Passaporte Electrónico Clonado vs Cartão do Cidadão (wiki)

Hoje o Bruno Morrison postou no seu blog algo que me deixou deveras preocupado, a The Hacker Choice descobriu uma falha no sistema do passaporte digital (ePassport) e conseguiu fazer um bypass ás checklists de segurança.

Como resultado, não só tiveram acesso a todos os dados, como puderam obviamente clonar o cartão, podendo obviamente alterar os dados. O maior problema ainda está no facto que os sistemas de autenticação não conseguiram detectar que o chip teria sido modificado, não disparando obviamente qualquer alerta. O processo está explicado no blog deles aqui com muito detalhe.

Ora, tendo o nosso Cartão do Cidadão quase a mesma infraestrutura, poderá obviamente ter as mesmas falhas (ainda por cima tão centrada numa infraestrutura Microsoft) visto que é um smart card, e como criador do wiki tenho toda a obrigação de alertar para este tipo de problemáticas.

Sugeria à comunidade mais uma vez o uso do wiki, e se alguém tiver disposto a isto, porque não testar algumas vulnerabilidades e partilha-las conosco, afinal, são os nossos dados que estão em causa.

Já tenho o meu e tenho algumas notas que irei adicionar ao wiki brevemente, algumas questões relacionadas com a segurança que presenciei no acto da entrega do meu.

PS: O Elvis afinal está vivo….

6 Replies to “Passaporte Electrónico Clonado vs Cartão do Cidadão (wiki)”

  1. >ainda por cima tão centrada numa infraestrutura Microsoft
    >

    Basicamente nao sabes do q estás a falar. E cada vez mais se torna óbvio q
    pretendes apenas obter notoriedade à custa do assunto.

    — MV

  2. Basicamente ainda não foste pedir o teu, é disso que estou a falar, o Mário Viegas já deixou isso bem claro no Wiki.
    Basicamente não quero nenhum protagonismo, quero sim que faças algo e participes, isto não é para MEU bem, é para NOSSO bem…
    Lamento não teres percebido as minhas intenções, mas todas menos as que referes… Não pertenço a planetas porque acho que sou o maior, mas porque acho que alguém se deve preocupar com certas questões. Tal como tu adoro tecnologia, mas também me preocupo com as questões sociais que se prendem.
    Acho que nesta altura, protagonismos, é a ultima coisa que me preocupa, e que te devia preocupar…

    EDIT: Já agora, explicas-me http://172.31.0.205/cvcc/comprovativoPedido.aspx ?????

  3. Concordo com o MV, o problema da segurança do cartão nada tem a ver com microsoft ou afins… mas pronto… escreve lá na tua wiki a tua opinião…

  4. Adriano, o MV é o Mario Valente, antigo presidente do ITIJ, organismo responsavel pelos cartoes, e se alguem sabe do que fala é ele.
    O cartao até é muito aberto, basicamente é um Java Card, e segundo o workshop que o Mario deu no Sapo Codebits até podes la por aplicacoes dentro á tua medida.

    Quanto á Microsoft, o cartao apenas é compativel com o standart CSP da Microsoft, nada mais… (http://en.wikipedia.org/wiki/Cryptographic_Service_Provider)
    A Pagina que apresentaste tem apenas é apenas um website, nada tem a ver com a infra-estrutura do cartao.

    PS-obrigado Mario por me teres deixado exprimentar um cartao durante o Codebits!

  5. VDias, nada do que está no wiki é da minha autoria sequer, a não ser a nota inicial que em absolutamente nada tem a minha opinião pessoal.
    O wiki não é meu, está alojado na Oeste Digital Network, embora seja eu que faça a gestão, nunca sequer fechei uma porta a um comentário ou a uma critica, portanto se desejas criticar a minha opinião, agradeço que te refiras ao MEU blog onde escrevo, aqui sim, a minha opinião. Vamos ser claros…

    João, sem dúvida, confesso que à primeira MV não me fez muito sentido. Obviamente não estou por dentro de toda a infraestrutura, mas vejamos, para quem leu todo o projecto pegasus, a imaguem que fica é bem diferente.
    Depois quando o fui tirar toda a infraestrutura que vi, desde o sistema operativo aos processos de registo, só vi tecnologias Microsoft, e é aí onde quero chegar…

    Que fique bem claro que a minha intenção e a intenção do wiki é exactamente isto, discutir para ficarmos a conhecer… senão para que raio isto servia?

    No entanto não me parece que ninguém esteja preocupado com o ataque feito aos e-passaportes, essa sim é a minha preocupação!

  6. Boas,
    Como em todos os foruns e comentários a blogs em portugal, apenas se ve críticas destrutivas..é raro ver um comentário com uma crítica construtiva….enfim…

    Indo a questão principal…
    Antes de visitar este blog, estive a ver o video e o blog sobre a clonagem do ePassport e sim acho que todos ficamos apreensivos… é obvio que nada é 100% seguro, muito menos na informática…

    Espero ter o meu cartão do cidadão em breve e a segurança é um preocupação…..

    Mas acho que como tudo, temos que ter cuidado com a utilização.

    Cumprimentos

Deixe uma resposta

eighteen − nine =