211service.com
Grenzsicherheit
Für einige US-Reisende können Grenzübertritte durch erweiterte Führerscheine oder durch Passkarten, Plastikkarten in Brieftaschengröße, die von der Bundesregierung ausgestellt werden und die Durchreise auf dem Land- oder Seeweg nach Kanada, Mexiko, Bermuda oder die Karibik ermöglichen, beschleunigt werden. Beide Kartentypen sind billiger als gewöhnliche Reisepässe und enthalten RFID-Geräte (Radio Frequency Identification), die aus der Ferne gelesen werden können. Hält ein Reisender eine Karte an die Windschutzscheibe eines Autos, kann ein Grenzbeamter automatisch Informationen über ihn aus einer Datenbank abrufen. Eine aktuelle Analyse von Forschern der University of Washington und RSA-Labors , mit Sitz in Bedford, MA, zeigt, dass Angreifer die von den Karten gesendeten RFID-Signale nutzen könnten, um gefälschte Dokumente zu erstellen oder Karteninhaber auszuspionieren.

ID innen: Die oben gezeigte Antenne in der neuen US-Passkarte sendet Hochfrequenzsignale aus, mit denen Grenzbeamte Informationen über einen Reisenden abrufen können. Forscher der University of Washington und der RSA Laboratories haben vorgeschlagen, dass die Signale aus relativ großer Entfernung gelesen werden könnten, wodurch die Karten gefälscht oder verfolgt werden könnten.
Solche Karten sind relativ neu. Sie sind Teil der US-Regierung Reiseinitiative für die westliche Hemisphäre , die ab Juli 2009 die Regeln für das Überqueren nahegelegener Grenzen ändert. Danach können Reisende nicht mehr einfach durch das Vorzeigen von Führerschein und Geburtsurkunde durchkommen. Stattdessen benötigen sie spezielle, genehmigte Dokumente. Anfang 2008 bot Washington als erster Bundesstaat erweiterte Führerscheine für Grenzübertritte an, New York folgte im September diesem Beispiel.
Die in den Karten enthaltenen RFID-Chips werden als Electronic Product Code (EPC)-Tags bezeichnet und ähneln Strichcodes. Beim Scannen geben sie eine eindeutige Nummer zurück, die an eine Datenbank der Bundesregierung gebunden ist, in der Informationen wie Fotos der Karteninhaber gespeichert sind. Ari Juels , Direktor und leitender Wissenschaftler bei RSA Laboratories, der an der jüngsten Analyse teilnahm, erklärt, dass, obwohl bekannt war, dass EPC-Tags kopiert werden könnten, einige Merkmale der neuen ID-Karten das Risiko erhöhen, dass sie gefälscht, verfolgt oder zurückverfolgt werden können , im Fall der Washington-Karten, von einem böswilligen Angreifer deaktiviert.
Der in den Karten verwendete Chiptyp kann mit handelsüblichen Geräten umprogrammiert werden, erklärt Juels; ein Angreifer mit einer gestohlenen ID-Nummer kann diese relativ einfach auf einen leeren Chip laden. Aber wenn jeder Chip werksseitig eine einzigartige Seriennummer einprogrammiert hätte, wäre es schwieriger, ihn zu duplizieren. Der Fälscher müsste die Seriennummer im leeren Chip ändern – ein viel schwierigeres Unterfangen.
Ein weiteres Problem bei den Karten, sagt Juels, sei, dass sie auf relativ große Entfernungen gelesen werden können. Ein Angreifer könnte die auf einer Karte enthaltene Nummer erhalten, indem er an einem Kontrollpunkt belauscht oder die Karte liest, während sie in der Tasche oder Handtasche eines Opfers getragen wird.
Die Karten sind mit einer Schutzhülle versehen, die den unbefugten Zugriff blockieren soll, aber die Forscher fanden heraus, dass Washingtons Karten immer noch durch die Hülle gelesen werden konnten. Darüber hinaus können EPC-Tags deaktiviert werden, indem ein Kill-Befehl an sie gesendet wird. Während die Passkarten vor diesem Angriff geschützt waren, sagen die Forscher, wurde die Möglichkeit bei den Washington-Karten offen gelassen. Dies könnte es einem Angreifer ermöglichen, Grenzübergänge durch das Töten einer großen Anzahl von Karten zu stören oder bestimmte Personen zu belästigen, da eine getötete Karte wahrscheinlich Verdacht erregen könnte.
Gigi Zenk, eine Sprecherin der Washington State Department of Licensing Sie bezweifelt die Ernsthaftigkeit der Erkenntnisse, weil die Forscher viele Annahmen über die Funktionsweise von Zoll und Grenzkontrollen getroffen haben. Sie sagt zwar, dass kein System jemals völlig unverwundbar ist, betont aber, dass die Karten keine persönlichen Informationen enthalten und dass der Staat Washington es zu einem Verbrechen gemacht hat, zu versuchen, Informationen daraus abzuschöpfen. Wir glauben, dass wir erhebliche Schritte unternommen haben, um das Risiko zu mindern, sagt Zenk, und ich mache mir Sorgen, dass dies unnötige Angst verursacht.
Juels stimmt zu, dass Grenzbeamte in der Lage sein sollten, Fälschungen zu erkennen, wenn sie alles tun, was sie tun sollen – einschließlich beispielsweise des Vergleichs der in der Datenbank gespeicherten Fotos mit denen, die auf dem Ausweis gedruckt sind. Aber er fügt hinzu, dass die Agenten versucht sein könnten, sich auf die Technologie zu verlassen und ihre Wachsamkeit zu lockern.
Auch wenn Grenzbeamte wachsam seien, so die Forscher, könnten die Karten dennoch Risiken bergen. Diese Karten können immer noch Informationen über unser Leben preisgeben, sagt Tadayoshi Kohno , ein Assistenzprofessor für Informatik an der University of Washington, der an der Forschung mitgearbeitet hat. Denkt man an die Sozialversicherungsnummer, könnte irgendwann argumentiert worden sein, dass es sich nur um eine Zahl und nicht um persönliche Daten handelt. Aber Zahlen entwickeln sich im Laufe der Zeit, und die Verwendungen entwickeln sich im Laufe der Zeit, und schließlich können diese Dinge mehr Informationen preisgeben, als wir ursprünglich erwarten.
Jonathan Westhues , ein unabhängiger Sicherheitsforscher, der sich mit RFID beschäftigt hat, merkt an, dass vieles davon abhängt, wie das Tag tatsächlich verwendet wird. Wenn ein Beamter davon ausgeht, dass das Tag selbst ein ausreichender Identitätsnachweis ist, ist die Gefahr des Klonens ernst. Er merkt an: Es ist schwer zu sagen, was genau sie mit dem Tag vorhaben, daher ist es schwer zu sagen, ob das Gesamtsystem sicher sein wird. Was den Datenschutz angeht, fügt er hinzu, dass viele Menschen bereits Smartcards oder Mobiltelefone bei sich tragen, mit denen sie verfolgt werden könnten.
Die Forscher hoffen, dass sich die Passtechnologie aufgrund der von ihnen gestellten Fragen verbessert. Die ganze RFID-Infrastruktur sei keine schlechte Idee, sagt Juels. Es muss nur gut gemacht werden.