Ο Αυστραλός ειδικός σε θέματα ασφαλείας Chris Rock παρουσίασε δύο μεθόδους με τις οποίες κατάφερε να εκδώσει πιστοποιητικά θανάτου για πραγματικά πρόσωπα, και πιστοποιητικά γεννήσεως πρόσωπα που δεν υπάρχουν. Η παρουσίαση έγινε στο hacking συνέδριο DEF CON που πραγματοποιείται αυτές τις μέρες στο Λας Βέγκας, όπως αναφέρει η AFP.
Ο κ Rock φαίνεται ότι ανακάλυψε σφάλματα στα ψηφιακά συστήματα που χρησιμοποιούνται από τα νοσοκομεία της Αυστραλίας για να αναφέρουν γεννήσεις και θανάτους, και παρουσίασε τα αποτελέσματα με το βιβλίο του “The Baby Harvest: How virtual babies become the future of terrorist financing and money laundering.”
Όπως αναφέρει ο κ. Rock πολύ εύγλωττα, “Θα μπορούσατε να σκοτώσετε όποιον θέλετε.”
Το πρόβλημα έγκειται στην έλλειψη κατάλληλων διαδικασιών ασφαλείας κατά την online εγγραφή ενός θανάτου.
Το Διαδίκτυο υπάρχει πια για τα καλά στα σπίτια μας, και στη ζωή μας, βοηθώντας να μειωθεί η γραφειοκρατία στις συναλλαγές μας με κυβερνητικές υπηρεσίες. Αυτό φυσικά είναι πολύ καλό, αλλά μερικές φορές, όταν η εφαρμογή επίσημων διαδικασιών σε ένα online περιβάλλον γίνεται χωρίς την διασφάλιση των δεδομένων, μπορεί να φέρει τους πολίτες σε πολύ άβολες καταστάσεις.
Σύμφωνα με την διάλεξη του κ Rock στο DEF CON, πολλές κυβερνήσεις χρησιμοποιούν μια αρκετά απλοϊκή διαδικασία για την αναφορά του θανάτου ενός ατόμου.
Ενώ αυτό συνήθως γίνεται συμπληρώνοντας μερικά έγγραφα, και απαιτεί μόνο έναν γιατρό και μια κηδεία. Ααν έχετε αυτά τα δεδομένα, συμπληρώνοντας μια online φόρμα μπορείτε να “πεθάνετε” όποιον θέλετε.
Απλά ψάχνετε on-line για τα προσωπικά στοιχεία ενός γιατρού, που συνήθως είναι διαθέσιμα για την ευρετηρίαση από τις μηχανές αναζήτησης.
Ο κ. Rock ήταν σε θέση να καταχωρήσει το λογαριασμό ενός γιατρού στο online σύστημα που χρησιμοποιείται για την αναφορά θανάτων στην Αυστραλία.
Για την επαλήθευση του θανάτου, στη συνέχεια δημιούργησε μια ιστοσελίδα που εμφάνιζε την κηδεία, την οποία χρησιμοποίησε για να αποδείξει τον θάνατο. Στη συνέχεια καταχώρησε ένα link της ιστοσελίδας στο σύστημα.
Χωρίς καμία άλλη περαιτέρω επαλήθευση, η αίτησή του εγκρίθηκε σε μια μέρα, παραχωρώντας του ένα πιστοποιητικό θανάτου του προσώπου που επέλεξε.
Η όλη διαδικασία της υποβολής είναι πλήρως αυτοματοποιημένη, το μόνο που ζητείται είναι το όνομα του θανόντα, τα στοιχεία του προσώπου που καταθέτει την αίτηση, και την επιλογή των αιτιών θανάτου, από μια λίστα με ιατρικούς όρους.
Να αναφέρουμε ότι το θύμα μιας τέτοιας επίθεσης θα μάθει ποτέ ότι εκδόθηκε πιστοποιητικό θανάτου στο όνομά του μέχρι να το ανακαλύψει από κάποια υπηρεσία.
Όπως ακριβώς ο ερευνητής κατάφερε να εκδώσει πιστοποιητικά θανάτου για όποιον επιθυμεί, μπόρεσε πολύ εύκολα να εκδώσει και ψεύτικα πιστοποιητικά γεννήσεων.
Η ίδια απλοϊκή διαδικασία και η έλλειψη μέτρων ελέγχου λειτουργούσε και στο ηλεκτρονικό σύστημα που χρησιμοποιείται για την καταγραφή γεννήσεων.
Ο κ Rock ανέφερε ότι έπρεπε μόνο να καταχωρήσει ένα ψεύτικο λογαριασμό γιατρού και στη συνέχεια να δηλώσει τα προσωπικά δεδομένα για τους γονείς. Αυτά έφταναν για να “γεννήσει” όσα μωρά ήθελε.