Α(να)σφάλεια Ηλεκτρονικών Ταυτοτήτων: Χάος στην Ισπανία με τα ελαττώματα ασφαλείας του τσιπ.

Όταν οι ερευνητές ασφάλειας ανακάλυψαν τον περασμένο μήνα ότι το ασφαλές υλικό που κατασκευάστηκε από την Infineon Technologies της Γερμανίας δεν ήταν τελικά τόσο ασφαλές, ήταν σαφές ότι θα υπάρξουν σημαντικές επιπτώσεις.

Υπάρχουν πολλές smartcards και άλλες συσκευές εκεί έξω, που έχουν τσιπ Infineon μέσα τους, και το ελάττωμα “ROCA” στον βασικό αλγόριθμο γενιάς ζεύγους του Infineon έδωσε τη δυνατότητα σε κάποιον να ανακαλύψει το ιδιωτικό κλειδί ενός στόχου, απλώς γνωρίζοντας το δημόσιο κλειδί του.

Τώρα, σε μια ανάλογη περίπτωση με την πρόσφατη εμπειρία της Εσθονίας, η Ισπανία φαίνεται να έχει μεγαλύτερη – και αναμφισβήτητα πιο χαοτική – δυσκολία στη διαχείρηση των συνεπειών για τις Έξπυπνες Κάρτες/Εθνικές Ταυτότητές της.

Το μεγάλο ελάττωμα ασφαλείας της Εσθονίας επηρέασε μόνο περίπου 760.000 Κάρτες, αν και οι Εσθονοί χρησιμοποιούν πραγματικά τις Κάρτες τους για μια μεγάλη ποικιλία δημόσιων και ιδιωτικών υπηρεσιών.

Σε αντίθεση με αυτό το ποσοστό, στην Ισπανία υπάρχουν περίπου 60 εκατομμύρια έξυπνες Κάρτες/Ταυτότητες. Ωστόσο, σύμφωνα με ένα άρθρο της El País, οι Ισπανοί χρησιμοποιούσαν τις δικές τους μόνο σε ποσοστό 0,02 % σε εφαρμογές δημοσίων υπηρεσιών, όταν έγινε η έρευνα πριν μερικά χρόνια.

Ο Dan Cvrcek είναι ο διευθύνων σύμβουλος της εταιρίας ασφαλείας Enigma Bridge, η οποία ιδρύθηκε από ερευνητές που βρήκαν το ελάττωμα της ROCA.

Είπε στον ZDNet ότι η εκμετάλλευση του ελάττωματος θα μπορούσε να επιτρέψει σε επιτιθέμενους να αναστρέψουν ή να ακυρώσουν τα συμβόλαια που υπέγραψαν οι άνθρωποι, εν μέρει επειδή οι Ισπανοί δεν χρησιμοποιούν χρονικά σήματα για πολύ σημαντικές υπογραφές.

“Εξακολουθώ να μην νομίζω ότι μπορείς να κάνεις μια μεγάλη επίθεση που θα στοχεύει πολλούς ανθρώπους,” είπε ο Cvrcek.

Ωστόσο, πρόσθεσε, το κόστος μιας μεμονωμένης επίθεσης “μειώθηκε ραγδαία”. Η υπόθεση ήταν ότι η επίθεση κοστίζει μεταξύ $20.000 και $40.000, αλλά τώρα κοστίζει “ρεαλιστικά $2.000”.

Κάθε Κάρτα/Ταυτότητα, γνωστή ως DNIe, διαθέτει ένα τσιπ που περιέχει δύο πιστοποιητικά, ένα για ταυτοποίηση και ένα για την ηλεκτρονική υπογραφή πράξεων.

Σύμφωνα με τον El Diario, οι αρχές αντέδρασαν στη αποκάλυψη της τρωτόττηας του τσίπ Infineon τον Οκτώβριο, ανακαλώντας, στις 6 Νοεμβρίου, όλα τα πιστοποιητικά που εκδόθηκαν από τον Απρίλιο του 2015.

Επιπλέον, οι αρχές έχουν απαγορεύσει στους πολίτες να υπογράφουν (ηλεκτρονικά) έγγραφα με την Κάρτα/Ταυτότητα στα τερματικά αυτοεξυπηρέτησης που βρίσκονται σε πολλούς αστυνομικούς σταθμούς.

Αυτή η απόφαση επηρεάζει κάθε Κάρτα/Ταυτότητα, όχι μόνο εκείνες που έχουν το ελάττωμα. Ωστόσο, οι άνθρωποι μπορούν ακόμα να υπογράψουν ψηφιακά έγγραφα online, χρησιμοποιώντας έναν μικρό αναγνώστη καρτών που συνδέεται με τους υπολογιστές τους.

