Παρασκευή 20 Απριλίου 2012

Παραβιάστηκε (χακαρίστηκε) για δεύτερη φορά, η Αυστριακή Κάρτα του Πολίτη.


Βρίσκουμε ευκαιρία από το «Η ψηφιακή υπογραφή είναι νομικώς ισοδύναμη με μια υπογραφή σε χαρτί.» 
Είχαμε ενημερώσει από τις Αναβάσεις (και ξαναθυμίζουμε) όταν ψηφίστηκε το έκτρωμα του νόμου της εικαζόμενης συναίνεσης ότι υπάρχει μια απάνθρωπη παγίδα, την είχαμε εξηγήσει έτσι ώστε ακόμη και αυτοί που βλέπουν θετικά τις κάθε λογής κάρτες να καταλάβουν πόσο απάνθρωπη και αντίχριστη μπορεί να γίνει η ηλεκτρονική διακυβέρνηση.
Όταν κάποιος δεν θέλει να γίνει δωρητής οργάνων στέλνει (σήμερα) έγγραφο, αύριο με ψηφιακή υπογραφή μέσω της Κάρτας Πολίτη, ή της Κάρτας Υγείας, με βάση την οποία αρνήται να γίνει δωρητής οργάνων ο ίδιος ή τα ανήλικα πρόσωπα της οικογένειά του.
Ο νόμος λέει για την ανάκληση της πρώτης απόφασης: «Η ανάκληση γίνεται με νεότερη δήλωση ανάκλησης, η οποία αποστέλλεται ομοίως στον Εθνικό Οργανισμό Μεταμοσχεύσεων. Η αρχική δήλωση διαγράφεται από το αρχείο και θεωρείται ως μη γενόμενη.»


Με απλά λόγια όπως θα δούμε στην σημερινή είδηση, όταν κάποιος αποκτά τον έλεγχο της Κάρτας, μπορεί να αποστείλλει ψευδώς στον οργανισμό Μεταμοσχεύσεων με την ψηφιακή υπογραφή μας, την αλλαγή της θέσεώς μας ή των ανηλίκων της οικογενείας μας, και αυτόματα διαγράφεται από το ιστορικό η προηγούμενη θέση μας, έτσι ώστε να μην μπορούμε νομικά ή δικαστικά να σταματήσουμε την σφαγή των ανθρώπων μας, αφού θα φαίνεται στο σύστημα ότι συναινούμε στην δωρεά.
Έχουν ποιμαντική και ανθρώπινη ευθύνη ιδικά όσοι εκ των ανθρώπων της Εκκλησίας δεν κατανοούν τι σημαίνει Ηλεκτρονική Διακυβέρνηση ή οποία εκτελεί τις προσταγές και τις εντολές της Παγκόσμια (δια)Κυβέρνησης. Ήδη η πατρίδα μας έχει πάρει πικρή πρόγευση της Παγκόσμιας Κυβέρνησης!

σχόλιο ID-ont: Ότι και να σχολιάσει πλέον κανείς είναι λίγο. Η Ηλεκτρονική Συνταγογράφηση στη χώρα μας, στην Αμερική, προφανώς και αλλού παραβιάζεται. H Κάρτα του Πολίτη στην Γερμανία παλαιότερα παραβιάστηκε. Το ίδιο γίνεται σήμερα και στην Αυστρία. Όλα τα συστήματα αποδεικνύονται σουρωτήρια και εμείς επιμένουμε να φτιάξουμε "ηλεκτρονικό περιουσιολόγιο" και να μοιράσουμε και στους Έλληνες την Ελληνική Κάρτα του Πολίτη. Η στραβός είναι ο γιαλός ή στραβά αρμενίζουμε...

H Αυστριακή ηλεκτρονική ταυτότητα είναι ευάλωτη σε επίθεση πλαστογράφησής της.

Ο ειδικός σε θέματα ασφαλείας κος Wolfgang Ettlinger ανακάλυψε μια ευπάθεια στην Αυστριακή Κάρτα του Πολίτη η οποία επιτρέπει στους επιτιθέμενους να κοροϊδέψουν τα διαπιστευτήρια των θυμάτων τους. Αυτή είναι η δεύτερη φορά που η κάρτα έχει χακαριστεί. Η επίθεση εκμεταλλεύεται μια ευπάθεια στην on-line εφαρμογή Java που λειτουργεί το software της Κάρτας (λέγεται  Bürgerkartenumgebung ή BKU) και χρησιμοποιείται για να γίνουν τραπεζικές συναλλαγές ή να υπογραφούν έγγραφα PDF με ψηφιακή υπογραφή. Η ψηφιακή υπογραφή είναι νομικώς ισοδύναμη με μια υπογραφή σε χαρτί.

