Хакер #305. Многошаговые SQL-инъекции
Как продемонстрировал датский исследователь, «защищенные от мошенничества»
электронные паспорта могут быть скопированы и изменены. В тестах, проведенных
для газеты Times, Йероен ван Бик из Амстердамского Университета изменил данные
чипа обычного британского электронного паспорта, поместив в него фотографию
Усамы Бен Ладена. Газета также пишет о том, что ван Бику удалось завести
поддельный паспорт на Элвиса Пресли, паспорт прошел проверку электронной
системы в одном из голландских городов.
Его работа основывалась на более ранних демонстрациях того как можно
клонировать чип паспорта, и последовавших за ними примерах того как этого
добиться даже не вынимая его из конверта. Такие уязвимости могут использоваться
мошенниками, например, для полного копирования паспорта даже без его кражи, и
его фальшивый владелец при этом сможет успешно им пользоваться до тех пор, пока
имеет сходство с настоящим хозяином паспорта.
Возможность вносить в электронные паспорта новые данные и фотографии
полностью их дискредитирует, однако целостность данных электронного паспорта
защищена цифровой подписью, и их изменение приведет к отказу принять паспорт
устройством чтения. В дополнение к изменению данных, ван Бику, похоже, удалось
вписать и новую цифровую подпись, что позволит пройти проверку, но только при
определенных условиях.
Подтверждение цифровой подписи электронного паспорта требует обмена
сертификатами PKI между властями стран, их выпускающими, либо использования
системы Общего Справочника Ключей ICAO (Public Key Directory). По идее, система
ICAO PKD создана для того, чтобы обеспечить стандартный уровень безопасного
подтверждения подлинности паспортов в мировом масштабе. Однако, на данный
момент, использование PKD далеко от всеобщего, и многие страны (включая
Великобританию) полагаются на двусторонний обмен сертификатами между странами.
Поэтому, пройдет или нет поддельный паспорт ван Бика проверку, будет зависеть
от многих факторов. Если устройство для чтения было выпущено давно, оно вообще
не сможет проверить цифровую подпись. А если страна, выпустившая паспорт, не
обменялась сертификатами со страной, в которой установлено устройство чтения,
такую проверку невозможно будет произвести. И если одна или обе из вовлеченных в
процедуру стран не используют PKD, проверку также произвести не удастся.