[heise.de] Einige US-Reisende kürzen ihren Grenzübertritt mit elektronisch
lesbaren Führerscheinen oder Reisepässen in Ausweisgröße ab, die einen
Funkchip enthalten. Diese von der Regierung ausgegebenen Papiere
erlauben die Reise ins nahe Ausland – nach Kanada, Mexiko, Bermuda und
in die Karibik. Beide Kartentypen sind kostengünstiger als gewöhnliche
Pässe und enthalten RFID-Komponenten, die sich aus einiger Distanz
drahtlos auslesen lassen. Hält ein Reisender die Karte an die
Windschutzscheibe seines Autos, kann der Grenzer sich Informationen zu
dieser Person automatisch aus einer Datenbank anzeigen lassen.Die Sicherheit dieser Technologie ist allerdings stark umstritten.
Eine neue Analyse von Forschern an der University of Washington und aus
den Laboren des IT-Sicherheitsunternehmens RSA zeigt nun einen Angriff,
bei dem sich die von den Ausweisen ausgesendeten Signale auffangen und
zur Erstellung gefälschter Papiere nutzen lasse. Auch eine Verfolgung
des Kartenbesitzers ist so möglich.
Ausweisdokumente mit RFID-Chip sind noch relativ neu in den USA. Sie
sind Teil der "Western Hemisphere Travel Initiative", die bis Juli 2009
die Regeln für Grenzübertritte zu den Nachbarländern verändern soll.
Nach diesem Datum werden Reisende nicht mehr einfach ihren gedruckten
Führerschein oder ihre Geburtsurkunde zeigen können, um einzureisen.
Stattdessen brauchen sie spezielle, vorab genehmigte Dokumente. Anfang
2008 wurde Washington zum ersten US-Bundesstaat, der verbesserte
Führerscheine für den Grenzübertritt zunächst auf freiwilliger Basis
anbot. New York fing im September damit an.
Die RFID-Chips in den Karten nennen sich "Electronic Product Code
Tags", kurz EPC. Sie ähneln einem Barcode. Werden sie gescannt, wird
eine einzigartige Nummer übermittelt, die mit einer Datenbank der
US-Regierung abzugleichen ist. Informationen wie Fotos des
Kartenbesitzers lassen sich so direkt abrufen. Ari Juels, Direktor und
Chefwissenschaftler bei RSA Laboratories, der an der jüngsten
RFID-Analyse teilnahm, erläutert, dass es bereits bekannt gewesen sei,
dass sich EPCs kopieren ließen. Doch mehrere Eigenschaften der neuen
Ausweise sorgten nun dafür, dass sich das Risiko noch erhöhe, dass sie
nachgemacht und nachverfolgt werden könnten. Auch habe sich gezeigt,
dass sich die neuen Washingtoner Führerscheine sogar deaktivieren
ließen.
Die verwendete RFID-Technik in den Karten lässt sich mit
Standardausrüstung umprogrammieren. Ein Datensatz mit einer gestohlenen
ID-Nummer ist deshalb sehr schnell auf einen leeren Chip hochladbar.
Hätten die Komponenten eine eindeutige Seriennummer, die in der Fabrik
vorgegeben wird, wäre es schwerer, Duplikate anzufertigen. Der Fälscher
müsste die Seriennummer dann auch auf einem leeren Chip verändern – ein
wesentlich härteres Problem.
Ein weiteres Problem mit den Karten ist, dass sie sich über relativ
weite Distanzen auslesen lassen. Angreifer könnten die ID-Nummer in der
Karte abfragen, in dem sie an einer Grenzstation lauschten oder sie
einfach aus der Tasche des Opfers heraus auslesen.
Die Karten werden zwar mit einer Schutzhülle ausgeliefert, die einen
solch unautorisierten Zugriff verhindern soll. Die Führerscheine aus
Washington ließen sich allerdings selbst durch diese Schicht auslesen,
wenn das Lesegerät nur stark genug war. Hinzu kam dass sich einige der
EPC-Tags über ein "Kill"-Kommando deaktivieren lassen. Während den
Reisepass-Karten dieser Angriff nichts anhaben konnte, blieb diese
Möglichkeit bei den Washingtoner Führerscheinen nachweisbar. Dies könne
einem Angreifer erlauben, Grenzübertritte zu verhindern, in dem er eine
große Anzahl solcher Karten blockiere, heißt es in der Studie. Auch
Einzelpersonen lässt sich so großer Ärger bereiten, machen nicht
funktionierte Ausweise den Träger doch schnell verdächtig.
Gigi Zenk von der Führerscheinstelle des Bundesstaates, meinte, dass
man die Schwere der möglichen Angriffe in Zweifel ziehe. Die Forscher
hätten "viele Annahmen darüber aufgestellt, wie Zoll und Grenzkontrolle
funktioniert". Kein System sei vollständig sicher und die Karten
enthielten deshalb keine persönlichen Informationen. Außerdem sei der
Versuch, Daten von Ausweisen zu entwenden, in Washington inzwischen
strafbar. "Wir glauben, dass wir große Schritte unternommen haben, das
Risiko zu minimieren", meint Zenk. Unnötige Ängste seien fehl am Platz.
Juels sieht unterdessen die Gefahr, dass die Grenzer nicht alles
tun, was sie sollten. Dazu gehören der Vergleich von Bildern in der
Datenbank mit denen auf dem Pass und die Erkennung von Fälschungen an
sich. Besonders problematisch: Beamte könnten sich zu stark auf die
neue Technik verlassen.
Selbst wenn die Grenzer künftig besser aufpassen: Die RFID-Chips
bleiben den Forschern zufolge ein Risiko. "Diese Karten könnten immer
noch Informationen über unser Leben freigeben", meint Tadayoshi Kohno,
Computerwissenschaftler an der University of Washington, der an der
Arbeit mitforschte. "Wenn sie an die Sozialversicherungsnummer denken,
gab es eines Tages eine Diskussion, was an Daten hinein soll und was
nicht. Nummern allein waren stets gut, weil sie keine persönlichen
Informationen enthielten." Doch inzwischen ließen sich diese leicht mit
Inhalten aus Datenbanken verknüpfen, so "dass die Dinger mehr Daten
über uns verraten, als wir anfänglich erwartet hätten".
Jonathan Westhues, ein unabhängiger Sicherheitsforscher, der die
RFID-Technik untersucht, meint, dass viel davon abhänge, wie die
Funkchips tatsächlich verwendet werden. Nimmt ein Beamter an, dass eine
Karte selbst ausreichend für die Identitätsfeststellung ist, sei die
Gefahr von Klonkarten real. Was die Privatsphäre anbetrifft, trügen
bereits jetzt viele Menschen RFID-Chips oder Handys mit sicher herum,
die sich tracken ließen.
Die RSA-Forscher hoffen deshalb nun, dass sich die Technik nach der
Enthüllung verbessern wird. "Die ganze RFID-Infrastruktur an sich ist
keine schlechte Idee", meint Juels, "man muss sie nur richtig aufbauen".
Quelle: heise.de