DEF CON Πόσο εύκολο είναι να πεθάνεις και να γεννηθείς στο Internet;

Ο Αυστραλός ειδικός σε θέματα ασφαλείας Rock παρουσίασε δύο μεθόδους με τις οποίες κατάφερε να εκδώσει πιστοποιητικά θανάτου για πραγματικά πρόσωπα, και πιστοποιητικά γεννήσεως πρόσωπα που δεν υπάρχουν. Η παρουσίαση έγινε στο hacking συνέδριο DEF CON που πραγματοποιείται αυτές τις μέρες στο Λας Βέγκας, όπως αναφέρει η AFP.

Chris Rock at Def Con
Chris Rock at Def Con

Ο κ Rock φαίνεται ότι ανακάλυψε σφάλματα στα ψηφιακά συστήματα που χρησιμοποιούνται από τα νοσοκομεία της Αυστραλίας για να αναφέρουν γεννήσεις και θανάτους, και παρουσίασε τα αποτελέσματα με το βιβλίο του “The Baby Harvest: How virtual babies the future of terrorist financing and laundering.”

Όπως αναφέρει ο κ. Rock πολύ εύγλωττα, “Θα μπορούσατε να σκοτώσετε όποιον θέλετε.”

Το πρόβλημα έγκειται στην έλλειψη κατάλληλων διαδικασιών ασφαλείας κατά την online εγγραφή ενός θανάτου.

Το Δια υπάρχει πια για τα καλά στα σπίτια μας, και στη ζωή μας, βοηθώντας να μειωθεί η γραφειοκρατία στις συναλλαγές μας με κυβερνητικές υπηρεσίες. Αυτό φυσικά είναι πολύ καλό, αλλά μερικές φορές, όταν η εφαρμογή επίσημων διαδικασιών σε ένα online περιβάλλον γίνεται χωρίς την διασφάλιση των δεδομένων, μπορεί να φέρει τους πολίτες σε πολύ άβολες καταστάσεις.

  Firefox 105.0.2 λήψη πριν την επίσημη κυκλοφορία

Σύμφωνα με την διάλεξη του κ Rock στο DEF CON, πολλές κυβερνήσεις χρησιμοποιούν μια αρκετά απλοϊκή διαδικασία για την αναφορά του θανάτου ενός ατόμου.

Ενώ αυτό συνήθως γίνεται συμπληρώνοντας μερικά έγγραφα, και απαιτεί μόνο έναν γιατρό και μια κηδεία. Ααν έχετε αυτά τα δεδομένα, συμπληρώνοντας μια online φόρμα μπορείτε να “πεθάνετε” όποιον θέλετε.

Απλά ψάχνετε on-line για τα προσωπικά στοιχεία ενός γιατρού, που συνήθως είναι διαθέσιμα για την ευρετηρίαση από τις μηχανές αναζήτησης.

Ο κ. Rock ήταν σε θέση να καταχωρήσει το λογαριασμό ενός γιατρού στο online σύστημα που χρησιμοποιείται για την αναφορά θανάτων στην Αυστραλία.

Για την επαλήθευση του θανάτου, στη συνέχεια δημιούργησε μια ιστοσελίδα που εμφάνιζε την κηδεία, την οποία χρησιμοποίησε για να αποδείξει τον θάνατο. Στη συνέχεια καταχώρησε ένα link της ιστοσελίδας στο σύστημα.

Χωρίς καμία άλλη περαιτέρω επαλήθευση, η αίτησή του εγκρίθηκε σε μια μέρα, παραχωρώντας του ένα πιστοποιητικό θανάτου του προσώπου που επέλεξε.

Η όλη διαδικασία της υποβολής είναι πλήρως αυτοματοποιημένη, το μόνο που ζητείται είναι το όνομα του θανόντα, τα στοιχεία του προσώπου που καταθέτει την αίτηση, και την επιλογή των αιτιών θανάτου, από μια λίστα με ιατρικούς όρους.

  Προσοχή: αφαιρέστε άμεσα τις Android εφαρμογές

Να αναφέρουμε ότι το θύμα μιας τέτοιας επίθεσης θα μάθει ποτέ ότι εκδόθηκε πιστοποιητικό θανάτου στο όνομά του μέχρι να το ανακαλύψει από κάποια υπηρεσία.

Όπως ακριβώς ο ερευνητής κατάφερε να εκδώσει πιστοποιητικά θανάτου για όποιον επιθυμεί, μπόρεσε πολύ εύκολα να εκδώσει και ψεύτικα πιστοποιητικά γεννήσεων.

Η ίδια απλοϊκή διαδικασία και η έλλειψη μέτρων ελέγχου λειτουργούσε και στο ηλεκτρονικό σύστημα που χρησιμοποιείται για την καταγραφή γεννήσεων.

Ο κ Rock ανέφερε ότι έπρεπε μόνο να καταχωρήσει ένα ψεύτικο λογαριασμό γιατρού και στη συνέχεια να δηλώσει τα προσωπικά δεδομένα για τους γονείς. Αυτά έφταναν για να “γεννήσει” όσα μωρά ήθελε.

Written by Δημήτρης

O Δημήτρης μισεί τις Δευτέρες.....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).


71  +    =  77