Na konferenciji o bezbednosti, održanoj prošle nedelje u Las Vegasu pred okupljenim međunarodnim stručnjacima za sigurnost elektronskih podataka, jedan nemački konsultant pokazao je da može da klonira elektronske pasoše koje će SAD i neke evropske zemlje početi da izdaju svojim građanima već krajem ove godine. Ti pasoši, naime, sadrže radiofrekvencijsku identifikaciju, ili RFID čipove, koji treba da garantuju tajnost podataka. Međutim, ovaj stručnjak po imenu Lukas Grinvald tvrdi da podaci u tim čipovima veoma lako mogu da se kopiraju, te je izrada RFID pasoša čisto bacanje novca. Sjedinjene Američke Države među prvima su insistirale na uvođenju elektronskih pasoša, smatrajući da je lakše otkriti falsifikat kad postoje čipovi u pasošima. Iako je u početku bilo govora o enkripciji podataka na čipu, njihovo dešifrovanje isuviše bi bilo složeno i skupo, pa će se u prvo vreme lični podaci samo upisivati u čip onakvi kakvi jesu.
Grinvald tvrdi da podaci koji mogu da se pročitaju, mogu i da se kloniraju i smeste na novi čip. On sam je uspeo to da uradi za samo dve nedelje, obavivši svojevrsni test sigurnosti novog nemačkog pasoša Evropske unije. On je svoj pasoš stavio iznad profesionalnog RFID čitača pasoša koji koriste pogranične inspekcije, i ubacio program koji se koristi prilikom kontrole pasoša na granici, pod nazivom Golden Reader Tool. Posle nekoliko sekundi, podaci iz pasoškog čipa pojavili su se na ekranu u šablonu Golden Reader-a. Zatim je uzeo praznu stranicu pasoša sa još neispunjenim RFID čipom, postavio je ispod RFID čitača i uz pomoć programa koji su on i njegov kolega napravili pre dve godine, nazvanog RFDUMP (RFID-smetlište), prebacio podatke sa čipa svog pasoša na novi.
Elektronski čitač pasoša ne može da razlikuje falsifikat od pravog čipa, kaže Grinvald. Međutim, osim kloniranja, dodaje on, nije zasad moguće izmeniti već postojeće podatke na čipu, zbog toga što ti pasoši sadrže kriptografske delove koji potvrđuju autentičnost podataka. Grinvald je, međutim, istim postupkom kopirao podatke sa pasoškog čipa na običnu pametnu karticu - kakve korporacije koriste za ulazak u firmu - i formatirao njen čip prema ICAO standardu pasoških čipova. Uspeo je da zavara čitač pasoša poturivši tu karticu između čitača i pasoškog čipa. Pošto čitač može odjednom da čita samo jedan čip, i to najbliži, učitao je podatke sa kartice, umesto sa pasoškog čipa. To znači da terorista čije je ime na listi sumnjivih može da nosi pasoš sa svojim imenom i fotografijom, ali sa RFID čipom koji sadrži drukčije podatke klonirane sa tuđeg pasoša. Svaki pogranični kompjuter koji se oslanja na elektronsku informaciju - umesto na ono što je štampano na pasošu, mogao bi da završi zadatak tako što bi proveravao pogrešno ime.
To bi se lako ispravilo pomoću fizičke provere samog pasoša da bi se videlo da li slika i ime odgovaraju podacima u čipu, kao i proverom mašinski čitljivog štampanog teksta na dnu pasoša. Zvaničnici Stejt Departmenta, koji kažu, međutim, da im je odavno poznato da se čipovi mogu klonirati, ali da bi drugi bezbednosni elementi u pasošu, kao digitalna fotografija nosioca pasoša ubačena u čip mogli da zaštite pasoš od zloupotreba. Ujedno, nigde se neće primenjivati samo automatska, kompjuterska provera čipova, već i živi kontrolori koji će sve podatke lično proveravati i upoređivati. U Australiji, međutim, već se razmišlja o uvođenju automatske kontrole pasoša za određene kategorije putnika. Grinvald upozorava i na to da bi neko mogao da ubaci u čip neispravne podatke koji bi mogli da dovedu do kraha za to nepripremljenog sistema čitanja. Planirano je da američki elektronski pasoši sadrže mrežu metalnih vlakana utkanu u prednju koricu dokumenta da bi ih štitila od neautorizovanih čitača. Međutim, iako bi ta vrsta kontrole pristupa bazi štitila čip da ne prenosi korisne informacije napadačima, pravi čitači bi ipak mogli da dođu do podataka iz njega. Ta zaštita je dodata nakon što su branioci privatnosti izrazili zabrinutost zbog mogućnosti da neki terorista samo uperi RFID čitač u gomilu ljudi i identifikuje traženog putnika. To je moguće ukoliko je pasoš makar i pola centimetra otvoren, recimo u novčaniku, ili torbi, a podaci su dostupni svakom ko je udaljen nešto manje od metra, ukoliko ima odgovarajući čitač.
Pored pasoša Grinvald je klonirao i studentske RFID kartice koje se koriste za univerzitetske menze i sl., zatim je sa saradnicima uspeo da sruši RFID alarmne sisteme koji se oglašavaju ukoliko neko razbije prozor ili vrata da bi ušao, zatim RFID priključke u pametnim ključnim karticama za hotelske sobe, kancelarije i sl. Grinvald i njegovi saradnici napravili su rečničku bazu podataka o svim karticama ovog tipa koje su pronašli u literaturi, koju su ugradili u svoj program. Bili su iznenađeni kad su uspeli da pročitaju 75 odsto svih kartica koje su im dospele u ruke.
Čitač čipa aktivira eksploziv
Dvojica američkih istraživača na pomenutom skupu u Las Vegasu demonstrirala su na video-materijalu koj isu doneli, kako RFID čitač, prikačen na improvizovanu eksplozivnu napravu može teorijski da identifikuje građanina koji prolazi pored te eksplozivne sprave i da u željenom trenutku aktivira eksploziv. Oni još uvek nisu isprobali svoju teroiju na pravom američkom e-pasošu jer taj dokument još nije u upotrebi, ali su koristili njegov prototip koji su sami naprvaili pomoću RFID čipa smeštenog u džepu žrtve. Kad čip prođe pored čitača, čitač aktivira eksploziv smešten u kanti za đubre.
V.R.
Sigurnost elektronskih pasoša, koji su predstavljeni u Sjedinjenim Državama i brojnim zemljama Evropske unije, dovedena je pod sumnju. I to na javnom skupu, na godišnjoj konferenciji u Las Vegasu kada je nemački ekspertski konsultant za kompjutersku bezbednost Lukas Grunvald demonstrirao kako lični podaci pohranjeni u dokumentima kompjutera mogu da budu kopirani i prebačeni na neko drugo, bilo koje mesto. Lukas Grunvald je pokazao tehniku kloniranja koristeći kompjuterski čip koji sadrži elektronske informacije koje je kopirao sa svog nemačkog pasoša.
Tako su uveravanja zvaničnika vlada da elektronska informacija ne bi mogla da bude duplirana postala kontradiktorna.
Ekspert Grunvald, koji je pokrenuo pitanje bezbednosti elektronskih pasoša, rekao je da su, sa njegove tačke gledišta, svi biometrijski pasoši samo ogromno traćenje novca jer uopšte ne povećavaju bezbednost kretanja vlasnika pasoša, a ni bezbednost zemlje u koju se uputio. Tačnije, dizajn celog pasoša je slobodna demonstracija softvera koji na neki način može da bude onesposobljen i da ne odgovara prvobitnoj nameni.
Ovo upozorenje da je glavna ranjivost elektronskog pasoša to što dopušta kriminalcima da kloniraju uneseni tajni kod i kompjuterski „enter” za ilegalni ulazak u zemlju, stiglo je sa pomenute međunarodne konferencije posvećene otkrivenim slabostima kompjutera, opremi mobilnih telefona i ostalih električnih aparata, a učesnici su najbolji svetski stručnjaci za bezbednost.
Kontroverzni e – pasoš sadrži čip za radiofrekventnu identifikaciju, i upravo taj čip, kako su uvereni američki i evropski stručnjaci, služi da osujeti falsifikovanje dokumenta. Poslednja istraživanja koja pokazuju rast interesovanja za korišćenjem radiofrekventne identifikacije (RFID), govore i o tome da zgrade, robne kuće i drugi objekti koji nas okružuju u svakodnevnom životu mogu svojim emitovanjem svetlosti ili drugih talasa da otežaju upotrebu kompjutera koji su opremljeni specijalnim antenama.
Ali, najnovija tehnologija u oblasti automatske identifikacije je upravo tehnologija označavanja i očitavanja bazirana na radiofrekventnoj identifikaciji. Utoliko je izazov za korišćenje veći, jer Sjedinjene Države planiraju da u oktobru počnu da izdaju elektronski pasoš američkim građanima. Elektronski pasoški čip sadrži digitalnu pasošku fotografiju, ime, datum rođenja, nacionalnost i druge važne podatke imaoca pasoša.
Zemlje članice EU opredelile su se za novi elektronski pasoš sa biometričkim karakteristikama 2004. godine, a Nemačka je bila prva u EU koja je godinu dana kasnije uvela za svoje građane takav tip elektronskog pasoša.
Evropska komisija je, uostalom, pre nešto više od mesec dana otkrila tehničke detalje novog tipa biometričke oznake pasoša koji će koristiti svi građani Evropske unije. Pasoš sadrži obavezne otiske prstiju, jer Brisel smatra da su otisci najosetljivija baza podataka.
Građani EU dobiće nove elektronske pasoše sa biometričkim obeležjem dva prsta do 2009.
Koliko će poruka nemačkog naučnika sa skupa najboljih svetskih stručnjaka za bezbednost uticati na širenje korišćenja elektronskih pasoša, zavisiće nesumnjivo od daljeg razvoja tehnologije u toj oblasti, a pre svega onih oblasti usmerenih na bezbednost. To ne znači da se i hakeri neće oprobati u „otkrivanju” podataka sa ličnih elektronskih pasoša, viza i drugih ličnih dokumenata. Stručnjaku za bezbednost Lukasu Grunvaldu bile su potrebne dve nedelje da prouči kako da klonira pasoški čip koristeći standard za elektronske pasoše postavljen na veb-sajtu Organizacije civilne avijacije, tela UN koje je upravo taj standard razvilo.
Branka Mikić
[Ovu poruku je menjao Aleksandar Marković dana 11.08.2006. u 16:43 GMT+1]