Για να γίνει αυτό, ένας εισβολέας θα πρέπει πρώτα να δημιουργήσει μια ιστοσελίδα που χρησιμοποιεί την κάρτα ταυτότητας για να επαληθεύσει, για παράδειγμα, την ηλικία του χρήστη. Όταν, τα πιθανά θύματα επισκεφθούν την υπηρεσία και εισάγουν το PIN τους στην μικροεφαρμογή BKU εισάγοντας παράλληλα την κάρτα τους σε μια συσκευή ανάγνωσης καρτών, τότε ο εισβολέας μπορεί να διαβάσει και να αποθηκεύσει τον κωδικό PIN. Ενώ το θύμα συνεχίζει να περιηγείται στην ιστοσελίδα, ο εισβολέας ενσωματώνει την εφαρμογή (applet) πάλι, αλλά αυτή τη φορά αόρατα. Αυτό το applet μπορεί να ελέγχεται πλήρως από τον απομακρυσμένο εισβολέα - από το να πατάει τα κουμπιά, μέχρι να καταχωρεί το κλεμμένο PIN. Ως εκ τούτου, ο εισβολέας μπορεί τώρα να προχωρήσει στην αυθαίρετη υπογραφή κειμένων για λογαριασμό του θύματος. Για να αποδείξει όσα ισχυρίζεται ο Ettlinger έχει κυκλοφορήσει ένα online βίντεο σε απευθείας λήψη.



Ο Ettlinger λέει ότι οι επιτιθέμενοι μπορούν να κλέψουν τα PIN και να ελέγξουν τη μικροεφαρμογή Java μέσω του LiveConnect API, το οποίο δίνει πρόσβαση σε Java μεθόδους μέσω JavaScript. Ενώ η άμεση πρόσβαση της κάρτας γίνεται σε ένα πλαίσιο με ειδικά προνόμια που εμποδίζουν την εκτέλεση JavaScript, από το περιβάλλον εργασίας χρήστη δεν προσφέρει αυτό το επίπεδο προστασίας. Ο ειδικός σε θέματα ασφαλείας λέει ότι, αν και η ευπάθεια στη μικροεφαρμογή BKU έχει πλέον διορθωθεί, ευπαθείς εκδόσεις που έχουν ήδη εγκατασταθεί, παραμένουν σε λειτουργία.

Αδυναμίες στην αλληλεπίδραση μεταξύ του αναγνώστη καρτών και τα plugins του προγράμματος περιήγησης, στο παρελθόν, έχουν βρεθεί επίσης και στο γερμανικό σύστημα: ένα μέλος του Pirate Party κατάφερε να κλωνοποιήσει το γερμανικό λογισμικό σε JavaScript και να υποκλέψουν το PIN του θύματος. Στη συνέχεια χρησιμοποίησε το PIN για να ανοίξει ένα κανάλι με το chip της κάρτας μέσω ενός plugin πρόγραμμα περιήγησης.

Austrian ID card vulnerable to spoofing attack

Security expert Wolfgang Ettlinger has discovered a vulnerability in the Austrian Citizen Card that allows attackers to spoof the credentials of their victims. This is the second time the card has been hacked. The attack exploits a vulnerability in the Java-based online version of the ID card environment (Bürgerkartenumgebung or BKU) to authorise banking transactions or sign PDF documents with the victim's qualified signature. This digital signature is legally equivalent to a signature on paper.

To do so, an attacker must first create a web site that uses the ID card to verify, for example, the visitor's age. When potential victims visit the service and enter their PIN into the BKU applet with their card inserted into a card reader, the attacker can read and store the PIN. While the victim continues to browse the site, the attacker embeds the applet again; but this time invisibly. This instance of the applet can be fully controlled by the remote attacker – from clicking on buttons to entering the previously harvested PIN. Therefore, the attacker can now proceed to sign arbitrary data on behalf of the victim. To demonstrate, Ettlinger has released an online video Direct download.

Ettlinger says that attackers can harvest PINs and control the applet via the Java LiveConnect API, which gives access to Java methods via JavaScript. While direct card access is performed in a context with special privileges that prevent JavaScript from executing, the user interface does not offer this level of protection. The security expert says that, although the BKU applet vulnerability has now been fixed, vulnerable versions that are already deployed remain functional.

Vulnerabilities in the interaction between card reader and browser plugins have previously also been found with the German system: a member of the Pirate Party managed to clone the German software in JavaScript and harvest a victim's PIN. He then used the PIN to open a channel to the chip card via a browser plugin.

http://www.h-online.com/security/news/item/Austrian-ID-card-vulnerable-to-spoofing-attack-1543240.html
Ενημέρωση, αναδημοσίευση από  id-ont.blogspot.com

Δεν υπάρχουν σχόλια:

Δημοσίευση σχολίου

Για να σχολιάσετε (με ευπρέπεια) πρέπει να συνδεθείτε με τον λογαριασμό google ή wordpress που διαθέτετε. Αν δεν διαθέτετε πρέπει να δημιουργήσετε έναν λογαριασμό στο @gmail ή στο @wordpress. Μπορείτε βεβαίως πάντα να στέλνετε e-mail στο anavaseis@gmail.com
Ευχαριστούμε.

Συνολικές προβολές σελίδας

Αρχειοθήκη ιστολογίου