Μόλις μια ημέρα μετά την έκδοσή του, το λογισμικό που χρησιμοποιείται για να διαβαστούν τα νέα γερμανικά δελτία ταυτότητας... διαπιστώθηκε πως είναι ευάλωτο σε επιθέσεις από χάκερς.
Η Ομοσπονδιακή Υπηρεσία Ασφάλειας Πληροφοριών κατήργησε την επόμενη μέρα κιόλας συνδέσεις με το πρόγραμμα αυτό από την ιστοσελίδα της.
Ο Jan Schejbal, ειδικός ερευνητής στην ασφάλεια των υπολογιστών, την Τρίτη περιέγραψε έναν τρόπο που μπορεί κανείς να «σπάσει» το λογισμικό για την νέα ηλεκτρονική γερμανική ταυτότητα (δηλ. Γερμανική Κάρτα του Πολίτη).
Οι νέες κάρτες, οι οποίες είναι διαθέσιμες από την 1 Νοεμβρίου και θα αντικαταστήσουν σταδιακά τις τρέχουσες γερμανική ταυτότητες περιέχουν ένα RFID ασύρματο τσιπ που αποθηκεύει ψηφιακές εκδόσεις της φωτογραφίας του κατόχου, το όνομα του κατόχου της κάρτας, διεύθυνση, ημερομηνία γέννησης, το ύψος, το μάτι και το χρώμα των μαλλιών και την υπηρεσία έκδοσης.
Σημειώνεται ότι με τις κάρτες αυτές θα μπορούν επιπλέον οι Γερμανοί να ταξιδέψουν μέσα στην Ε.Ε.
Για να είναι χρήσιμες στα άτομα, οι ψηφιακές πληροφορίες που γράφονται στις κάρτες πρέπει να μπορούν διαβαστούν με έναν «αναγνώστη καρτών» (card reader). Αυτό ακριβώς το πρόγραμμα AusweisApp («ID App»), βρέθηκε προβληματικό, σύμφωνα με τον Schejbal.
Μετά τη λήψη της πρώτης έκδοσης του AusweisApp από μια ιστοσελίδα της Γερμανικής κυβέρνησης, παρατηρήθηκε ένα σημαντικό κενό ασφαλείας, όταν το πρόγραμμα ελέγχει για ενημερώσεις-νέες εκδόσεις. Το λογισμικό δεν επαληθεύει την προέλευση της νέας έκδοσης με πιστοποιητικό ασφαλείας (SSL), το οποίο σημαίνει ότι κάποιος μπορεί να «κοροϊδέψει» το πρόγραμμα κάτι το οποίο θεωρητικά θα μπορούσε να οδηγήσει στη λήψη κακόβουλου λογισμικού, αντί του σωστού.
«Η ηλεκτρονική ταυτότητα η ίδια μπορεί να έχει ένα αρκετά υψηλό επίπεδο ασφάλειας», δήλωσε ο Schejbal σε ένα e-mail στην Deutsche Welle. «Ωστόσο, αυτή η εγγύηση καθίσταται άχρηστη, εάν το πλαίσιο που χρησιμοποιείται για την πρόσβαση σε αυτό τον ασφαλή πυρήνα της ταυτότητας είναι ανασφαλές και επιτρέπει να θέτεται σε κίνδυνο η συνολική ασφάλεια.»
Αν η νέα ηλεκτρονική κάρτα ταυτότητας είχε ήδη χρησιμοποιηθεί ευρέως, το κενό ασφαλείας στην ενημέρωση θα ήταν σημαντικό, σύμφωνα με τον Karsten Nohl, έναν ανεξάρτητο εμπειρογνώμονα ασφαλείας με έδρα το Βερολίνο.
«Ευτυχώς, αυτό δεν συμβαίνει και το σφάλμα μπορεί να διορθωθεί σύντομα», είπε στην Deutsche Welle. «Αυτή η ευπάθεια είναι μια άλλη υπενθύμιση της πολυπλοκότητας του συστήματος ασφαλείας της ηλεκτρονικής ταυτότητας, το οποίο σημαίνει ότι όλα τα συστήματα δεν έχουν ελεγχθεί αυστηρά.»
