Ὅταν οἱ ἐρευνητές ἀσφάλειας ἀνακάλυψαν τόν περασμένο μήνα ὅτι
τό ἀσφαλές ὑλικό πού κατασκευάστηκε ἀπό τήν Infineon Technologies τῆς Γερμανίας
δέν ἦταν τελικά τόσο ἀσφαλές, ἦταν σαφές ὅτι θά ὑπάρξουν σημαντικές ἐπιπτώσεις. Ὑπάρχουν πολλές smartcards καί ἄλλες συσκευές ἐκεῖ ἔξω, πού ἔχουν
τσίπ Infineon μέσα τους, καί τό ἐλάττωμα "ROCA" στόν βασικό ἀλγόριθμο
γενιᾶς ζεύγους τοῦ Infineon ἔδωσε τή δυνατότητα σέ κάποιον νά ἀνακαλύψει τό ἰδιωτικό
κλειδί ἑνός στόχου, ἁπλῶς γνωρίζοντας τό δημόσιο κλειδί του.
Τώρα, σέ μία ἀνάλογη περίπτωση μέ τήν πρόσφατη ἐμπειρία τῆς Ἐσθονίας,
ἡ Ἱσπανία φαίνεται νά ἔχει μεγαλύτερη - καί ἀναμφισβήτητα πιό χαοτική -
δυσκολία στή διαχείρηση τῶν συνεπειῶν γιά τίς
Ἔξυπνες Κάρτες/Ἐθνικές Ταυτότητές της.
Τό μεγάλο ἐλάττωμα ἀσφαλείας τῆς...
Ἐσθονίας ἐπηρέασε μόνο
περίπου 760.000 Κάρτες, ἄν καί οἱ Ἐσθονοί χρησιμοποιοῦν πραγματικά τίς Κάρτες
τους γιά μία μεγάλη ποικιλία δημόσιων καί ἰδιωτικῶν ὑπηρεσιῶν.
Σέ ἀντίθεση μέ αὐτό τό ποσοστό, στήν Ἱσπανία ὑπάρχουν
περίπου 60 ἑκατομμύρια ἔξυπνες Κάρτες/Ταυτότητες. Ὡστόσο, σύμφωνα μέ ἕνα ἄρθρο
τῆς El Pais, οἱ Ἰσπανοί χρησιμοποιοῦσαν τίς δικές τους μόνο σέ ποσοστό 0,02 %
σέ ἐφαρμογές δημοσίων ὑπηρεσιῶν, ὅταν ἔγινε ἡ ἔρευνα πρίν μερικά χρόνια.
Ο Dan Cvrcek εἶναι ὁ διευθύνων σύμβουλος τῆς ἐταιρίας ἀσφαλείας
Enigma Bridge, ἡ ὁποία ἱδρύθηκε ἀπό ἐρευνητές πού βρῆκαν τό ἐλάττωμα τῆς ROCA.
Εἶπε στόν ZDNet ὅτι ἡ ἐκμετάλλευση τοῦ ἐλαττώματος θά μποροῦσε
νά ἐπιτρέψει σέ ἐπιτιθέμενους νά ἀναστρέψουν ἤ νά ἀκυρώσουν τά συμβόλαια πού ὑπέγραψαν
οἱ ἄνθρωποι, ἐν μέρει ἐπειδή οἱ Ἰσπανοί δέν χρησιμοποιοῦν χρονικά σήματα γιά
πολύ σημαντικές ὑπογραφές.
"Ἐξακολουθῶ νά μήν νομίζω ὅτι μπορεῖς νά κάνεις μία
μεγάλη ἐπίθεση πού θά στοχεύει πολλούς ἀνθρώπους," εἶπε ὁ Cvrcek.
Ὡστόσο, πρόσθεσε, τό κόστος μίας μεμονωμένης ἐπίθεσης
"μειώθηκε ραγδαία". Ἡ ὑπόθεση ἦταν ὅτι ἡ ἐπίθεση κοστίζει μεταξύ
$20.000 καί $40.000, ἀλλά τώρα κοστίζει "ρεαλιστικά $2.000".
Κάθε Κάρτα/Ταυτότητα, γνωστή ὡς DNIe, διαθέτει ἕνα τσίπ πού
περιέχει δύο πιστοποιητικά, ἕνα γιά ταυτοποίηση καί ἕνα γιά τήν ἠλεκτρονική ὑπογραφή
πράξεων.
