 |
| Η ασφάλεια από τους χάκερς είναι σχετική |
(Δεύτερο άρθρο της σειράς για τις νέες ταυτότητες. Τα links για τα υπόλοιπα άρθρα της σειράς στο τέλος του άρθρου)
Η κυβέρνηση και τα ΜΜΕ δηλώνουν απερίφραστα πως οι νέες RFID ταυτότητες είναι ασφαλείς, πως δεν υπάρχουν κίνδυνοι από τη χρήση τους, πως δεν θα περιέχουν παρά μόνο τις απαραίτητες πληροφορίες και πως, τελικά, το μόνο που θα κάνουν είναι να διευκολύνουν τη ζωή όλων μας. Είναι όμως πράγματι έτσι;
Η αλήθεια, λοιπόν, είναι πως υπάρχουν κίνδυνοι.
Μπορούν να πλαστογραφηθούν ή να κλωνοποιηθούν; Μπορεί κάποιος χάκερ ή κάποιοι άλλοι να αποκτήσουν πρόσβαση στις πληροφορίες που είναι καταχωρισμένες στις RFID ταυτότητες;
Με τον κατάλληλο εξοπλισμό οι χάκερς μπορούν να τις παραβιάσουν, παρά το γεγονός ότι θα υπάρχει κρυπτογράφηση, όπως λένε ειδικοί επί της πληροφορικής και της ασφάλειας πληροφορικών συστημάτων.
Τα ΜΜΕ βέβαια επιμένουν στο γεγονός της κρυπτογράφησηςστην προσπάθειά τους να μας πείσουν για την ασφάλεια του εγχειρήματος. Βέβαια, και την εποχή που επρόκειτο να εισαχθεί το Ευρώ πολιτικοί και ΜΜΕ δήλωναν σε όλους τους τόνους ότι τα νέα νομίσματα δε μπορούν να παραχαραχθούν. Η πραγματικότητα σύντομα τους διέψευσε, όπως ξέρουμε, και κάθε λίγο και λιγάκι ακούμε για πλαστά χαρτονομίσματα Ευρώ.
Και, φυσικά, όλοι έχουμε ακούσει για επιτήδειους εγκληματίες οι οποίοι κλωνοποιούν κάρτες είτε σε SUPER MARKET είτε ακόμα και σε ΑΤΜ. Και, φυσικά, και αυτές οι κάρτες υποτίθεται πως πληρούν κάποια πρότυπα ασφαλείας - όμως, αυτό δε σημαίνει πως είναι "απόρθητα κάστρα".
Οι προβληματισμοί εδώ εντείνονται και από έναν άλλο παράγοντα:
Με τις υπάρχουσες ταυτότητες ο κάθε πολίτης μπορεί να δει ποια στοιχεία είναι καταγεγραμμένα στο δελτίο ταυτότητάς του. Με τις νέες ταυτότητες, ο πολίτης ΔΕ ΜΠΟΡΕΙ ΝΑ ΒΛΕΠΕΙ ποιες πληροφορίες, ποια προσωπικά του δεδομένα είναι καταγεγραμμένα στο RFID τσιπάκι ή στη μαγνητική ταινία.
Η πολιτεία, βέβαια, και τα ΜΜΕ, μας λένε πως «θα υπάρχουν μόνο τα απολύτως απαραίτητα στοιχεία». Όμως, στο ΦΕΚ Β΄ 824/17.02. προχώρησαν σε αλλαγή της υπ’ αρ. 8200/0-297647/10.4.2018 κοινής υπουργικής απόφασης «Έκδοση νέου τύπου Δελτίου Ταυτότητας Ελλήνων πολιτών», προσθέτοντας το εξής:
« 4. Το τελευταίο εδάφιο της παρ. 4 του άρθρου 3 της ίδιας ως άνω απόφασης, αντικαθίσταται ως εξής: «Επιπλέον, στο ως άνω ηλεκτρονικό μέσο αποθηκεύονται το επώνυμο πατέρα, επώνυμο μητέρας, ο Δήμος εγγραφής, ο αριθμός δημοτολογίου και ο τόπος έκδοσης του δελτίου, ενώ θα δύναται να αποθηκευτούν τα στοιχεία που απαιτούνται για τις υπηρεσίες ηλεκτρονικής διακυβέρνησης, εάν αποφασισθεί να συμπεριληφθούν στο εν λόγω μέσο» ».
Πως λοιπόν να μην ανησυχεί ο πολίτης για το τι μπορεί να είναι καταχωρισμένο στις νέες ταυτότητες;
Αν μάλιστα θυμηθούμε και την εποχή του κορονοϊού και τις υποχρεωτικότητες των εμβολίων, οι ανησυχίες των πολιτών μπορούν να θεωρηθούν κάτι παραπάνω από εύλογες.
