Τετάρτη 30 Μαΐου 2018

0 Α(να)σφάλεια Ηλεκτρονικών Ταυτοτήτων: Χάος στην Ισπανία με τα ελαττώματα ασφαλείας του τσιπ.



Όταν οι ερευνητές ασφάλειας ανακάλυψαν τον περασμένο μήνα ότι το ασφαλές υλικό που κατασκευάστηκε από την Infineon Technologies της Γερμανίας δεν ήταν τελικά τόσο ασφαλές, ήταν σαφές ότι θα υπάρξουν σημαντικές επιπτώσεις.



Υπάρχουν πολλές smartcards και άλλες συσκευές εκεί έξω, που έχουν τσιπ Infineon μέσα τους, και το ελάττωμα "ROCA" στον βασικό αλγόριθμο γενιάς ζεύγους του Infineon έδωσε τη δυνατότητα σε κάποιον να ανακαλύψει το ιδιωτικό κλειδί ενός στόχου, απλώς γνωρίζοντας το δημόσιο κλειδί του.

Τώρα, σε μια ανάλογη περίπτωση με την πρόσφατη εμπειρία της Εσθονίας, η Ισπανία φαίνεται να έχει μεγαλύτερη - και αναμφισβήτητα πιο χαοτική - δυσκολία στη διαχείρηση των συνεπριών για τις  Έξπυπνες Κάρτες/Εθνικές Ταυτότητές της.

Το μεγάλο ελάττωμα ασφαλείας της Εσθονίας επηρέασε μόνο περίπου 760.000 Κάρτες, αν και οι Εσθονοί χρησιμοποιούν πραγματικά τις Κάρτες τους για μια μεγάλη ποικιλία δημόσιων και ιδιωτικών υπηρεσιών.

Σε αντίθεση με αυτό το ποσοστό, στην Ισπανία υπάρχουν περίπου 60 εκατομμύρια έξυπνες Κάρτες/Ταυτότητες. Ωστόσο, σύμφωνα με ένα άρθρο της El País, οι Ισπανοί χρησιμοποιούσαν τις δικές τους μόνο σε ποσοστό 0,02 % σε εφαρμογές δημοσίων υπηρεσιών, όταν έγινε η έρευνα πριν μερικά χρόνια.

Ο Dan Cvrcek είναι ο διευθύνων σύμβουλος της εταιρίας ασφαλείας Enigma Bridge, η οποία ιδρύθηκε από ερευνητές που βρήκαν το ελάττωμα της ROCA.

Είπε στον ZDNet ότι η εκμετάλλευση του ελάττωματος θα μπορούσε να επιτρέψει σε επιτιθέμενους να αναστρέψουν ή να ακυρώσουν τα συμβόλαια που υπέγραψαν οι άνθρωποι, εν μέρει επειδή οι Ισπανοί δεν χρησιμοποιούν χρονικά σήματα για πολύ σημαντικές υπογραφές.

"Εξακολουθώ να μην νομίζω ότι μπορείς να κάνεις μια μεγάλη επίθεση που θα στοχεύει πολλούς ανθρώπους," είπε ο Cvrcek.

Ωστόσο, πρόσθεσε, το κόστος μιας μεμονωμένης επίθεσης "μειώθηκε ραγδαία". Η υπόθεση ήταν ότι η επίθεση κοστίζει μεταξύ $20.000 και $40.000, αλλά τώρα κοστίζει "ρεαλιστικά $2.000".

Κάθε Κάρτα/Ταυτότητα, γνωστή ως DNIe, διαθέτει ένα τσιπ που περιέχει δύο πιστοποιητικά, ένα για ταυτοποίηση και ένα για την ηλεκτρονική υπογραφή πράξεων.

Σύμφωνα με τον El Diario, οι αρχές αντέδρασαν στη αποκάλυψη της τρωτόττηας του τσίπ Infineon τον Οκτώβριο, ανακαλώντας, στις 6 Νοεμβρίου, όλα τα πιστοποιητικά που εκδόθηκαν από τον Απρίλιο του 2015.

Επιπλέον, οι αρχές έχουν απαγορεύσει στους πολίτες να υπογράφουν (ηλεκτρονικά) έγγραφα με την Κάρτα/Ταυτότητα στα τερματικά αυτοεξυπηρέτησης που βρίσκονται σε πολλούς αστυνομικούς σταθμούς.

Αυτή η απόφαση επηρεάζει κάθε Κάρτα/Ταυτότητα, όχι μόνο εκείνες που έχουν το ελάττωμα. Ωστόσο, οι άνθρωποι μπορούν ακόμα να υπογράψουν ψηφιακά έγγραφα online, χρησιμοποιώντας έναν μικρό αναγνώστη καρτών που συνδέεται με τους υπολογιστές τους.

Οι αναγνώστες χρειάζονται για την αναβάθμιση των Καρτών/Ταυτοτήτων που υπέστησαν τη ζημιά. Ωστόσο, δεν υπάρχουν ακόμα ενδείξεις για το πότε θα ενημερωθούν οι Κάρτες/Ταυτότητες που υπέστησαν τη ζημιά. Πράγματι, δεν φαίνεται να υπάρχουν πολλές επίσημες πληροφορίες, κάτι που δεν έχει περάσει απαρατήρητο στον ισπανικό τεχνολογικό τύπο.

"Ούτε η αστυνομία ούτε άλλοι δημόσιοι φορείς έχουν δώσει περισσότερες πληροφορίες μέσω των λογαριασμών των κοινωνικών μέσων ενημέρωσης σχετικά με τον αντίκτυπο της ευπάθειας και τον τρόπο δράσης του πολίτη σε περίπτωση που έχει επηρεαστεί από τη ζημιά", δήλωσε ο Xataka.

Τουλάχιστον, η Izenpe, η Βασκική αρχή πιστοποίησης, η οποία έχει ανακαλέσει 30.000 πιστοποιητικά, έχει δώσει πληροφορίες για τον τρόπο αντικατάστασής τους, πρόσθεσε το blog.

Εν μέσω αυτού του χάους, φαίνεται επίσης ότι ορισμένοι άνθρωποι με πρόσφατα εκδοθείσες κάρτες DNIe εξακολουθούν να μπορούν να τις χρησιμοποιήσουν, παρά την υποτιθέμενη ανάκληση των πιστοποιητικών τους. "Δεν με πειράζει αν συνεχίσει έτσι μέχρι να υπάρξουν νέα πιστοποιητικά", τουιτάρισε ένας χρήστης.

Ο Toomas Ilves, πρώην πρόεδρος της Εσθονίας, δήλωσε νωρίτερα αυτή την εβδομάδα ότι πίστευε ότι εκατομμύρια άνθρωποι σε διάφορες χώρες, έχουν πληγεί από το ελάττωμα της ROCA, αλλά οι αρχές τους παρέμειναν «σιώτησαν».

0 σχόλια:

Δημοσίευση σχολίου