Μόλις μία ἡμέρα μετὰ τὴν ἔκδοσή του, τὸ λογισμικὸ ποὺ χρησιμοποιεῖται γιὰ νὰ διαβαστοῦν τὰ νέα γερμανικὰ δελτία ταυτότητας διαπιστώθηκε πὼς εἶναι εὐάλωτο σὲ ἐπιθέσεις ἀπὸ χάκερς. Ἡ Ὁμοσπονδιακὴ Ὑπηρεσία Ἀσφάλειας Πληροφοριῶν κατήργησε τὴν ἑπόμενη μέρα κιόλας συνδέσεις μὲ τὸ πρόγραμμα αὐτὸ ἀπὸ τὴν ἰστοσελίδα της.
Ο Jan Schejbal, εἰδικὸς ἐρευνητὴς στὴν ἀσφάλεια τῶν ὑπολογιστῶν, τὴν Τρίτη περιέγραψε ἕναν τρόπο ποὺ μπορεῖ κανεὶς νὰ «σπάσει» τὸ λογισμικὸ γιὰ τὴν νέα ἠλεκτρονικὴ γερμανικὴ ταυτότητα (δήλ. Γερμανικὴ Κάρτα τοῦ Πολίτη).
Οἱ νέες κάρτες, οἱ ὁποῖες εἶναι διαθέσιμες ἀπὸ τὴν 1 Νοεμβρίου καὶ θὰ ἀντικαταστήσουν σταδιακὰ τὶς τρέχουσες γερμανικὴ ταυτότητες περιέχουν ἕνα RFID ἀσύρματο τσὶπ ποὺ ἀποθηκεύει ψηφιακὲς ἐκδόσεις τῆς φωτογραφίας τοῦ κατόχου, τὸ ὄνομα τοῦ κατόχου της κάρτας, διεύθυνση, ἡμερομηνία γέννησης, τὸ ὕψος, τὸ μάτι καὶ τὸ χρῶμα τῶν μαλλιῶν καὶ τὴν ὑπηρεσία ἔκδοσης.
Σημειώνεται ὅτι μὲ τὶς κάρτες αὐτὲς θὰ μποροῦν ἐπιπλέον οἱ Γερμανοὶ νὰ ταξιδέψουν μέσα στὴν Ε.Ε.
Γιὰ νὰ εἶναι χρήσιμες στὰ ἄτομα, οἱ ψηφιακὲς πληροφορίες ποὺ γράφονται στὶς κάρτες πρέπει νὰ μποροῦν διαβαστοῦν μὲ ἕναν «ἀναγνώστη καρτῶν» (card reader). Αὐτὸ ἀκριβῶς τὸ πρόγραμμα AusweisApp («ID App»), βρέθηκε προβληματικό, σύμφωνα μὲ τὸν Schejbal.
Μετὰ τὴ λήψη τῆς πρώτης ἔκδοσης τοῦ AusweisApp ἀπὸ μία ἰστοσελίδα τῆς Γερμανικῆς κυβέρνησης, παρατηρήθηκε ἕνα σημαντικὸ κενὸ ἀσφαλείας, ὅταν τὸ πρόγραμμα ἐλέγχει γιὰ ἐνημερώσεις-νέες ἐκδόσεις. Τὸ λογισμικὸ δὲν....
ἐπαληθεύει τὴν προέλευση τῆς νέας ἔκδοσης μὲ πιστοποιητικὸ ἀσφαλείας (SSL), τὸ ὁποῖο σημαίνει ὅτι κάποιος μπορεῖ νὰ «κοροϊδέψει» τὸ πρόγραμμα κάτι τὸ ὁποῖο θεωρητικὰ θὰ μποροῦσε νὰ ὁδηγήσει στὴ λήψη κακόβουλου λογισμικοῦ, ἀντὶ τοῦ σωστοῦ.
ἐπαληθεύει τὴν προέλευση τῆς νέας ἔκδοσης μὲ πιστοποιητικὸ ἀσφαλείας (SSL), τὸ ὁποῖο σημαίνει ὅτι κάποιος μπορεῖ νὰ «κοροϊδέψει» τὸ πρόγραμμα κάτι τὸ ὁποῖο θεωρητικὰ θὰ μποροῦσε νὰ ὁδηγήσει στὴ λήψη κακόβουλου λογισμικοῦ, ἀντὶ τοῦ σωστοῦ.
«Ἡ ἠλεκτρονικὴ ταυτότητα ἡ ἴδια μπορεῖ νὰ ἔχει ἕνα ἀρκετὰ ὑψηλὸ ἐπίπεδο ἀσφάλειας», δήλωσε ὁ Schejbal σὲ ἕνα e-mail στὴν Deutsche Welle. «Ὡστόσο, αὐτὴ ἡ ἐγγύηση καθίσταται ἄχρηστη, ἐὰν τὸ πλαίσιο ποὺ χρησιμοποιεῖται γιὰ τὴν πρόσβαση σὲ αὐτὸ τὸν ἀσφαλῆ πυρήνα τῆς ταυτότητας εἶναι ἀνασφαλὲς καὶ ἐπιτρέπει νὰ θέτεται σὲ κίνδυνο ἡ συνολικὴ ἀσφάλεια.»