Και αν τελικά όλα αυτά τα προσωπικά δεδομένα πέσουν στα χέρια εγκληματιών (μοναδικά στοιχεία αναγνώρισης όπως η ίριδα του οφθαλμού, η γεωμετρία προσώπου κ.α. - που ποτέ δεν ξέρουμε αν και πότε θα συμπεριληφθούν - η ψηφιακή υπογραφή του κατόχου κλπ.) τι μπορεί να συμβεί στον "άτυχο";
Πάμε παρακάτω…
Οι RFID ταυτότητες προϋποθέτουν, όπως είπαμε, την ύπαρξη βάσεων δεδομένων. Μπορεί το ελληνικό κράτος να εγγυηθεί πως τα προσωπικά στοιχεία του καθενός δεν θα πουληθούν ή θα κλαπούν από ιδιωτικά ή δημόσια συμφέροντα, ημεδαπά ή αλλοδαπά; Ειδικά τώρα, λίγους μόνο μήνες μετά το θόρυβο για τις υποκλοπές και το Predator;
Ως γνωστόν, οι προδιαγραφές του εν λόγω συστήματος έχουν χαρακτηριστεί απόρρητες. Αυτό προκάλεσε την επιφύλαξη της Ένωσης Πληροφορικών Ελλάδος, που στις 28.7.2019 έστειλε ανοιχτή επιστολή στο υπουργείο Προστασίας του Πολίτη θέτοντας, ανάμεσα στα άλλα, τα εξής τρία ερωτήματα:
1. Ποιος επιθυμεί να προμηθευτεί ένα πληροφοριακό σύστημα που θα διαχειρίζεται τα πιο κρίσιμα προσωπικά δεδομένα των πολιτών, στο οποίο μόνο ο ιδιώτης προμηθευτής θα μπορεί να επέμβει, να ελέγξει, να αναβαθμίζει και να συντηρεί;
2. Πώς διασφαλίζεται ότι έτσι δεν θα επιτραπεί σε ιδιώτη προμηθευτή να έχει πλήρη πρόσβαση στα προσωπικά δεδομένα όλων των πολιτών ή στον τρόπο χρήσης ή επεξεργασίας τους;
3. Εφόσον οι νέες ταυτότητες πρόκειται να ενσωματώνουν και διαδικασίες ηλεκτρονικής διακυβέρνησης, ποια είναι η μελέτη εκτίμησης ρίσκου ως προς την ασφάλεια των πολιτών, όπως για παράδειγμα η «κλοπή ταυτότητας» (identity theft) μέσω κακοτεχνίας ή «τρύπας» ασφάλειας, όπως αυτή που διαπιστώθηκε στην Εσθονία;
(Σημ.: σχετικά με το τι συνέβη στην Εσθονία το 2017 θα αναφερθούμε πιο κάτω).
Όταν, λοιπόν, η Ένωση Πληροφορικών Ελλάδας εκφράζει ανησυχίες, πως μπορεί ο απλός πολίτης να νοιώσει εφησυχασμένος;
Επιπλέον, κάθε λίγο και λιγάκι ακούμε από τα ΜΜΕ ή διαβάζουμε στο διαδίκτυο για κυβερνοεπιθέσεις, για παραβιάσεις – ή απόπειρες παραβίασης – κρατικών βάσεων δεδομένων σε παγκόσμιο επίπεδο, για απόσπαση προσωπικών δεδομένων πολιτών από χάκερς και τόσα άλλα.
Να θυμηθούμε το χάος από κυβερνοεπιθέσεις σε αεροδρόμια πριν λίγους μήνες;
Την κυβερνοεπίθεση στα ΕΛΤΑ το Μάρτιο που μας πέρασε;
Την σοβαρή απόπειρα παράνομης πρόσβασης στα ηλεκτρονικά συστήματα του υπουργείου Πολιτισμού, τον περασμένο Ιούνιο;
Στο διεθνές πεδίο, έχουμε ακούσει για χάκερς ότι παραβίασαν την ιστοσελίδα της Interpol, (Δεκέμβριος 2010), ότι έγιναν σημαντικές κυβερνοεπιθέσεις στο χρηματιστήριο του Λονδίνου την ίδια περίπου εποχή ή λίγο πριν με αποτέλεσμα να τεθεί offline, κ.α..
Το Δεκέμβριο του 2010 η διευθύντρια της NSA (Υπηρεσία Εθνικής Ασφαλείας των Η.Π.Α.) δήλωσε «δεν υφίσταται πλέον η έννοια «ασφάλεια» για τις βάσεις δεδομένων των Η.Π.Α.»!
