Od wielu lat mówi się w Polsce o wprowadzeniu elektronicznego dowodu tożsamości, wyposażonego między innymi w funkcję podpisu osobistego. Projekt jest regularnie ogłaszany a następnie jego wdrożenie jest przesuwane w czasie. Podobne systemy wdrożyły już inne kraje – spójrzmy na problem Austriaków.
Austriacka Karta Obywatelska (Bürgerkarte) daje użytkownikowi możliwość składania podpisu kwalifikowanego (w technologii ECDSA), będącego równoważną formą elektroniczną podpisu odręcznego. Przy użyciu tej karty Austriacy mogą korzystać z aplikacji rządowych, logować się do banków lub podpisywać przelewy. Aby ułatwić korzystanie z tego systemu, wprowadzeniu karty towarzyszyło opracowanie apletu i servletu Javy, obsługujących funkcję podpisu.
Jak podpisać cudzym podpisem
Austriacki specjalista do spraw bezpieczeństwa, Wolfgang Ettlinger, przeanalizował funkcjonowanie tego mechanizmu i odkrył jego słaby punkt. O ile sam aplet, posiadający bezpośredni dostęp do karty znajdującej się w czytniku jest podpisany i nie przyjmuje nieautoryzowanej komunikacji, o tyle to ograniczenie nie dotyczy interfejsu użytkownika. Austriakowi udało się opracować scenariusz ataku, w którym nieświadomy zagrożenia obywatel austriacki otrzymuje na stronie zarządzanej przez atakującego prośbę o potwierdzenie swojego wieku za pomocą Karty Obywatelskiej. Obywatel podaje więc PIN swojej karty, który w niezauważalny dla niego sposób jest odczytywany przy użyciu JavaScriptu i zapisany do ciasteczka. Tak długo jak ofiara przegląda podstawioną stronę, aplet może zostać załadowany ponownie (np. poza widocznym obszarem ekranu) a zapisany PIN ten może zostać wykorzystany w kontekście apletu do zalogowania się do banku oraz podpisania przelewu. Działania te są całkowicie niewidoczne dla użytkownika.
Ettlinger opublikował także nagranie przykładowego ataku. Co prawda urząd odpowiedzialny za obsługę kart wprowadził poprawioną wersję apletu, jednak poprzednia wersja ciągle jest jeszcze używana przez obywateli, dlatego też do tej pory nie został opublikowany kod źródłowy wykorzystany do ataku. Miejmy nadzieję, że kiedy już będziemy mogli skorzystać z naszych dowodów do złożenia podpisu kwalifikowanego, ominą nas takie problemy.
Komentarz
Jak nie te problemy to inne. Na fraudy zawsze będą chętni. Najlepszym sposobem na rfid’y i czipy jest młotek – patch łątający wszystkie problemy bezpowrotnie.