitatea de a intra în mod fraudulos într-o altã țarã. (Din câte cunoaștem noi, în România NU sunt folosite astfel de porți inteligente.)
Aceasta nu înseamnã cã pașaportul biometric este inutil și nici cã o persoanã rãu-voitoare poate sã scaneze sute de pașapoarte doar mergând cu un cititor de cipuri pe aeroport. Dar înseamnã cã nivelul de securitate estimat de autoritãți nu este nici pe departe atins. Și cã cineva care are cunoștiințe tehnice medii spre avansat și dorește sã vã ia datele din pașaport, o poate face dacã nu va protejați suficient de bine.Recomandãri pentru a vã proteja:
Nu vã puneți pașaportul în buzunarul de la spate, în rucsac sau alte zone accesibile celorlalți.
Nu dați informații despre pașaportul propriu (numãrul, data expirãrii) unor persoane necunoscute sau care nu au dreptul legal sã vã cearã aceste informații.
Nu trimiteți copii dupã pașaport dvs. sau al altei persoane cãtre persoane care nu au dreptul legal sã le cearã. Încercați sã vã asigurați cã cei care vã cer datele respectã legislația în domeniul protecției datelor cu caracter personal și au metode de protecție a acestora.
Folosirea unor huse speciale ce protejeazã pașaportul poate ajuta în unele cazuri (dar nu mereu).
Tratați pașaportul ca pe un smartphone pe care se aflã date confidențiale.
Dorim sã subliniem cã nu intenționãm decât sã demonstrãm cã, în lipsa transparenței publice cu privire la programele guvernamentale din zona IT – și mai ales a celor care privesc elemente cheie de procesare de date personale, în lipsa unor standarde publice de securitate și protecție a datelor personale și fãrã o verificare regulatã a îndeplinirii acestor standarde, avem toate premisele ca aceste programe de carduri electronice sã devinã necredibile, din cauza unor erori majore de implementare și lacune de securitate evidente.
——————————————-
Descrierea unei analize primare de securitate a pașaportului electronic românesc
Bogdan Alecu, www.m-sec.net
Acum câteva luni am aplicat pentru un pașaport biometric (sau mai corect ePassport). Am ales acest tip de pașaport în defavoarea celui temporar din diverse motive, însã cele mai importante au fost valabilitatea și faptul cã, la un moment dat, voi avea timp destul pentru a-l analiza.
Despre procesul de prelucrare a datelor pentru pașaport nu sunt multe de spus: mi s-a fãcut fotografie, amprente de la degetul arãtãtor al fiecãrei mâini, m-a întrebat culoarea ochilor și înãlțimea și asta a fost cam tot. Mi-am dat seama cã cel puțin amprentele preluate vor fi stocate pe cip, dar pânã acum nu am avut timpul necesar pentru a face investigații privind detaliile acestui cip.
Așadar, conținutul cip-ului se bazeazã pe un standard dezvoltat de ICAO (International Civil Aviation Organization) iar pașaportul poartã denumirea de Machine Readable Travel Document. Citirea cip-ului se face wireless (fãrã fir), utilizând RFID/NFC . Sunt mai multe elemente de siguranțã ce pot proteja datele stocate pe chip, însã cele mai importante sunt urmãtoarele:
Basic Access Control (BAC): protejeazã canalul de comunicație dintre cip și cititor prin criptarea informațiilor transmise.
Extended Access Control (EAC): anumite fișiere de pe cip sunt protejate printr-o semnãturã cu o cheie publicã, iar pentru citirea lor este nevoie de cheia privatã emisã de țara cãreia aparține pașaportul. Începând cu data de 28 iunie 2009, toate țãrile membre UE au obligația de folosi EAC și BAC .
Din pãcate, nu am putut gãsi vreo informație pe site-ul MAE despre ce se stocheazã pe cip sau alte elemente de siguranțã, însã am gãsit oarece informații pe site-ul Serviciului Public Comunitar Pentru Eliberarea și Evidența Pașapoartelor Simple Neamț.
Voi comenta in cele ce urmeaza câteva dintre informațiile gãsite:
Principalele caracteristici ale paºaportului electronic care-l deosebesc de paºaportul obiºnuit sunt:
Depozitarea în condiþii de maximã siguranþã ale informaþiei biografice ºi a pozei digitale a purtãtorului care sunt identice cu cele vizibile din paºaport.
Microcipul permite, prin frecvenþa radio, scanarea informaþiei depozitate numai de aparate guvernamentale autorizate ºi de la distanþã micã.
Folosirea tehnologiei semnãturii digitale de verificarea informaþiilor de pe cip. Aceastã tehnologie este similarã tehnologiei folosite la card-urile de credit ºi alte documente care folosesc cipul.
Oare care sunt acele condiții de maximã siguranțã și la ce se referã: citire, scriere, transmiterea cãtre MAE?
Citirea se poate face numai de cãtre aparate guvernamentale autorizate (sã înțeleg cã sunt și unele guvernamentale neautorizate) – total fals. Pentru a putea citi informațiile scrise pe cip este nevoie de un cititor NFC și un soft care sã interpreteze datele primite, ele nefiind criptate. Un lucru important care trebuie precizat e acela cã toate informațiile despre structura de fișiere a cip-ului sunt publice, astfel încât oricine poate implementa softul care sã interpreteze datele primite. În plus, sunt deja disponibile publicului astfel de programe.
Distanța micã (1cm, 40 cm? ce înseamnã mic?) despre care se vorbește depinde de fapt de puterea cu care emite cititorul NFC. Cât despre comparația cu cardurile de credit ce au integrat chip NFC, am vãzutaici sau aici cât de sigure sunt.
