Δευτέρα 24 Ιανουαρίου 2011

DEUTSCHE WELLE: Χάκερ βρίσκει νέο δυνητικό ελάττωμα στο σύστημα της ηλεκτρονικής ταυτότητας.



σχόλιο ID-ont: Δεύτερη φορά μέσα σε 2 μήνες πρόβλημα ασφαλείας με το πρόγραμμα της Γερμανικής Κάρτας του Πολίτη
Αμάν πια αυτοί οι Γερμανοί! Ούτε μια "Κάρτα του Πολίτη" δεν είναι άξιοι να φτιάξουν.

Μάλλον θα πρέπει να αναβάλλουν το πρόγραμμα εισαγωγής της δικής τους Κάρτας, μέχρι να υλοποιήσουμε εμείς την Ελληνική Κάρτα του Πολίτη. Άλλωστε τι σχέση μπορεί να έχουν αυτοί οι ... παρακατιανοί τεχνολογικά Γερμανοί με εμάς; Εμείς θα τους δώσουμε τα φώτα μας!


Έτσι θα μπορέσουν οι άνθρωποι να αντιγράψουν την εμπειρία μας και τις γνώσεις μας (know-how). Αφήστε που με αυτόν τον τρόπο μπορεί να εισπράξουμε πολλά χρήματα και να μειώσουμε λίγο το δυσθεώρητο χρέος της χώρας μας!


Πέρα από την πλάκα, Γερμανοί ήρθε η ώρα να το καταλάβετε κι εσείς όπως το κατάλαβαν πρώτοι οι Άγγλοι και ακύρωσαν την εισαγωγή της δικής τους Κάρτας του Πολίτη: ΑΣΦΑΛΗΣ ΚΑΡΤΑ ΤΟΥ ΠΟΛΙΤΗ ΔΕΝ ΥΠΑΡΧΕΙ.


ΔΙΑΒΑΣΤΕ ΤΟ ΔΗΜΟΣΙΕΥΜΑ:



DEUTSHE WELLE: Χάκερ βρίσκει νέο δυνητικό ελάττωμα στο σύστημα της ηλεκτρονικής ταυτότητας

Ένας Γερμανός μέλος του Κόμματος των Πειρατών έχει δημιουργήσει μια ιστοσελίδα που αποσκοπεί στο να «ξεγελάσει» το λογισμικό του ηλεκτρονικού δελτίου ταυτότητας. Οι Γερμανικές αρχές λένε ότι ενώ αυτή η επίθεση είναι εφικτή, η δυνατότητα για ζημιές παραμένει σε χαμηλό επίπεδο.

Τη Δευτέρα, ένας Γερμανός ερευνητής για την ασφάλεια του υπολογιστή αποκάλυψε μια νέα μέθοδο για την παράκαμψη των μέτρων ασφάλειας στο νέο γερμανικό λογισμικό της ψηφιακής ταυτότητας.

Ο Jan Schejbal, ένας Γερμανός που ζει στη Στοκχόλμη, και μέλος του γερμανικού Κόμματος των Πειρατών, δημοσίευσε στο blog του, μια μέθοδο «ψαρέματος», ή παραπλάνησης της επίσημης γερμανικής ιστοσελίδας της κυβέρνησης, ως έναν τρόπο να ξεγελαστούν οι Γερμανοί και να για να σταματήσουν να δίνουν τις λεπτομέρειες της σύνδεσής τους.

Η ιδέα του phishing scam είναι η δεύτερη εργασία του Schejbal σχετικά με την ασφάλεια, που έχει δημιουργήσει για το νέο δελτίο ταυτότητας από τότε που αυτό κυκλοφόρησε.

Οι νέες ηλεκτρονικές κάρτες, οι οποίες είναι διαθέσιμες από την 1η Νοεμβρίου του 2010, και θα αντικαταστήσουν σταδιακά τις τρέχουσες γερμανικές κάρτες. Περιέχουν ένα RFID ασύρματο τσιπ - το ίδιο είδος με αυτά που βρίσκουμε σε πολλές κάρτες ασφαλείας ή keycards πληρωμών. Το τσιπ αποθηκεύει ψηφιακές εκδόσεις της φωτογραφίας, το όνομα του κατόχου της κάρτας, διεύθυνση, ημερομηνία γέννησης, το ύψος, το μάτι και το χρώμα των μαλλιών και την πόλη της έκδοσης.

Το υπουργείο Εσωτερικών και η Ομοσπονδιακή Υπηρεσία Πληροφοριών Ασφαλείας (BSI) υποστηρίζουν ότι οι κάρτες, θα βοηθήσουν την κυβέρνηση να παρέχει εύκολη στη χρήση ψηφιακή υπογραφή στους πολίτες και άλλες κυβερνητικές υπηρεσίες. Θα παρέχει
επίσης προστασία από ηλεκτρονικές απάτες και phishing επιθέσεις (υποκλοπή προσωπικών δεδομένων στο internet). Οι Γερμανοί θα μπορούν επίσης να την χρησιμοποιήσουν ως αποδεικτικό ταυτότητας
στη θέση του διαβατηρίου, όταν μετακινούνται εντός της Ευρωπαϊκής Ένωσης.

