Brytyjskie dowody tożsamości złamane w kilka minut

W nowych dowodach dane biometryczne: obraz twarzy czy odciski palców, są zapisane na chipie RFID. Doniesienia mówiące o tym, że obecnie zbieraniem odcisków palców mają się zająć prywatne firmy, wzbudzają podejrzenia co do wiarygodności tego rodzaju metod. Z kolei eksperyment przeprowadzony przez bulwarową gazetę "The Daily Mail" jeszcze bardziej rozniecił wątpliwości dotyczące bezpieczeństwa dowodów biometrycznych.

Autor eksperymentu, Steve Boggan zaangażował ekspertów, aby sprawdzili, czy biometryczny dowód jest rzeczywiście tak doskonale zabezpieczony przed fałszerstwami, jak twierdzi rząd. Wynik jest równie zdumiewający, co niepokojący. "Haker na zamówienie" - Adam Laurie, udowodnił, że za pomocą telefonu komórkowego i laptopa dane z mikroukładu można skopiować w ciągu kilku minut.

Lauriemu udało się w ten sposób nie tylko stworzyć klon karty identyfikacyjnej, ale był też w stanie zmodyfikować zachowane dodatkowe informacje, takie jak nazwisko, odciski palców albo pole przeznaczone na uwagi. Z powodzeniem dodał do pamięci elektronicznego dokumentu komentarz: "Jestem terrorystą - zastrzel mnie przy kontakcie wzrokowym". Za pomocą sklonowanej karty można by również oszukać systemy bankowe albo wyłudzić świadczenia od państwowej służby zdrowia.

Co gorsza, jak twierdzi "The Daily Mail", terroryści mogliby wykorzystać tak skopiowany dowód do zatarcia śladów w razie planowanych ataków. Zdrowy rozsądek nakazywałby przypuszczać, że ten wart 5,4 miliarda funtów projekt rządu jest dopięty na ostatni guzik. Adam Laurie do swojego "włamania" wykorzystał wprawdzie karty, które są wydawane osobom o statusie foreign nationals, czyli obcokrajowcom żyjącym w Wielkiej Brytanii, ale według zajmującej się wydawaniem dowodów agencji Identity & Password Service karty różnią się jedynie wyglądem zewnętrznym.

Laurie zmodyfikował dowód na dwa sposoby: aby przygotować kopię, poszukał najpierw niepozornie wydrukowanego ciągu liczb, który znajduje się na karcie. Ten ciąg znaków służy do odszyfrowania chipa. Jego telefon komórkowy Nokii był już wyposażony w oprogramowanie do odczytu chipów, co pozwoliło zdobyć niezbędne informacje w kilka sekund i przenieść je na pustą kartę.

Jednak Lauriemu udało się przede wszystkim coś, co według rządu było niemożliwe: mimo że dane osobowe są zapisane w 16 grupach, a jeden zmieniony segment powoduje, że karta staje się bezużyteczna, przy pomocy dwóch innych ekspertów udało się mu podważyć te mechanizmy zabezpieczające.

Jak twierdzi brytyjski rząd, istnieją trzy skuteczne metody kontroli, które pozwalają na rozpoznanie sfałszowanej karty: po pierwsze - konwencjonalna kontrola twarzy, po drugie - kontrola zapisanych i faktycznych odcisków palców i po trzecie - kontrola danych biometrycznych przeprowadzana online. Ta ostatnia możliwość jest najmniej realna, bo wiąże się z opłatą w wysokości 2 funtów.

Fotografia tak czy inaczej będzie pasować do nowego "właściciela"; do identyfikacji pozostają więc odciski palców odczytywane za pomocą odpowiedniego urządzenia. Jak wynika z relacji dziennika, to urządzenie musi zawierać oficjalnie dopuszczony program o nazwie Golden Reader, który służy do identyfikowania zafałszowanych odcisków palców. Autor i jego pomocnicy pobrali najnowszą wersję oprogramowania, a następnie podczas testów ustalili, że sfałszowana karta nie jest rozpoznawana jako nieprawidłowa.

Nawet to nie skłania jednak przedstawicieli rządu, aby przestali uważać ten system za bezpieczny. Ian Agnelli, profesor z London School of Economics, jest innego zdania: "Wyniki tego testu powinny stanowić gwóźdź do trumny narodowego programu identyfikacji. Rząd nie ma prawa więc twierdzić, że karty biometryczne chronią nas przed kradzieżą tożsamości - właśnie udowodniono, że to nieprawda".