Tracking. Cipul din paºaport este protejat de mecanismul BAC ºi refuzã sã permitã acces la informaþiile din paºaport a aparatelor de citire neautorizate.
Realitatea e de fapt cã Basic Access Control se face printr-o cheie ce se derivã din data nașterii deținãtorului documentului, numãrul pașaportului și data de expirare a acestuia. Acest lucru l-am putut afla urmãrind diversele prezentãri în cadrul conferințelor de securitate internaționale. Dar chiar și fãrã a face o cercetare amãnunțitã, softul ce permite citirea oricãrui cip NFC oferã și posibilitatea de a adãuga cheile pentru citirea acestor date, iar câmpurile necesare pentru ePassport sunt cele menționate anterior. Cât despre aparat neautorizat, ne-am lãmurit deja. Ca idee, un „aparat autorizat” aratã astfel:
Cloning. Este posibil ca un cip sã fie scos din paºaport ºi înlocuit cu un alt cip de acelaºi fel sau din alt paºaport.
Singurul adevãr pe care l-au putut scrie. Mai mult, cipul poate fi dezactivat (prin perforare sau la microunde). Desigur cã pașaportul rãmâne încã valabil în acest caz, însã nu se mai poate utiliza la aceste “porți inteligente” – cu alte cuvinte va fi necesarã verificarea manualã la granițã.
Sunt motive de îngrijorare ?
Cipul de pe paºaport nu se poate citi de la distanþã.
Cipul de pe paºaport nu poate fi citit decât de aparate autorizate.
Cipul de pe paºaport mãreºte gradul de securitate a purtãtorului.
În cele ce urmeazã voi da câteva exemple ce contrazic cele de mai sus.
Așa cum spuneam, pentru a citi o parte din datele de pe cip e nevoie de un cititor NFC, softul pentru interpretarea datelor și informațiile din BAC. Pentru cã nu avea rost sã mã complic cu un cititor performant, am ales sã folosesc propriul telefon cu NFC și softul celor de la Research Lab Hagenberg, NFC TagInfo.
Dupã configurarea cheilor de acces din aplicație, tot ceea ce a mai rãmas de fãcut a fost sã pun telefonul peste pașaport. Dupã câteva secunde, cipul a fost citit și recunoscut a fi ePassport.
Pentru a vedea aceste detalii, se face click pe butonul MRTD, dupã care putem afla ce se ascunde în spate:
Tipul documentului
Numãrul documentului
Numele
Prenumele
Data nașterii
Naționalitatea
Sexul
Poza (cea fãcutã în momentul aplicãrii pentru pașaport)
Țara emitentã
Data expirãrii
Dupã aceste informații urmeazã celelalte fișiere:
EF.DG1: Machine-readable Zone Data, adicã acele înșiruiri de cifre și litere imprimate pe partea de jos a pașaportului.
EF.DG3: Finger Prints, ce ar trebui sa contina amprentele preluate, protejate cu EAC, nu se pot citi decât dacã deținem cheia privatã, conform ICAO Doc 9303
EF.DG14: Secondary Biometrics, unde se aflã stocatã cheia publicã, conform ICAO Doc 9303
Trebuie menționat cã aceste ultime douã fișiere nu pot fi decodate, întrucât sunt protejate prin Extended Access Control și ar fi nevoie de cheia privatã. Aceastã cheie privatã este emisã de cãtre fiecare autoritate guvernamentalã.
Mai jos aveți un demo cu citirea acestor informații de pe cipul pașaportului electronic.
Precum vedeți, citirea a fost fãcutã cu un aparat neguvernamental și neautorizat. Interesant ar fi de știut ce reprezintã aparat neautorizat. Mai mult, a fost fãcutã chiar de la distanțã (aprox 3 cm), dar dacã aș fi avut un cititor mai performant evident distanța ar fi crescut. Gândiți-vã numai la magazinele ce au acele porți de securitate la ieșire și care emit un semnal sonor/luminos când se iese cu vreun produs ce are încã atașat cipul de siguranțã. Nu știu cum se mãrește gradul de securitate al purtãtorului, cã totul duce în defavoarea acestui fapt.
Poate cã mãsura de securitate cea mai bunã e cã aceste date stocate nu pot fi modificate. Dar pânã la urmã nu este ceva tocmai extraordinar. Iatã de ce: din moment ce putem citi cipul, putem foarte simplu lua aceste date și modifica local, dupã care le scriem pe alt cip.
Cu alte cuvinte, se poate clona acest cip. Singurul impediment îl reprezintã datele protejate cu EAC (EF.DG3, EF.DG14) dar acestea se pot ignora pur și simplu și nu le mai scriem pe noul cip. Gândiți-vã cã doar în cadrul Uniunii Europene este obligatorie prezența acestor informații, în celelalte țãri emitente nu existã o astfel de cerințã.
Ce reprezintã concret aceastã clonare? Din ce în ce mai multe țãri introduc la granițã așa numitele “porți inteligente” ce permit accesul automat în țara respectivã. Pentru a exista o compatibilitate cu celelalte tipuri de pașapoarte, majoritatea acestor porți citesc de pe cip doar acele elemente protejate prin BAC, dupã care comparã imaginea stocatã pe cip cu cea vãzutã prin intermediul camerei. Dacã cele douã se potrivesc, poarta se deschide și poți intra. Mai mult, unele se bazeazã pe rãspunsul utilizatorului: ai douã butoane prin care confirmi sau infirmi daca cele douã imagini se potrivesc. Acum gândiți-vã cã se face o clonare a unui chip și modificați numele și poza. Autoritãțile locale vor ști ca a intrat în țarã Elvis Presley:
Toate aceste informații ar trebui prezentate de cãtre autoritãțile guvernamentale, pentru ca publicul sã fie cât mai bine informat.
sursa: apti.ro]]>