Nguy cơ mới đối với hộ chiếu điện tử

Các chuyên gia bảo mật tại Hội nghị Black Hat 2006 vừa chỉ ra rằng thẻ RFID- thường được sử dụng cho các thẻ truy cập, thẻ trả phí cầu đường tự động, và thậm chí là cả hộ chiếu điện tử - rất dễ bị hacker lợi dụng.

Tại Black Hat 2006, hộ chiếu điện tử trang bị thẻ nhận dạng tần số radio (RFID) đã được đưa ra thử nghiệm, và kết quả là dễ dàng có thể nhân bản chúng chỉ bằng một chiếc laptop trang bị đầu đọc RFID 200USD và một đầu ghi thẻ thông minh có giá tương tự.

Ngoài ra, các chuyên gia cũng chỉ ra rằng thẻ RFID được gắn kèm trong các tài liệu du lịch nhằm xác định hộ chiếu Mỹ từ khoảng cách xa cũng có thể bị kẻ khủng bố lợi dụng để kích hoạt bom.

Lukas Grunwald, một nhà nghiên cứu về hệ thống DN-Systems, Đức, đã trình diễn cách thức copy dữ liệu lưu trong thẻ RFID từ hộ chiếu của anh ta và ghi dữ liệu đó sang một chiếc thẻ thông minh lắp đặt chip RFID. Con chip được copy này có thể sử dụng để làm hộ chiếu giả.

Nguy cơ trên sẽ ảnh hưởng tới hàng triệu người Mỹ khi dự kiến họ sẽ được cấp hộ chiếu RFID vào tháng 10 tới. Khả năng copy dữ liệu trái phép từ thẻ RFID cũng là lời cảnh báo đối với giới quan chức chính phủ Mỹ ủng hộ cho dự án hộ chiếu điện tử (e-passport). Những người này đã bất chấp các lo ngại về vấn đề riêng tư và cho rằng e-passport rất khó có thể làm giả.

Grunwald cho biết vẫn chưa phát hiện bất cứ lỗ hổng nào trong cơ chế mã hoá thông tin lưu trong chip hộ chiếu. Nói cách khác, dữ liệu có thể nhân bản chỉ bằng cách quét thẻ RFID, nhưng thông tin thì không thể thay đổi.

Grunwald đã mất khoảng hai tuần và 5.000USD để hoàn thành dự án của mình, trong đó sử dụng phần cứng đọc RFID và một số phần mềm tự viết để sao chép thông tin trên thẻ RFID. Điều này cũng có nghĩa một kẻ tấn công có thể copy thẻ truy cập và sử dụng chúng để xâm nhập trái phép vào những toà nhà hoặc khu vực an ninh.

Không chỉ có Mỹ, chính phủ một số nước trên thế giới đang đẩy nhanh quá trình tích hợp thẻ RFID cho hộ chiếu nhằm giảm thiểu khả năng giả mạo. Một số quốc gia Châu Âu thậm chí đã cho ban hành hộ chiếu điện tử tích hợp thẻ RFID. Giới bảo vệ quyền tự do cá nhân các chuyên gia bảo mật đã cảnh báo về nguy cơ khi chuyển sang hộ chiếu điện tử.

Thất thoát dữ liệu là một trong những nguy cơ này. Với kiểu thiết kế như RFID, chúng hoàn toàn có thể đọc bằng đầu đọc chuyên dụng và được phát hiện từ xa. Kẻ tấn công cũng có thể xác định được quốc tịch của người mang hộ chiếu chỉ bằng cách "nhận dạng vân tay" đặc điểm con chip RFID. Khả năng này có thể bị lợi dụng để kích hoạt các vụ nổ bom từ xa. Tại Black Hat năm nay, Kevin Mahaffey, một nhà nghiên cứu của hãng Flexilis, đã demo đoạn video nói về nguy cơ này.