Hacker News Digest

Современные электронные паспорта представляют собой встроенные устройства с файловой системой, контролем доступа и криптографической защитой, соответствующие стандартам ICAO Doc 9303. Их файловая структура включает три типа файлов: основные (MF) как корневой каталог, специализированные (DF) как приложения и элементарные (EF) с данными. Основное приложение eMRTD содержит персональные данные (DG1) и биометрическую информацию (DG2 с фотографией), а также дополнительные опциональные группы данных для цифровых штампов и виз.

Эти документы используют короткодействующий RFID (ISO 14443) и защищены от несанкционированного чтения, прослушки, подделки и копирования. Модель угроз разделяет атакующих по физическому доступу: без паспорта нельзя прочитать данные или отследить его перемещения, а с паспортом - скопировать цифровую копию или получить доступ к биометрическим данным (отпечатки пальцев DG3, радужка DG4). Несмотря на современные протоколы, поддержка устаревших механизмов создает дополнительные риски для владельцев.

• Вашингтонский "Enhanced ID" стал первым документом, одобренным DHS в 2005 году, но уже тогда исследователи нашли уязвимости, включая возможность удалённого клонирования и отключения чипа, а ведь с тех пор технологию так и не обновили.
• Паспорт как технология контроля движения людей: от крепостных до наших дней.
• Электронные паспорта и ID-карты не решают проблему подделки документов, а лишь переносят доверие с бумаги на криптографию, что в условиях коррупции в гос. органах не имеет значения.
• Почему в 2024 году нельзя сделать паспорт, который нельзя было бы подделать? Потому что это не позволит контролировать потоки мигрантов.
• Паспортизация как способ контроля миграции.

В статье Джеймса Миккенса критикуется сложный и непонятный язык, используемый в исследованиях по безопасности. Автор приводит примеры абсурдных названий докладов вроде "Vertex-based Elliptic Cryptography on N-way Bojangle Spaces", которые начинаются посередине сложной темы без должного контекста. Миккенс сравнивает исследователей безопасности с триатлетами, тренирующимися для маловероятных сценариев, утверждая, что они сосредоточены на теоретических проблемах, а не на практических решениях.

Автор также критикует PR-навыки специалистов по безопасности, сравнивая их с "надменными подростками, слушающими готическую музыку", которые сосредоточены на потенциальных катастрофах, но не дают практических рекомендаций. Миккенс выражает разочарование, что сообщество безопасности изучает экзотические угрозы (например, управление кардиостимуляторами через банку Pringles), вместо решения более распространенных проблем, таких как создание запоминающихся, но надежных паролей.

• Обсуждение началось с цитаты из статьи Mickens о том, что если противник — это Mossad, то «вы уже мертвы» и ничего не поделаешь.
• Участники обсудили, насколько реалистично представленный сценарий, где противник — это государственная разведка, и какие угрозы реальны для обычных людей.
• Поднялась тема, что даже если Mossad не заинтересован в большинстве людей, то есть ли смысл в чрезмерной паранойе, и какие именно угрозы стоит считать реальными.
• Обсуждались примеры, когда разведки разных стран использовали вредоносное ПО или оборудование для слежки, и как это влияет на дискуссию о безопасности.
• В комментариях также поднялись темы, связанные с недавними событиями, включая взрывы пейджеров и телефонов, и обсуждалось, как это соотносится с обсуждаемыми темами.