Ο Jan Schejbal, ένας Γερμανός ειδικός ερευνητής στην ασφάλεια των υπολογιστών που ζει στη Σουηδία, την Τρίτη περιέγραψε έναν τρόπο που μπορεί κανείς να «σπάσει» το λογισμικό για την νέα ηλεκτρονική γερμανική ταυτότητα (δηλ. Γερμανική Κάρτα του Πολίτη). Η ομοσπονδιακή υπηρεσία αρμόδια για το πρόγραμμα σταμάτησε να επιτρέπει το κατέβασμά του προγράμματος την Τετάρτη από την ιστοσελίδα της.
Οι νέες κάρτες, οι οποίες είναι διαθέσιμες από την 1 Νοεμβρίου και θα αντικαταστήσουν σταδιακά τις τρέχουσες γερμανική ταυτότητες, (διαβάστε προηγούμενη ανάρτησή μας με τις ανησυχίες που προκαλεί στους Γερμανούς η ηλεκτρονική ταυτότητα: http://id-ont.blogspot.com/2010/11/reuters.html) περιέχουν ένα RFID ασύρματο τσιπ – του ίδιου τύπου που υπάρχει σε πολλές κάρτες ασφαλείας ή κάρτες πληρωμής. Το τσιπ αποθηκεύει ψηφιακές εκδόσεις της φωτογραφίας του κατόχου, το όνομα του κατόχου της κάρτας, διεύθυνση, ημερομηνία γέννησης, το ύψος, το μάτι και το χρώμα των μαλλιών και την υπηρεσία έκδοσης. (διαβάστε προηγούμενη ανάρτησή μας με το ρεπορτάζ της Deutsche Welle για την Γερμανική Κάρτα του Πολίτη: http://id-ont.blogspot.com/2010/10/deutsche-welle-chip.html )
Το υπουργείο Εσωτερικών και η Ομοσπονδιακή Υπηρεσία Πληροφοριών Ασφαλείας (BSI) ισχυρίστηκαν ότι οι κάρτες, θα βοηθήσουν την κυβέρνηση να παρέχει στον κάτοχό τους εύκολη στη χρήση ψηφιακή υπογραφή και άλλες κυβερνητικές υπηρεσίες, καθώς και προστασία από ηλεκτρονικές απάτες και phishing επιθέσεις (καταγραφή προσωπικών δεδομένων ένα αγνοία μας όταν επισκεπτόμαστε ιστοσελίδες). Οι Γερμανοί θα μπορούν επίσης να χρησιμοποιήσουν αυτές τις ταυτότητες αντί για διαβατήριο, όταν μετακινούνται εντός της Ευρωπαϊκής Ένωσης.
Πλαστογράφηση του διακομιστή
Για να είναι χρήσιμες στα άτομα, οι ψηφιακές πληροφορίες που γράφονται στις κάρτες πρέπει να μπορούν διαβαστούν με έναν «αναγνώστη καρτών» (card reader). Αυτό είναι το πρόγραμμα AusweisApp («ID App»), το λογισμικό που τρέχει ο αναγνώστης καρτών και το οποίο είναι προβληματικό, σύμφωνα με τον Schejbal.
Μετά τη λήψη της πρώτης έκδοσης του AusweisApp από μια ιστοσελίδα της Γερμανικής κυβέρνησης, παρατηρήθηκε ένα σημαντικό κενό ασφαλείας, όταν το πρόγραμμα ελέγχει για ενημερώσεις-νέες εκδόσεις. Το λογισμικό δεν επαληθεύει την προέλευση της νέας έκδοσης με πιστοποιητικό ασφαλείας (SSL), το οποίο σημαίνει ότι κάποιος μπορεί να «κοροϊδέψει» το πρόγραμμα κάτι το οποίο θεωρητικά θα μπορούσε να οδηγήσει στη λήψη κακόβουλου λογισμικού, αντί του σωστού.
«Η ηλεκτρονική ταυτότητα η ίδια μπορεί να έχει ένα αρκετά υψηλό επίπεδο ασφάλειας», δήλωσε ο Schejbal σε ένα e-mail στην Deutsche Welle. «Ωστόσο, αυτή η εγγύηση καθίσταται άχρηστη, εάν το πλαίσιο που χρησιμοποιείται για την πρόσβαση σε αυτό τον ασφαλή πυρήνα της ταυτότητας είναι ανασφαλές και επιτρέπει να θέτεται σε κίνδυνο η συνολική ασφάλεια.»
Αν η νέα ηλεκτρονική κάρτα ταυτότητας είχε ήδη χρησιμοποιηθεί ευρέως, το κενό ασφαλείας στην ενημέρωση θα ήταν σημαντικό, σύμφωνα με τον Karsten Nohl, έναν ανεξάρτητο εμπειρογνώμονα ασφαλείας με έδρα το Βερολίνο.
«Ευτυχώς, αυτό δεν συμβαίνει και το σφάλμα μπορεί να διορθωθεί σύντομα», είπε στην Deutsche Welle. «Αυτή η ευπάθεια είναι μια άλλη υπενθύμιση της πολυπλοκότητας του συστήματος ασφαλείας της ηλεκτρονικής ταυτότητας, το οποίο σημαίνει ότι όλα τα συστήματα δεν έχουν ελεγχθεί αυστηρά.»
Σε δήλωσή του στη γερμανική ιστοσελίδα Heise.de, το BSI δήλωσε ότι εξετάζει το θέμα των ενημερώσεων (νέων εκδόσεων). Θα αφαιρεθεί επίσης το λογισμικό από την ιστοσελίδα, για να σταματήσει η λήψη τους εσφαλμένου προγράμματος.
«Τα μέσα ενημέρωσης έχουν λάβει γνώση για τον ευάλωτο χαρακτήρα του προγράμματος AusweisApp του λογισμικού που απαιτείται για τη λειτουργία της eID (νέα ηλεκτρονικού τύπου ταυτότητας)» έγραψε. Το BSI δεν απάντησε στο αίτημα της Deutsche Welle για ένα σχόλιο. «Αν υπάρχει θέμα ευπάθειας στο λογισμικό, το BSI θα προσφέρει μια νέα έκδοση του λογισμικού χωρίς καθυστέρηση και θα ενημερώσει το κοινό σχετικά.»
Οι ψηφιακές ταυτότητες επεκτείνονται σε όλη την Ευρώπη
Οι ψηφιακές ταυτότητες έχουν αρχίσει και εξαπλώνονται σε ολόκληρη την ήπειρο τα τελευταία χρόνια. Η Εσθονία έχει ηλεκτρονική ταυτότητα εδώ και μια δεκαετία, η οποία προσφέρει με μια πληθώρα κυβερνητικών ηλεκτρονικών υπηρεσιών, καθώς και ψηφιακή υπογραφή. Το Βέλγιο, η Σουηδία, η Ισπανία, η Πορτογαλία έχουν ηλεκτρονικές ταυτότητες και υπάρχουν σχέδια να εκδοθούν στο Λουξεμβούργο και την Τσεχία.
Ενώ ο Schejbal πρόσθεσε ότι δεν είναι αντίθετος με την ιδέα της ηλεκτρονικής ταυτότητας, συμβούλευσε τους Γερμανούς να αποφύγουν τις ηλεκτρονικές κάρτες για όσο το δυνατόν περισσότερο.
«Δεν είναι ασφαλείς, και θα θέσουν τον χρήστη σε κίνδυνο», έγραψε. «Εάν η ηλεκτρονική ταυτότητα χρησιμοποιηθεί παράνομα από τρίτον, ο χρήστης θα μπλέξει και θα έχει μεγάλη δυσκολία να αποδείξει ότι δεν ήταν ο ίδιος που έκανε μια συναλλαγή.»
Προηγούμενες ατέλειες που έχουν ανακαλυφθεί σχετικά με την ηλεκτρονική ταυτότητα.
Η ανακάλυψη του Schejbal δεν είναι η πρώτη όσον αφορά τα κενά ασφαλείας βρέθηκαν στις νέες ηλεκτρονικές ταυτότητες. Τον Σεπτέμβριο, η γερμανική ομάδα των χάκερ Chaos Computer Club (CCC), έδειξε πως τα μέτρα ασφαλείας του αναγνώστη καρτών θα μπορούσαν να παρακαμφθούν.
