Gegevens op eID probleemloos te achterhalen

http://www.zdnet.be/news.cfm?id=85162&mxp=120

Hackers die gegevens van de elektronische identiteitskaart (eID)
willen loskrijgen, moeten hier weinig moeite voor doen. Normaal is de
kaart enkel leesbaar met geautoriseerde programma's. Maar het volstaat
om zelf een applicatie te schrijven en die de naam van een browser te
geven om toegang te krijgen.

Het probleem is aangekaart door de securitybloggers van BelSec. Hun
bevindingen werden vorige week omgezet in een parlementaire vraag van
volksvertegenwoordiger Roel Deseyn aan minister Van Binnenlandse Zaken
Patrick Dewael. Deze antwoordde dat de kaart Europese en
internationale normen gebruikt. Bovendien is het zo mogelijk voor
bedrijven en websites om eigen standaarden hiervoor te ontwikkelen.

Deseyns commentaar op het antwoord van de minister is niet mals: "U
brengt iets op de markt, maar u maakt zich blijkbaar niet zo veel
zorgen over de securityaspecten."

Het risico is vooral groot bij gevaarlijke software. Wie de eID op een
openbare of onbeveiligde computer gebruikt, kan zo makkelijk in de
problemen raken. Het is voor hackers een koud kunstje om via een
website malware te installeren. Zodra een gebruiker dan zijn eID in de
kaartlezer steekt, worden de gegevens doorgespeeld.

Een oplossing van het probleem is er momenteel niet. Daarom raadt
BelSec aan om voorzichtig om te springen met het online gebruik van de
identiteitskaart. Enkel professioneel beveiligde en gecontroleerde
computers zijn aanvaardbaar. Uw eID op een vreemde computer gebruiken
is dus volledig uit den boze.