Ἂν ἡ νέα ἠλεκτρονικὴ κάρτα ταυτότητας εἶχε ἤδη χρησιμοποιηθεῖ εὐρέως, τὸ κενὸ ἀσφαλείας στὴν ἐνημέρωση θὰ ἦταν σημαντικό, σύμφωνα μὲ τὸν Karsten Nohl, ἕναν ἀνεξάρτητο ἐμπειρογνώμονα ἀσφαλείας μὲ ἕδρα τὸ Βερολίνο.
«Εὐτυχῶς, αὐτὸ δὲν συμβαίνει καὶ τὸ σφάλμα μπορεῖ νὰ διορθωθεῖ σύντομα», εἶπε στὴν Deutsche Welle. «Αὐτὴ ἡ εὐπάθεια εἶναι μία ἄλλη ὑπενθύμιση τῆς πολυπλοκότητας τοῦ συστήματος ἀσφαλείας τῆς ἠλεκτρονικῆς ταυτότητας, τὸ ὁποῖο σημαίνει ὅτι ὅλα τὰ συστήματα δὲν ἔχουν ἐλεγχθεῖ αὐστηρά.»
Οἱ ψηφιακὲς ταυτότητες κυκλοφοροῦν σὲ διάφορες χῶρες τὰ τελευταία χρόνια. Ἡ Ἐσθονία ἔχει ἠλεκτρονικὴ ταυτότητα ἐδῶ καὶ μία δεκαετία, ἡ ὁποία προσφέρει μὲ μία πληθώρα κυβερνητικῶν ἠλεκτρονικῶν ὑπηρεσιῶν, καθὼς καὶ ψηφιακὴ ὑπογραφή. Τὸ Βέλγιο, ἡ Σουηδία, ἡ Ἱσπανία, ἡ Πορτογαλία ἔχουν ἠλεκτρονικὲς ταυτότητες καὶ ὑπάρχουν σχέδια νὰ ἐκδοθοῦν στὸ Λουξεμβοῦργο καὶ τὴν Τσεχία.
Ο Schejbal ἂν καὶ δὲν εἶναι ἀντίθετος μὲ τὴν ἰδέα τῆς ἠλεκτρονικῆς ταυτότητας, συμβούλευσε τοὺς Γερμανοὺς νὰ ἀποφύγουν τὶς ἠλεκτρονικὲς κάρτες γιὰ ὅσο τὸ δυνατὸν περισσότερο.
Ἡ ἀνακάλυψη τοῦ Schejbal δὲν εἶναι ἡ πρώτη ὅσον ἀφορᾶ τὰ κενὰ ἀσφαλείας βρέθηκαν στὶς νέες ἠλεκτρονικὲς ταυτότητες. Τὸν Σεπτέμβριο, ἡ γερμανικὴ ὁμάδα τῶν χάκερ Chaos Computer Club (CCC), ἔδειξε πὼς τὰ μέτρα ἀσφαλείας τοῦ ἀναγνώστη καρτῶν θὰ μποροῦσαν νὰ παρακαμφθοῦν.
Ο Manuel Bach, ὁ ἠλεκτρονικὸς διαχειριστὴς τοῦ ἔργου τῆς ἠλεκτρονικῆς ταυτότητας τῆς BSI, ὑποστήριξε ὅτι οἱ Γερμανοὶ πρέπει νὰ ἀναλάβουν τὴν εὐθύνη γιὰ τὴν ἀσφάλεια τῶν ὑπολογιστῶν τους καὶ νὰ ἐξασφαλίσουν ὅτι οἱ ὑπολογιστὲς τοὺς παραμένουν χωρὶς τὸ κακόβουλο λογισμικὸ ποὺ ἀπαιτεῖται γιὰ νὰ κλέψουν κωδικοὺς PIN καὶ ἄλλα προσωπικὰ δεδομένα.
Ἀπὸ τὴν ἄλλη ἡ Constanze Kurz, ἐκπρόσωπος τῆς CCC, δήλωσε ὅτι ἡ κυβέρνηση δὲν θὰ πρέπει νὰ περιμένει ἀπὸ ὅλους τους Γερμανοὺς νὰ εἶναι εἰδικοὶ στὴν τεχνολογία καὶ στοὺς ἠλεκτρονικοὺς ὑπολογιστές.
newsbeast.gr
newsbeast.gr
Σοβαρό το Θέμα!!!
ΑπάντησηΔιαγραφή