Οι Γερμανικές αρχές παραμένουν … ατάραχες
Η BSI αποκάλεσε τη νέα επίθεση ως «κλασική phishing επίθεση», και είπε ότι δεν παρουσιάζει κάποια νέα απειλή ή ευπάθεια στο νέο σύστημα της ηλεκτρονικής ταυτότητας ή το λογισμικό της, σύμφωνα με την εκπρόσωπο της Nora Basting.

Στην «περίπτωση Schejbal», ο εισβολέας θα λάβει μόνο το PIN της ηλεκτρονικής ταυτότητας», δήλωσε η Basting «Το γεγονός ότι ένας εισβολέας γνωρίζει το PIN ενός κατόχου της κάρτας, δεν κάνει καμία ζημιά. Η γνώση και μόνο του ΡΙΝ, για παράδειγμα, δεν οδηγεί σε κακή χρήση της κάρτας ή των προσωπικών δεδομένων του ιδιοκτήτη, διότι απαιτείται και η κατοχή της ηλεκτρονικής ταυτότητας».
(σχόλιο ID-ont: Μόνο το PIN!, δηλ αυτό που δεν επιτρέπεται να πούμε ούτε στον …καλύτερό μας φίλο! Σκεφτείτε να υποκλαπεί το PIN της χρεωστικής σας κάρτας. Δεν τρέχετε σαν τρελοί να εκδώστε καινούριο; Εάν οι Γερμανοί πιστεύουν αυτά τα επιχειρήματα της κυβέρνησής τους, ε! τότε είναι άξιοι της μοίρας τους).


Στο ιστολόγιό του, ο Schejbal κάνει έκκληση για περισσότερη εκπαίδευση ασφάλειας στο Internet για τους μέσους χρήστες.

«Για την προστασία από την επίθεση αυτή, πρέπει κανείς να μάθει να διακρίνει τα ψευδή από τα γνήσια παράθυρα», έγραψε. (σχόλιο ID-ont: Κατακαημένε Έλληνα δεν σου έφταναν όλα τα άλλα, θα πρέπει να μάθεις να διακρίνεις και τα παράθυρα!).


«Αν είναι δυνατόν να μετακινήστε το παράθυρο έξω από το παράθυρο του προγράμματος περιήγησης, τότε αυτό είναι τουλάχιστον ένα πραγματικό παράθυρο. Ωστόσο, οι ιστοσελίδες μπορούν επίσης να ανοίξουν το pop-up παράθυρο το οποίο μπορεί να μετακινηθεί ελεύθερα. Σε όλα τα μεγάλα προγράμματα περιήγησης, η ιστοσελίδα μπορεί πράγματι να κρύβει πολλά μέρη του παραθύρου του προγράμματος περιήγησης, αλλά η γραμμή διευθύνσεων (ή Opera, η λεπτή λωρίδα με τις διευθύνσεις της ιστοσελίδας), πάντα θα είναι εκεί για να «πει» ότι ένα αναδυόμενο θεωρείται ένα πραγματικό παράθυρο.»

(σχόλια ID-ont:

1. Πως είναι δυνατόν ο χρήστης της ΚτΠ που δεν καταλαβαίνει όλα αυτά, να μπορέσει να προστατευθεί.

2. Πόσο δύσκολο είναι να "βάλει" ο hacker το pop-up παράθυρο να εμφανίζεται και στην μπάρα του browser; Σήμερα μπορεί να είναι δύσκολο. Αύριο όμως;).


Ο Schejbal επεσήμανε επίσης ότι όταν χρησιμοποιείται η ηλεκτρονική ταυτότητα από τον αναγνώστη καρτών και διαβάζεται από τον υπολογιστή,τότε το φως για τη συσκευή ανάγνωσης καρτών αλλάζει χρώμα από πράσινο σε μπλε.

(σχόλιo ID-ont: Θυμάστε πως το λέει εκείνο το ταγούδι: Άσπρα, κόκκινα, κίτρινα, μπλε καραβάκια στο ταξίδι δεν με παίρνετε καλέ...)


http://www.dw-world.de/dw/article/0,,14774940,00.html
Αναδημοσίευση από id-ont.blogspot.com 

Δεν υπάρχουν σχόλια:

Δημοσίευση σχολίου

Για να σχολιάσετε (με ευπρέπεια) πρέπει να συνδεθείτε με τον λογαριασμό google ή wordpress που διαθέτετε. Αν δεν διαθέτετε πρέπει να δημιουργήσετε έναν λογαριασμό στο @gmail ή στο @wordpress. Μπορείτε βεβαίως πάντα να στέλνετε e-mail στο anavaseis@gmail.com
Ευχαριστούμε.