Σύμφωνα μέ τόν El Diario, οἱ ἀρχές ἀντέδρασαν στή ἀποκάλυψη
τῆς τρωτόττηας τοῦ τσίπ Infineon τόν Ὀκτώβριο, ἀνακαλώντας, στίς 6 Νοεμβρίου, ὅλα
τά πιστοποιητικά πού ἐκδόθηκαν ἀπό τόν Ἀπρίλιο τοῦ 2015.
Ἐπιπλέον, οἱ ἀρχές ἔχουν ἀπαγορεύσει στούς πολίτες νά ὑπογράφουν
(ἠλεκτρονικά) ἔγγραφα μέ τήν Κάρτα/Ταυτότητα στά τερματικά αὐτοεξυπηρέτησης πού
βρίσκονται σέ πολλούς ἀστυνομικούς σταθμούς.
Αὐτή ἡ ἀπόφαση ἐπηρεάζει κάθε Κάρτα/Ταυτότητα, ὄχι μόνο ἐκεῖνες
πού ἔχουν τό ἐλάττωμα. Ὡστόσο, οἱ ἄνθρωποι μποροῦν ἀκόμα νά ὑπογράψουν ψηφιακά ἔγγραφα
online, χρησιμοποιώντας ἕναν μικρό ἀναγνώστη καρτῶν πού συνδέεται μέ τούς ὑπολογιστές
τους.
Οἱ ἀναγνῶστες χρειάζονται γιά τήν ἀναβάθμιση τῶν Καρτῶν/Ταυτοτήτων
πού ὑπέστησαν τή ζημιά. Ὡστόσο, δέν ὑπάρχουν ἀκόμα ἐνδείξεις γιά τό πότε θά ἐνημερωθοῦν
οἱ Κάρτες/Ταυτότητες πού ὑπέστησαν τή ζημιά. Πράγματι, δέν φαίνεται νά ὑπάρχουν
πολλές ἐπίσημες πληροφορίες, κάτι πού δέν ἔχει περάσει ἀπαρατήρητο στόν ἱσπανικό
τεχνολογικό τύπο.
"Οὔτε ἡ ἀστυνομία οὔτε ἄλλοι δημόσιοι φορεῖς ἔχουν
δώσει περισσότερες πληροφορίες μέσω τῶν λογαριασμῶν τῶν κοινωνικῶν μέσων ἐνημέρωσης
σχετικά μέ τόν ἀντίκτυπο τῆς εὐπάθειας καί τόν τρόπο δράσης τοῦ πολίτη σέ
περίπτωση πού ἔχει ἐπηρεαστεῖ ἀπό τή ζημιά", δήλωσε ὁ Xataka.
Τουλάχιστον, ἡ Izenpe, ἡ Βασκική ἀρχή πιστοποίησης, ἡ ὁποία ἔχει
ἀνακαλέσει 30.000 πιστοποιητικά, ἔχει δώσει πληροφορίες γιά τόν τρόπο ἀντικατάστασής
τους, πρόσθεσε τό blog.
Ἐν μέσω αὐτοῦ του χάους, φαίνεται ἐπίσης ὅτι ὁρισμένοι ἄνθρωποι
μέ πρόσφατα ἐκδοθεῖσες κάρτες DNIe ἐξακολουθοῦν νά μποροῦν νά τίς
χρησιμοποιήσουν, παρά τήν ὑποτιθέμενη ἀνάκληση τῶν πιστοποιητικῶν τους.
"Δέν μέ πειράζει ἄν συνεχίσει ἔτσι μέχρι νά ὑπάρξουν νέα
πιστοποιητικά", τουιτάρισε ἕνας χρήστης.
Ο Toomas Ilves, πρώην πρόεδρος τῆς Ἐσθονίας, δήλωσε νωρίτερα
αὐτή τήν ἑβδομάδα ὅτι πίστευε ὅτι ἑκατομμύρια ἄνθρωποι σέ διάφορες χῶρες, ἔχουν
πληγεῖ ἀπό τό ἐλάττωμα τῆς ROCA, ἀλλά οἱ ἀρχές τούς «σιώτησαν».
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου