1. На проекте открылась регистрация только для продавцов. Для обычных пользователей будет открыта позже. Подробнее.
    P.S. Не надо скидывать ссылки на форумы, где у вас ноль сообщений. Подобные заявки будут отклонятся.

][-news Е-паспорта позволяют следить за человеком

Тема в разделе "TH3MED N3WS", создана пользователем SrDEN, 28 янв 2010.

  1. SrDEN IPv6

    SrDEN
    TS
    Команда форума WebVoice
    Регистрация:
    14 мар 2007
    Сообщения:
    621
    Симпатии:
    23
    ICQ:
    162224
    Исследователи из Университета Бирмингема обнаружили очередную уязвимость в электроннЫх паспортах. Недостатки существующей технологии позволяют сконструировать устройство, которое будет сигнализировать о появлении в его близи владельца того или иного е-паспорта.

    Предлагаемая схема эксплуатации данной уязвимости кажется несколько надуманной, однако в некоторЫх случаях может оказаться действенной.

    Для начала злоумЫшленникам придётся подслушать "разговор" между электроннЫм паспортом жертвЫ и авторизованнЫм RFID-сканером (например, при пересечении объектом границЫ). Обмен даннЫми шифруется, однако здесь речь идёт не о расшифровке, а всего лишь о перехвате сообщения, в котором сканер передаёт паспорту ключ конкретной сессии.

    Данное сообщение тоже кодируется, но смЫсл в том, что оно, как и всякое последующее сообщение между сканером и паспортом, подписано уникальнЫм для паспорта аутентификационнЫм MAC-кодом (которЫй паспорт предварительно сообщает сканеру).

    "Наше изучение настоящих паспортов показало, что существует отличие между сообщением, которое бЫло отклонено из-за некорректного ключа сессии, и сообщением, которое бЫло отклонено из-за ошибки при проверке аутентификационного кода", — поясняют (PDF) исследователи Том Чотиа (Tom Chothia) и Виталий Смирнов.

    Для большинства электроннЫх паспортов это отличие заключается во времени, после которого паспорт возвращает ошибку (потому что в одном из случаев ему приходится тратить время на расшифровку сообщения). Длительность этого интервала зависит преимущественно от того, какая страна вЫдала паспорт. Для французских паспортов не нужно и этого: в описаннЫх случаях они просто возвращают два разнЫх кода ошибок.

    Имея это в виду, следует создать собственнЫй псевдо-сканер, которЫй будет периодически транслировать в эфир перехваченное сообщение. Если этот сканер разместить, например, в подъезде, где проживает владелец паспорта, то с его помощью можно будет в режиме реального времени определять, когда он покидает дом или возвращается обратно. При том условии, конечно, что паспорт он будет носить с собой.

    Исследователи проверили свою теорию на практике, взяв у добровольцев (сотрудников лаборатории и членов их семей) их электроннЫе паспорта. Всего бЫло 3 британских паспорта, 2 немецких и по одному российскому, французскому, ирландскому и греческому. Для реализации описанной схемЫ им понадобилось доступное в продаже, весьма дешёвое оборудование.

    УчёнЫе приводят рекомендации по защите от данного способа атаки, однако они заключаются лишь в совершенствовании существующих протоколов, использующихся электроннЫми паспортами. С уже вЫпущеннЫми е-паспортами ничего поделать нельзя.

    Слито с планетЫ :)