Είναι ποτέ δυνατόν να πιστέψει ο πολίτης πως στην Ελλάδα βρισκόμαστε σε καλύτερο επίπεδο ασφαλείας από τις ΗΠΑ στον τομέα αυτόν; Πως να νοιώσει ασφαλής; Και, για να πούμε και τα πράγματα με το όνομά τους, γιατί να νοιώσει;
Σκεφτείτε, τώρα, πόσο πιο επικίνδυνο γίνεται το πράγμα όταν μιλάμε για εφαρμογές σε κινητά που θα περιέχουν δεδομένα της νέας ταυτότητας.
Σκεφτείτε τι μπορεί να συμβεί αν χαθεί η ταυτότητα ή το κινητό…
Σκεφτείτε, επιπλέον, πως η RFID τεχνολογία λειτουργεί εξίσου καλά ΚΑΙ σε τσιπάκι (εφαρμόζεται τόσο σε ζώα όσο και σε ανθρώπους, όπως θα δούμε σε επόμενο άρθρο)...
Το συμβάν του 2017 στην Εσθονία
Στην Ιστορία το συμβάν έμεινε γνωστό ως «Estonia ID crisis 2017», όταν διάφοροι επιστήμονες απ’ όλο τον κόσμο ενημέρωσαν τις αρχές της Εσθονίας πως έχουν εντοπίσει ένα κενό ασφαλείας, μια «τρύπα», μια ατέλεια στα τσιπάκια των ταυτοτήτων των Εσθονών πολιτών, από την οποία κάποιοι κακόβουλοι χάκερς θα μπορούσαν να προχωρήσουν και να αποκτήσουν πρόσβαση στα δεδομένα. Αφορούσε πάνω από 750.000 πολίτες.
Το σκεπτικό των επιστημόνων ήταν «αφού μπορέσαμε να το βρούμε εμείς, μπορεί να το βρεί κι ένας χάκερ, αν αυτό δεν έχει ήδη γίνει».
Το θέμα αποκτούσε επιπλέον σοβαρότητα από το γεγονός ότι το ίδιο τσιπάκι εκτός από τις ταυτότητες της Εσθονίας χρησιμοποιείτο για παρόμοιους σκοπούς – και για κάποιους άλλους – και σε διάφορες άλλες χώρες.
Θα πρέπει εδώ να πούμε πως, επισήμως, δεν αναφέρθηκε καμία περίπτωση που κάποια Εσθονική ταυτότητα παραβιάστηκε. Η σκιά όμως είναι υπαρκτή: ένα υπερσύγχρονο κρατικό πρόγραμμα που σχεδιάστηκε με όλες τις προδιαγραφές ασφαλείας δε μπόρεσε να αποφύγει το λάθος.
Κάτι άλλο που πρέπει να επισημανθεί είναι το πως το
χειρίστηκε το κράτος: δεν απέσυρε τις ελαττωματικές ταυτότητες, απλά ζήτησε από
τους πολίτες που οι ταυτότητές τους θεωρούνταν επισφαλείς να κάνουν μια
αναβάθμιση ασφαλείας στο λογισμικό των ταυτοτήτων τους, ενώ για κάποιο διάστημα
όλες αυτές οι ταυτότητες δε μπορούσαν να χρησιμοποιηθούν (είχαν τεθεί σε
αναστολή). Φυσικά δεν υπάρχει κανένα εχέγγυο πως πλέον έχουν καταστεί απαραβίαστες...
Τελικά, αυτό που απομένει από αυτή την κρίση είναι ακριβώς η επιβεβαίωση του ότι «κάθε τι που είναι σε κώδικα (λογισμικό) μπορεί να παραβιαστεί».
Όπως είδαμε, λοιπόν, είναι αφέλεια να πιστεύουμε πως οι νέες ταυτότητες είναι ασφαλείς και πως η χρήση τους δεν εγκυμονεί κινδύνους. Εγκυμονεί, στην ουσία, όλους τους κινδύνους που κρύβονται και πίσω από τη χρήση του διαδικτύου.
Και αυτός ΔΕΝ είναι ο μεγαλύτερος κίνδυνος – για αυτόν όμως, θα μιλήσουμε στο επόμενο άρθρο μας.
Διαβάστε και τα υπόλοιπα άρθρα της σειράς:
Μέρος 1ο: RFID τεχνολογία, RFID τσιπάκι. Τι είναι και πως λειτουργούν
Μέρος 3ο: Χρήσεις της RFID τεχνολογίας και βιομετρικά δεδομένα
Μέρος 4ο: Ο μεγάλος κίνδυνος με τις νέες ταυτότητες
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου