Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

THC: Útlevél klónozás

2008.09.30. 08:51 | buherator | 1 komment

A szigorú német szabályozás miatt illegalitásba kényszerült The Hackers Choise egy elektronikus útlevelek klónozására és hamisítására alkalmas módszert mutatott be. Ahogy blogbejegyzésükben rávilágítanak, a problémát az okozza, hogy a leolvasó terminálok elfogadnak saját magunk által aláírt tanúsítványt is a kártyákon, ezért a nyilvános kulcsú infrastruktúra megbízhatatlanná válik: tetszőleges adat felvihető egy fillérekért beszerezhető okoskártyára, a megadott adatokat pedig az ellenőrző terminálok el fogják fogadni. Itt pl. személyesen Elvis próbálkozását láthatjuk az amszterdami reptéren:

 A megoldás egy központi tanúsítószerv megalakítása lehetne, de ez a támadások első számú célpontjává válna, és elestével az egész rendszer "megdőlne", ráadásul egy szervezetet kellene elfogadnia az összes országnak, ami útlevelek kérdésében nem túl szerencsés.

Több, nemzeti hitelesítő szervezet felállítása megnöveli a hibalehetőséget, a tanúsítványok visszavonása pedig szintén elég bajos ügy.* A THC ezért az emberi erőforrást ajánlja.

* A THC egy további problémát is felvet: több tanúsító szervezet esetén A ország készíthet egy útlevelet B országhoz tartozó adatokkal, majd aláírhatja azt a saját kulcsával, a terminál mégis úgy fogja érzékelni, hogy az útlevél B-hez tartozik. Ez a probléma szvsz. azonban könnyen kiküszöbölhető, de javítsatok ki ha tévedek!

Címkék: rfid thc epassport

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

untergehen 2008.10.02. 14:07:04

Az ilyen kormanyzati "biztonsagi" intezkedesek egyaltalan nem a biztonsagrol szolnak, hanem a megfigyelesrol, a hatalom mindenhatosagarol. Ezert nem figyelnek az ilyen hibakra es nem is kovetelik meg. Legyen monitorozva minden es ennyi.