Οι ψηφιακές ταυτότητες κυκλοφορούν σε διάφορες χώρες τα τελευταία χρόνια. Η Εσθονία έχει ηλεκτρονική ταυτότητα εδώ και μια δεκαετία, η οποία προσφέρει με μια πληθώρα κυβερνητικών ηλεκτρονικών υπηρεσιών, καθώς και ψηφιακή υπογραφή. Το Βέλγιο, η Σουηδία, η Ισπανία, η Πορτογαλία έχουν ηλεκτρονικές ταυτότητες και υπάρχουν σχέδια να εκδοθούν στο Λουξεμβούργο και την Τσεχία.
Ο Schejbal αν και δεν είναι αντίθετος με την ιδέα της ηλεκτρονικής ταυτότητας, συμβούλευσε τους Γερμανούς να αποφύγουν τις ηλεκτρονικές κάρτες για όσο το δυνατόν περισσότερο.
Η ανακάλυψη του Schejbal δεν είναι η πρώτη όσον αφορά τα κενά ασφαλείας βρέθηκαν στις νέες ηλεκτρονικές ταυτότητες. Τον Σεπτέμβριο, η γερμανική ομάδα των χάκερ Chaos Computer Club (CCC), έδειξε πως τα μέτρα ασφαλείας του αναγνώστη καρτών θα μπορούσαν να παρακαμφθούν.
Ο Manuel Bach, ο ηλεκτρονικός διαχειριστής του έργου της ηλεκτρονικής ταυτότητας της BSI, υποστήριξε ότι οι Γερμανοί πρέπει να αναλάβουν την ευθύνη για την ασφάλεια των υπολογιστών τους και να εξασφαλίσουν ότι οι υπολογιστές τους παραμένουν χωρίς το κακόβουλο λογισμικό που απαιτείται για να κλέψουν κωδικούς PIN και άλλα προσωπικά δεδομένα.
Από την άλλη η Constanze Kurz, εκπρόσωπος της CCC, δήλωσε ότι η κυβέρνηση δεν θα πρέπει να περιμένει από όλους τους Γερμανούς να είναι ειδικοί στην τεχνολογία και στους ηλεκτρονικούς υπολογιστές.
Η Ομοσπονδιακή Υπηρεσία Ασφάλειας Πληροφοριών κατήργησε την επόμενη μέρα κιόλας συνδέσεις με το πρόγραμμα αυτό από την ιστοσελίδα της.
Ο Jan Schejbal, ειδικός ερευνητής στην ασφάλεια των υπολογιστών, την Τρίτη περιέγραψε έναν τρόπο που μπορεί κανείς να «σπάσει» το λογισμικό για την νέα ηλεκτρονική γερμανική ταυτότητα (δηλ. Γερμανική Κάρτα του Πολίτη).
Οι νέες κάρτες, οι οποίες είναι διαθέσιμες από την 1 Νοεμβρίου και θα αντικαταστήσουν σταδιακά τις τρέχουσες γερμανική ταυτότητες περιέχουν ένα RFID ασύρματο τσιπ που αποθηκεύει ψηφιακές εκδόσεις της φωτογραφίας του κατόχου, το όνομα του κατόχου της κάρτας, διεύθυνση, ημερομηνία γέννησης, το ύψος, το μάτι και το χρώμα των μαλλιών και την υπηρεσία έκδοσης.
Σημειώνεται ότι με τις κάρτες αυτές θα μπορούν επιπλέον οι Γερμανοί να ταξιδέψουν μέσα στην Ε.Ε.
Για να είναι χρήσιμες στα άτομα, οι ψηφιακές πληροφορίες που γράφονται στις κάρτες πρέπει να μπορούν διαβαστούν με έναν «αναγνώστη καρτών» (card reader). Αυτό ακριβώς το πρόγραμμα AusweisApp («ID App»), βρέθηκε προβληματικό, σύμφωνα με τον Schejbal.
Μετά τη λήψη της πρώτης έκδοσης του AusweisApp από μια ιστοσελίδα της Γερμανικής κυβέρνησης, παρατηρήθηκε ένα σημαντικό κενό ασφαλείας, όταν το πρόγραμμα ελέγχει για ενημερώσεις-νέες εκδόσεις. Το λογισμικό δεν επαληθεύει την προέλευση της νέας έκδοσης με πιστοποιητικό ασφαλείας (SSL), το οποίο σημαίνει ότι κάποιος μπορεί να «κοροϊδέψει» το πρόγραμμα κάτι το οποίο θεωρητικά θα μπορούσε να οδηγήσει στη λήψη κακόβουλου λογισμικού, αντί του σωστού.
«Η ηλεκτρονική ταυτότητα η ίδια μπορεί να έχει ένα αρκετά υψηλό επίπεδο ασφάλειας», δήλωσε ο Schejbal σε ένα e-mail στην Deutsche Welle. «Ωστόσο, αυτή η εγγύηση καθίσταται άχρηστη, εάν το πλαίσιο που χρησιμοποιείται για την πρόσβαση σε αυτό τον ασφαλή πυρήνα της ταυτότητας είναι ανασφαλές και επιτρέπει να θέτεται σε κίνδυνο η συνολική ασφάλεια.»
Αν η νέα ηλεκτρονική κάρτα ταυτότητας είχε ήδη χρησιμοποιηθεί ευρέως, το κενό ασφαλείας στην ενημέρωση θα ήταν σημαντικό, σύμφωνα με τον Karsten Nohl, έναν ανεξάρτητο εμπειρογνώμονα ασφαλείας με έδρα το Βερολίνο.
«Ευτυχώς, αυτό δεν συμβαίνει και το σφάλμα μπορεί να διορθωθεί σύντομα», είπε στην Deutsche Welle. «Αυτή η ευπάθεια είναι μια άλλη υπενθύμιση της πολυπλοκότητας του συστήματος ασφαλείας της ηλεκτρονικής ταυτότητας, το οποίο σημαίνει ότι όλα τα συστήματα δεν έχουν ελεγχθεί αυστηρά.»
Οι ψηφιακές ταυτότητες κυκλοφορούν σε διάφορες χώρες τα τελευταία χρόνια. Η Εσθονία έχει ηλεκτρονική ταυτότητα εδώ και μια δεκαετία, η οποία προσφέρει με μια πληθώρα κυβερνητικών ηλεκτρονικών υπηρεσιών, καθώς και ψηφιακή υπογραφή. Το Βέλγιο, η Σουηδία, η Ισπανία, η Πορτογαλία έχουν ηλεκτρονικές ταυτότητες και υπάρχουν σχέδια να εκδοθούν στο Λουξεμβούργο και την Τσεχία.
Ο Schejbal αν και δεν είναι αντίθετος με την ιδέα της ηλεκτρονικής ταυτότητας, συμβούλευσε τους Γερμανούς να αποφύγουν τις ηλεκτρονικές κάρτες για όσο το δυνατόν περισσότερο.
Η ανακάλυψη του Schejbal δεν είναι η πρώτη όσον αφορά τα κενά ασφαλείας βρέθηκαν στις νέες ηλεκτρονικές ταυτότητες. Τον Σεπτέμβριο, η γερμανική ομάδα των χάκερ Chaos Computer Club (CCC), έδειξε πως τα μέτρα ασφαλείας του αναγνώστη καρτών θα μπορούσαν να παρακαμφθούν.
Ο Manuel Bach, ο ηλεκτρονικός διαχειριστής του έργου της ηλεκτρονικής ταυτότητας της BSI, υποστήριξε ότι οι Γερμανοί πρέπει να αναλάβουν την ευθύνη για την ασφάλεια των υπολογιστών τους και να εξασφαλίσουν ότι οι υπολογιστές τους παραμένουν χωρίς το κακόβουλο λογισμικό που απαιτείται για να κλέψουν κωδικούς PIN και άλλα προσωπικά δεδομένα.
Από την άλλη η Constanze Kurz, εκπρόσωπος της CCC, δήλωσε ότι η κυβέρνηση δεν θα πρέπει να περιμένει από όλους τους Γερμανούς να είναι ειδικοί στην τεχνολογία και στους ηλεκτρονικούς υπολογιστές.
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου