7 augustus 2008

De nieuwe 'onvervalsbare' paspoorten met microchip kunnen binnen enkele minuten worden gekopieerd en aangepast. Als vervolgens controles niet goed worden uitgevoerd is het hek van de dam. Jeroen van Beek, beveiligingsexpert bij KPMG en de Universiteit van Amsterdam kon dit tijdens een onderzoek van de chip vaststellen. Een pijnlijke, zij het niet onverwachte ontdekking. Pijnlijk omdat het paspoort veiliger moet zijn om terrorisme en georganiseerde criminaliteit te bestrijden. Niet onverwacht, omdat er al voldoende berichten waren over de onveiligheid van de chip. Van Beek kloonde tijdens de test de chips op paspoorten en voorzag die vervolgens met een afbeelding van Osama bin Laden en Elvis Presley. Bij een test met controleapparatuur wordt de vervalste chip gecontroleerd, maar aangezien niet alle checks worden uitgevoerd valt de kloon niet op en kan de controle positief worden afgesloten. Volgens het internationale systeem voor de RFID-chips worden in principe cryptografische controles uitgevoerd. De publieke sleutels worden daarbij in principe opgeslagen in een centrale database. Slechts vijf van de 45 deelnemende landen blijken dat te doen; in de andere gevallen draagt de houder van het paspoort de publieke sleutel bij zich, waardoor de cryptorafie wel heel simpel kan worden omzeild.

Van Beek constateerde dat de index, die aangeeft wat er precies in de chip staat, niet beveiligd is. Hij verving vervolgens het certificaat op de chip door een eigen, vervalst certificaat en kon zo, omdat de controleapparatuur dat niet kon herkennen, een valide digitale handtekening aanleveren. 'De oude chip maak je onklaar door er met een hamer op te slaan', zo zegt Van Beek. 'Vervolgens wordt alleen nog de kloon uitgelezen'. Tijdens de test op de gemeentehuizen van Amsterdam en Amstelveen merkte de software niet dat het te maken had met een kloon. Dat doet het ergste vermoeden voor controles aan de grens, want waarschijnlijk zullen de scanners ook hier de vervalsingen niet van de echte exemplaren kunnen onderscheiden. Het onderzoek staat niet op zichzelf. Eerder toonde Lukas Grünwald al aan dat het klonen van paspoortchips mogelijk was. In Wired werd dat als volgt omschreven: 'Grunwald says he's succeeded in sabotaging two passport readers made by different vendors by cloning a passport chip, then modifying the JPEG2000 image file containing the passport photo. Reading the modified image crashed the readers, which suggests they could be vulnerable to a code-injection exploit that might, for example, reprogram a reader to approve expired or forged passports. 'If you're able to crash something you are most likely able to exploit it', says Grunwald, who's scheduled to discuss the vulnerabilities this weekend at the annual DefCon hacker conference in Las Vegas'. Van Beek maakt nu als eerste een concrete implementatie. Grünwald laat weten dat het probleem nu echt nijpend begint te worden en dat er aan een 'dood' paard getrokken wordt als er niet snel iets wordt veranderd. Identiteitsdiefstal wordt nu wel erg eenvoudig. 'Als het systeem goed geïmplementeerd zou zijn, was dit niet mogelijk', zegt Van Beek. 'Nu is de added value negatief, omdat je denkt dat het veilig is terwijl dat het niet is'. Van Beek stelt dat de overheid de burgers niet aleen aan een onveilig paspoort helpt, maar die burgers vervolgens ook voor de kosten laat opdraaien. 'De burger merkt juist door de RFID-technologie dat zijn paspoort steeds duurder wordt, terwijl de testapparatuur niet voldoet'. Van Beek heeft al eerder in besloten kring melding gedaan van de onveilige situatie en het klonen van een chip, maar heeft nu ook geconstateer dat de vervalsing niet wordt ontdekt. Staatssecretaris Bijleveld liet in april (net nadat Van Beek zijn ontdekking had gemeld) weten dat de chip van het paspoort niet gekraakt kon worden, ook al is af te lezen uit welk land de drager afkomstig is. Onderzoekers van de Radboud Universiteit in Nijmegen ontdekten namelijk dat de persoonlijke gegevens op de elektronische chip vanaf een afstand kunnen worden uitgelezen. Een terrorist zou met deze technologie een bom kunnen installeren die afgaat op het moment dat iemand van de 'gewenste' nationaliteit langsloopt. Dat gaf al een hoop ophef. Dat Van Beek nu aantoont dat de chip niet alleen gekraakt kan worden, maar dat de controle vervolgens ook niet werkt, zal helemaal zorgen voor een hoop gedonder in Den Haag. Misschien wordt het toch tijd om eens een keer wat goed te doen ?