Gegevens op eID probleemloos te achterhalen
Malware kan perfect aan uw adresgegevens
15 mei 2008 | Pieterjan Van Leemputten
Hackers die gegevens van de elektronische identiteitskaart (eID) willen loskrijgen, moeten hier weinig moeite voor doen. Normaal is de kaart enkel leesbaar met geautoriseerde programma's. Maar het volstaat om zelf een applicatie te schrijven en die de naam van een browser te geven om toegang te krijgen.
Het probleem is aangekaart door de securitybloggers van BelSec. Hun bevindingen werden vorige week omgezet in een parlementaire vraag van volksvertegenwoordiger Roel Deseyn aan minister Van Binnenlandse Zaken Patrick Dewael. Deze antwoordde dat de kaart Europese en internationale normen gebruikt. Bovendien is het zo mogelijk voor bedrijven en websites om eigen standaarden hiervoor te ontwikkelen.
Deseyns commentaar op het antwoord van de minister is niet mals: "U brengt iets op de markt, maar u maakt zich blijkbaar niet zo veel zorgen over de securityaspecten."
Het risico is vooral groot bij gevaarlijke software. Wie de eID op een openbare of onbeveiligde computer gebruikt, kan zo makkelijk in de problemen raken. Het is voor hackers een koud kunstje om via een website malware te installeren. Zodra een gebruiker dan zijn eID in de kaartlezer steekt, worden de gegevens doorgespeeld.
Een oplossing van het probleem is er momenteel niet. Daarom raadt BelSec aan om voorzichtig om te springen met het online gebruik van de identiteitskaart. Enkel professioneel beveiligde en gecontroleerde computers zijn aanvaardbaar. Uw eID op een vreemde computer gebruiken is dus volledig uit den boze.
Lees meer artikels over :
hacking, malware, eid, elektronische identiteitskaart, deseyn, dewael
bron: ZDNet
16/04/2009 01:16:13
Origineel bericht van Erwin C 15/05/2008
Immobilienmakelaars maken al veel gebruik van de eID, ook verhuurbedrijven etc. Het is belachtelijk te stellen dat je je eID alleen maar aan te vertrouwen computers mag geven. Bovendien mag je in deze tijden stellen dat geen enkele computer te vertrouwen is, niet die van een verhuurzaak, niet die van de notaris, niet die van een ambtenaar en bovenal zeker je eigen computer niet.
16/04/2009 01:16:13
Origineel bericht van komdotjahoe 16/05/2008
inderdaad, deze video lijkt wel spectaculair, maar hoe zijn deze gegevens exploiteerbaar voor een hacker, dan zou hij al bij heel veel mensen een programma geinstalleerd moeten krijgen, en dan heeft hij een databank van domme computergebruikers, en daar zijn sommige bedrijven naar op zoek, maar we zijn niet in de VS waar je op basis van je social security number een lening kan afsluiten. Trouwens als ik iemand een ondertekende mail stuur, dan wordt mijn non repudiation certificaat meegestuurd en daarin zitten: eerste twee voornamen, achternaam, en (tromgeroffel) je rijksregisternummer, moet dan de ontvanger een machtiging aanvragen bij de privacy commissie om een database met deze publieke certificaten aan te leggen (als ik me niet vergis zal in een windows omgeving automatisch dit certificaat in je certificate store komen, dus heeft bvb een secretaresse van een groot bedrijf dat veel ondertekende emails ontvangt al snel een hele database)
16/04/2009 01:16:13
Origineel bericht van CD 16/05/2008
Als ik het telefoonboek opensla kan ik ook veel namen en adressen achterhalen...
Om nog maar te zwijgen over de gegevens die je in iemands vuilnisbak kan vinden...
16/04/2009 01:16:13
Origineel bericht van Homerus 16/05/2008
and your point is?? ....(met deze nutteloze uitleg)
16/04/2009 01:16:13
Origineel bericht van Eric Tremelo 16/05/2008
De persoonsgevens (naam, geboortedatum, adres etc.) die vroeger allemaal gedrukt op de kaart stonden zijn nu opgeslagen in de chip. De toegang tot deze gegevens is niet extra beschermd. Wanneer de burger zijn kaart aan iemand overhandigd of zijn eID kaart in een kaartlezer steekt dan moet hij er rekening mee houden dat deze gegevens gelezen worden. Indien hij ongewenst gebruik van zijn gegevens wenst te vermijden dan moet de burger ervoor zorgen dat hij zijn eID kaart enkel in een kaartlezer steekt wanneer hij de PC vertrouwt. Hij zal zijn eID kaart ook niet overhandigen aan iedereen die hierom vraagt.
Het gebruik door derden van deze gegevens wordt beschreven in de wetgeveing.
16/04/2009 01:16:13
Origineel bericht van Tron 28/05/2008
Zonder het probleem te willen minimaliseren is vandaag het echte risico voor een computergebruiker groter bij de combinatie malware+kredietkaart dan deze van malware+eID. Kan de security van de eID beter ? Waarschijlijk wel, maar dan is de kans ook groot dat een aantal gebruikers zal afhaken vanwege te complex.