Οι αναγνώστες χρειάζονται για την αναβάθμιση των Καρτών/Ταυτοτήτων που υπέστησαν τη ζημιά. Ωστόσο, δεν υπάρχουν ακόμα ενδείξεις για το πότε θα ενημερωθούν οι Κάρτες/Ταυτότητες που υπέστησαν τη ζημιά. Πράγματι, δεν φαίνεται να υπάρχουν πολλές επίσημες πληροφορίες, κάτι που δεν έχει περάσει απαρατήρητο στον ισπανικό τεχνολογικό τύπο.

“Ούτε η αστυνομία ούτε άλλοι δημόσιοι φορείς έχουν δώσει περισσότερες πληροφορίες μέσω των λογαριασμών των κοινωνικών μέσων ενημέρωσης σχετικά με τον αντίκτυπο της ευπάθειας και τον τρόπο δράσης του πολίτη σε περίπτωση που έχει επηρεαστεί από τη ζημιά”, δήλωσε ο Xataka.

Τουλάχιστον, η Izenpe, η Βασκική αρχή πιστοποίησης, η οποία έχει ανακαλέσει 30.000 πιστοποιητικά, έχει δώσει πληροφορίες για τον τρόπο αντικατάστασής τους, πρόσθεσε το blog.

Εν μέσω αυτού του χάους, φαίνεται επίσης ότι ορισμένοι άνθρωποι με πρόσφατα εκδοθείσες κάρτες DNIe εξακολουθούν να μπορούν να τις χρησιμοποιήσουν, παρά την υποτιθέμενη ανάκληση των πιστοποιητικών τους. “Δεν με πειράζει αν συνεχίσει έτσι μέχρι να υπάρξουν νέα πιστοποιητικά”, τουιτάρισε ένας χρήστης.

Ο Toomas Ilves, πρώην πρόεδρος της Εσθονίας, δήλωσε νωρίτερα αυτή την εβδομάδα ότι πίστευε ότι εκατομμύρια άνθρωποι σε διάφορες χώρες, έχουν πληγεί από το ελάττωμα της ROCA, αλλά οι αρχές τους «σιώτησαν».

https://www.zdnet.com/article/id-card-security-spain-is-facing-chaos-over-chip-crypto-flaws/

id-ont.blogspot.com

Σχετικά με Κατοχικά Νέα

"Το katohika.gr δεν υιοθετεί τις απόψεις των αρθρογράφων, ούτε ταυτίζεται με τα ρεπορτάζ που αναδημοσιεύει από άλλες ενημερωτικές ιστοσελίδες και δεν ευθύνεται για την εγκυρότητα, την αξιοπιστία και το περιεχόμενό τους. Συνεπώς, δε φέρει καμία ευθύνη εκ του νόμου. Το katohika.gr , ασπάζεται βαθιά, τις Δημοκρατικές αρχές της πολυφωνίας και ως εκ τούτου, αναδημοσιεύει κείμενα και ρεπορτάζ, από όλους τους πολιτικούς, κοινωνικούς και επιστημονικούς χώρους." Η συντακτική ομάδα των κατοχικών νέων φέρνει όλη την εναλλακτική είδηση προς ξεσκαρτάρισμα απο τους ερευνητές αναγνώστες της! Ειτε ειναι Ψεμα ειτε ειναι αληθεια !Έχουμε συγκεκριμένη θέση απέναντι στην υπεροντοτητα πληροφορίας και γνωρίζουμε ότι μόνο με την διαδικασία της μη δογματικής αλήθειας μπορείς να ακολουθήσεις τα χνάρια της πραγματικής αλήθειας! Εδώ λοιπόν θα βρειτε ότι θέλει το πεδίο να μας κάνει να ασχοληθούμε ...αλλά θα βρείτε και πολλούς πλέον που κατανόησαν και την πληροφορία του πεδιου την κάνουν κομματάκια! Είμαστε ομάδα έρευνας και αυτό σημαίνει ότι δεν έχουμε μαζί μας καμία ταμπέλα που θα μας απομακρύνει από το φως της αλήθειας ! Το Κατοχικά Νέα λοιπόν δεν είναι μια ειδησεογραφική σελίδα αλλά μια σελίδα έρευνας και κριτικής όλων των στοιχείων της καθημερινότητας ! Το Κατοχικά Νέα είναι ο χώρος όπου οι ελεύθεροι ερευνητές χρησιμοποιούν τον τοίχο αναδημοσιεύσεως σαν αποθήκη στοιχείων σε πολύ μεγαλύτερη έρευνα από ότι το φανερό έτσι ώστε μόνοι τους να καταλήξουν στο τι είναι αλήθεια και τι είναι ψέμα και τι κρυβεται πισω απο καθε πληροφορια που αλλοι δεν μπορουν να δουν! Χωρίς να αναγκαστούν να δεχθούν δογματικές και μασημενες αλήθειες από κανέναν άλλο πάρα μόνο από την προσωπική τους κρίση! Δείτε όλα τα άρθρα του/της Κατοχικά Νέα →