Honderdduizenden Belgische paspoorten onbeveiligd
Het is voor hackers en kwaadwillenden een koud kunstje om de beveiliging van de nieuwe Belgische biometrische paspoorten te kraken. Dit hebben wetenschappers van de Crypto Group van de Franstalige universiteit UCL ontdekt.
Het kwetsbaarst is de eerste generatie paspoorten uitgereikt tussen eind 2004 en juli 2006. Uit het onderzoek blijkt dat deze paspoorten over geen enkele vorm van beveiliging beschikken om de persoonlijke informatie op de elektronische chip te beschermen.
Met een eenvoudige kaartlezer slaagden de onderzoekers erin om binnen enkele seconden de gegevens op de elektronische RFID-chip in de achterflap van het paspoort te achterhalen. Zo kregen ze toegang tot pasfoto, geschreven handtekening, naam, paspoortnummer, geslacht, geboortedatum, uitgifte- en vervaldatum.
Het was voor de onderzoekers niet eens nodig om een paspoort in hun bezit te hebben: door de gebruikte RFID-technologie kunnen de gegevens van op afstand gelezen worden, zonder medeweten van de paspoorthouder. Een afstand van tien centimeter volstaat om de RFID-chip te kunnen lezen.
“Het maakt niet uit of het paspoort in een portemonnee, broekzak of tas steekt, telkens slaagden we erin om de gegevens te lezen. Dit soort aanvallen is vrij realistisch in luchthavens en op de trein. Het volstaat om enkele seconden dicht genoeg bij het slachtoffer te staan om de volledige inhoud van het paspoort te bemachtigen”, zo zegt het aan de alarmbel trekkende onderzoeksteam.
De onderzoekers beklemtonen dat ze geen geavanceerde apparatuur hebben gebruikt. “De kaartlezer is vrij in de handel verkrijgbaar en hebben we op het internet gekocht. Een lezer van pakweg veertig euro volstaat”, verklaart professor Jean-Jeaques Quisquater, die meewerkte aan het onderzoek. Ook de gebruikte software – “licht aangepaste openbronsoftware”, aldus Quisquater – werd van het net geplukt.
De onderzoekers vragen dat de eerste generatie biometrische paspoorten, waarvan er ongeveer 720.000 werden uitgereikt, zo snel mogelijk uit de omloop wordt gehaald. Al beseft Quisquater dat dit wellicht geen haalbare kaart is.
“Het gaat om honderdduizenden paspoorten. Ze allemaal vervangen zal veel geld kosten.” Professor Quisquater pleit daarom voor een waarschuwingscampagne door de overheid. “De RFID-chip kan vrij eenvoudig beveiligd worden tegen ongeoorloofd lezen door een metalen kaart in de flap van het paspoort te steken. Daardoor ontstaat een kooi van Faraday die het lezen van het paspoort verhindert wanneer die gesloten is.”
De onderzoekers van de UCL zijn verwonderd dat niet alle paspoorten voldoen aan de standaard van de International Civil Aviation Organisation (ICOA). “Begin dit jaar verklaarde de minister van Buitenlandse zaken dat het Belgisch paspoort werd ontwerpen conform de technische vereisten van de ICAO en de Europese Unie. Dat is dus niet het geval”, stelt Quisquater vast.
De onderzoekers contacteerden het ministerie van Buitenlandse Zaken, maar dat bagatelliseerde volgens de professor het probleem. Onterecht, meent Quisquater: “Voor gewone burgers is het risico beperkt. Voor mensen die beroepsmatig het paspoort gebruiken, zoals ambassadeurs, ligt dit al gevoeliger.”
Ook de kaarten van de tweede generatie, uitgegeven na juli 2006, vertonen ernstige beveiligingsproblemen. De tweede generatie ondersteunt weliswaar het vereiste beveiligingsmechanisme Basic Access Control (BAS), maar door een ongelukkige implementatie is het voor kwaadwillenden vrij eenvoudig om door middel van een brute force attack ook die paspoorten te kraken en de gegevens zonder toestemming van de houder van op afstand te lezen.
Om de gegevens die zijn opgeslagen in de RFID-chip te lezen, moet de kaartlezer beschikken over de juiste sleutels. Die sleutels haalt de kaartlezer uit twee gecodeerde lijnen onder aan de eerste pagina van het paspoort, de zogenaamde Machine Readable Zone (MRZ). Wie de gegevens op de RFID-chip wil lezen, moet dus in principe ook het paspoort in handen hebben.
De MRZ omvat echter enkel de geboortedatum, de vervaldatum en het paspoortnummer. Met een brute force attack is het mogelijk om deze informatie te raden. Dit gebrek werd eerder al vastgesteld bij onder meer het Nederlandse en Duitse paspoort, geven de onderzoekers toe, maar het Belgisch paspoort is nog makkelijker te kraken.
Dit heeft verschillende oorzaken. Op de eerste plaats worden de Belgische paspoortnummers in stijgende volgorde toegekend bij vervaardiging. Bovendien zijn de nummers gekoppeld aan de taal van het paspoort (Frans of Nederlands) en is het paspoort maar vijf jaar geldig. Dit beperkt het aantal mogelijke combinaties die een brute force attack moet doorlopen, waardoor de beveiliging sneller kan worden gekraakt.
Onderzoekers van de UCL slaagden er zo in om met dezelfde apparatuur in slechts een uur tijd ook een paspoort van de tweede generatie te lezen – op voorwaarde dat de geboortedatum en vervaldatum bekend zijn. “Maar die gegevens zijn vaak makkelijk te achterhalen”, waarschuwen de onderzoekers.
Het team van de UCL pleit voor de toevoeging van een extra, willekeurige code in de MRZ om de beveiliging van de biometrische paspoorten te verbeteren. Dit is bijvoorbeeld al het geval voor Amerikaanse paspoorten.
Tot slot wijzen onderzoekers Glidas Avoine, Kassem Kalach en professor Jean-Jeaques Quisquater erop dat de Belgische overheid onnodig veel informatie in de RFID-chips stopt. De Belgische biometrische paspoorten bevatten onder meer een digitale foto en handtekening, geboorteplaats, uitgiftedatum en -plaats; gegevens die volgens de technische vereisten van de ICOA optioneel zijn. “Diefstal van deze informatie opent de deur naar tal van misbruiken”, waarschuwen de onderzoekers.
Het onderzoeksteam van de UCL plant donderdag een demonstratie van de gebreken aan het Belgisch biometrisch paspoort. Een woordvoerder van het ministerie van Buitenlandse Zaken was niet meteen beschikbaar voor commentaar.