Ενώ ο Schejbal πρόσθεσε ότι δεν είναι αντίθετος με την ιδέα της ηλεκτρονικής ταυτότητας, συμβούλευσε τους Γερμανούς να αποφύγουν τις ηλεκτρονικές κάρτες για όσο το δυνατόν περισσότερο.
«Δεν είναι ασφαλείς, και θα θέσουν τον χρήστη σε κίνδυνο», έγραψε. «Εάν η ηλεκτρονική ταυτότητα χρησιμοποιηθεί παράνομα από τρίτον, ο χρήστης θα μπλέξει και θα έχει μεγάλη δυσκολία να αποδείξει ότι δεν ήταν ο ίδιος που έκανε μια συναλλαγή.»
Προηγούμενες ατέλειες που έχουν ανακαλυφθεί σχετικά με την ηλεκτρονική ταυτότητα.
Η ανακάλυψη του Schejbal δεν είναι η πρώτη όσον αφορά τα κενά ασφαλείας βρέθηκαν στις νέες ηλεκτρονικές ταυτότητες. Τον Σεπτέμβριο, η γερμανική ομάδα των χάκερ Chaos Computer Club (CCC), έδειξε πως τα μέτρα ασφαλείας του αναγνώστη καρτών θα μπορούσαν να παρακαμφθούν.
Μετά την απόκτηση του αριθμού PIN της ταυτότητας, με τη χρήση ενός προγράμματος που καταγράφει τις πληκτρολογήσεις, οι hackers ήταν σε θέση να ξαναγράψουν όλες τις πληροφορίες σχετικά με την ταυτότητα. Οι αναγνώστες καρτών υπάρχουν σε μια ποικιλία μοντέλων, και η CCC χρησιμοποίησε το πιο συνηθισμένο μοντέλο.
Ερευνητές ασφαλείας έχουν αμφιβολίες
Ο Manuel Bach, ο ηλεκτρονικός διαχειριστής του έργου της ηλεκτρονικής ταυτότητας της BSI, απάντησε λέγοντας ότι οι Γερμανοί πρέπει να αναλάβουν την ευθύνη για την ασφάλεια των υπολογιστών τους και να εξασφαλίσουν ότι οι υπολογιστές τους παραμένουν χωρίς το κακόβουλο λογισμικό που απαιτείται για να κλέψουν κωδικούς PIN και άλλα προσωπικά δεδομένα.
«Το Γερμανικό δελτίο ταυτότητας δεν μπορεί να σας προστατεύσει από δούρειους ίππους, είναι ακριβώς ένα κομμάτι πλαστικό με μικροτσίπ στο εσωτερικό» (Διαβάστε προηγούμενη ανάρτησή μας: http://id-ont.blogspot.com/2010/10/rfid-chip.html), είπε στη Deutsche Welle σε συνέντευξή του τον περασμένο μήνα. «Εσείς ως χρήστης-πολίτης έχετε την ευθύνη να εξασφαλίσετε το σύστημά σας. Αν το κάνετε αυτό είστε πολύ ασφαλείς, ακόμη και με μια απλή συσκευή ανάγνωσης καρτών».
Αλλά η Constanze Kurz, εκπρόσωπος της CCC, δήλωσε ότι η κυβέρνηση δεν θα πρέπει να περιμένει από όλους τους Γερμανούς να είναι ειδικοί στην τεχνολογία.
«Αν προσποιούνται ότι όλοι οι πολίτες είναι πραγματικά άνετοι με τους υπολογιστές, και ότι μπορούν να διαχειρίζονται την ασφάλεια των συστημάτων τους, τότε είναι σίγουρα λάθος», είπε σε μια συνέντευξη με την Deutsche Welle. «Ο χάκερ θα επιτεθεί πάντα το πιο αδύναμο σημείο και το πιο αδύναμο σημείο είναι ο χρήστης.»
Συντάκτης: Cyrus Farivar
Επιμέλεια: Sinico Sean
0 σχόλια:
Δημοσίευση σχολίου