Onder het motto "Alles kan beter":
een mogelijk alternatief voor de middleware zou een virtuele Windows/Linux/MacOS machine + gecertificeerde middleware + browser (IE/Firefox,Safari etc..)kunnen zijn die als een (1) pakket wordt gebundeld en die kan draaien onder VMware player/Xen/VirtualBox etc... en die enkel wordt gebruikt voor e-ID toepassingen. Een soort van eID virtual server/appliance.
Of voor de volgende generatie van eID-kaarten: een bescherming op applet-niveau in de chip.
16/04/2009 01:16:13
Origineel bericht van Naam/alias: Woonplaats 28/05/2008
wuk ?
16/04/2009 01:16:12
Origineel bericht van belsec 28/05/2008
Dit is slechts één van de vele kleine foutjes en onvolkomendheden die men met simpel onozel onderzoek heeft gevonden en waarvan sommige werden gepubliceerd op de website van de Belgian Security Bloggers. Toen tijdens de maand van EID dit werd gevonden - en we ook tot de vaststelling kwamen dat er noch duidelijke standaarden en certificatie, noch een duidelijke technisch probleemopvolgingsprocedure en voorlichting was - hebben we besloten om dit niet direct te publiceren en maanden geleden over te maken aan FEDICT
Men dient zich immers goed bewust te worden dat we niet meer te maken hebben met kleine hackers maar met grote commerciële technologisch goed uitgebouwde netwerken die niet meer zomaar kleine dingen doen en steeds ingewikkelder schema's bedenken om hun doel te bereiken. Deze vulnerability is dan ook slechts een klein stukje uit de puzzel. Maar ze maakt - al in combinatie met vb de andere ontdekte problemen met de kaartlezers - heel wat mogelijk.
het is dus aan de politieke en technologische verantwoordelijken om nu de nodige lessen hieruit te trekken en de nodige middelen en mensen te voorzien met externe harde audits om op basis van 'gap analysis en budgetting' de gekende en nog te vinden problemen zo snel als mogelijk aan te pakken. Het economisch belang van EID is veel te belangrijk om dit zoals BHV jaren te laten aanmodderen. De volgende gepubliceerde vulnerability kan immers niet van ons zijn...
En een database van Belgische burgers is geld waard
16/04/2009 01:16:12
Origineel bericht van schwungman 28/05/2008
"En een database van Belgische burgers is geld waard"
Dan kan men beter wittegids.be of goudengids.be kopieren; slechts 1 keer werk en geen malware nodig...
16/04/2009 01:16:12
Origineel bericht van erik 04/09/2008
natuurlijk zijn die gegevens leesbaar. that is the point!
De overheid stelt massa's documenten en voorbeeldcode beschikbaar om je eigen software te maken zodat deze de kaart kan lezen. Zeggen dat die gegevens dus kunnen ingelezen worden is zowat het meest idiote dat je kan zeggen...
Bedoeling is inderdaad zoals in het artikel staat dat bedrijven en sites hun eigen applicaties kunnen ontwikkelen voor gebruik van de eID; zoals safechat en www.seniorennet.be dat al hebben gedaan.
Die gegevens inlezen is niet erg. dat zijn dezelfde gegevens als vroeger leesbaar op je kaart staan.
nieuw is de digitale handtekening. de authorisatie/handtekening kan niet gekopieerd worden; aangezien dat via encryptie een handtekening genereert. en men mag doen wat men wil, de sleuten van die eID is niet uit te lezen via een standaard toestelletje (mits dure laboratoriumapparatuur en de nodige tijd eventueel wel volgens een onderzoek)
ik begrijp dus totaal niet dat er telkens maar weer aandacht aan besteed wordt in de media.
HET IS DE BEDOELING DAT DIE GEGEVENS VAN DE KAART KUNNEN GELEZEN WORDEN !! Het is dus helemaal geen fout als ze leesbaar zijn. Zoals ik al begon: that is the point!
Blog : Zakelijke IT
Met de recente lancering van hun eerste update (in Windows termen het equivalent van een Service Pack) voor de vSphere 5 suite staat voor veel bedrijven het licht op groen om hun huidige vSphere 4 omgeving up te graden. Maar hoe eenvoudig is die taak?
lees meer »
in de kijker »
news
De opstarttijd van Windows 8 is zo kort dat er nauwelijks tijd is om in de Veilige Modus te geraken. Microsoft sleutelde daarom flink aan de bootcyclus.
lees meer »
news
In Antwerpen opent vandaag Gamebox, een project waar jongeren onder begeleiding van specialisten kunnen gaan gamen.
lees meer »
help
De webapplicatie Readlists maakt gratis e-books van door jou geselecteerde nieuwsartikelen en verstuurt ze naar je smartphone, tablet of e-reader.
lees meer »
Game
Twintig jaar geleden redde een groepje naamloze helden de wereld. Nu is het aan een nieuwe generatie om de demonen terug richting de hel te sturen.
lees meer »
wedstrijden »
Win 6x Mission: Impossible - Ghost Protocol!
Doe mee »
