Електронне посвідчення особи – німецький студент відкрив «дірки» в захисті

У Німеччині стало відомо про нові проблеми, які можуть виникнути під час онлайн-ідентифікації власника нового електронного посвідчення. Шахраї можуть за певних умов видавати себе в інтернеті власниками документа, заявив студент інформатики, член Партії піратів Ян Шайбал. Проблема, за його словами, криється не в самому документі, а в супутньому програмному забезпеченні, яке встановлюють у себе користувачі. «Через дірки в захисті зловмисник може зловживати електронним посвідченням», - сказав Ян Шайбал агентству dpa. Німецьке федеральне відомство з питань безпеки та інформаційних технологій (BSI) повідомило, що перевірить цю інформацію.

Системний наступ

Ян Шайбал розробив багаторівневу атаку, яка дозволяє зловмисникам одержувати таємний код, а потім використовувати в інтернеті електронне посвідчення, видаючи себе за жертву. Програмне забезпечення дозволяє спеціальному сайту одержати доступ до електронного посвідчення, а також до зчитувального пристрою.

Раніше, ще в січні цього року, Ян Шабайл вже показував, як можна викрасти таємний PIN-код власника електронного посвідчення. Аби атака стала успішною, потрібно, щоб збіглася низка обставин. На комп'ютері потенційної жертви має бути встановлено плагін OWOK. Крім того, електронне посвідчення мусить знаходитися в зчитувальному пристрої.

Потенціал є

Фахове видання Heise Online вже підтвердило ефективність такого сценарію нападу. «На мою думку, це перший сценарій, що має потенціал шкоди», - сказав редактор журналу Аксель Коссель.

Нове електронне посвідчення у Німеччині зовні нагадує банківську картку з чіпом та фотографією власника. За його допомогою можна автоматично ідентифікувати особу, наприклад, при купівлі в інтернеті або при обміні інформацією з німецькими державними установами.

Автор: Наталя Неділько
Редактор: Роман Гончаренко