Digitalne identitete se zdaj izdajajo po vsem svetu. Končni cilj OZN je, da bi celotno prebivalstvo našega planeta pokrili z enim samim identifikacijskim dokumentom. Digitalne identitete, ki ne vključujejo več le osnovnih podatkov, temveč tudi biometrične podatke in širše podatke o vsaki registrirani osebi (vključno z bančnimi povezavami), so seveda dragocen vir informacij za hekerje, ki bi lahko prodali ustrezne podatke.
Na primer, približno leto dni po uvedbi digitalnega identifikacijskega dokumenta, imenovanega Aadhaar, je Indija doživela obsežen hekerski napad, v katerem so bili ukradeni milijoni podatkov o registriranih državljanih , vključno z biometričnimi podatki in prijavnimi podatki.
Kljub ponavljajočim se težavam z motnjami v centraliziranih podatkovnih bazah digitalne identitete se njihova uvedba še naprej spodbuja. In le malo tistih, ki so jih vzpostavili zaradi »udobja«, se zaveda, da bodo ti identifikacijski dokumenti sčasoma povezani z digitalno programabilno valuto.
O tem že razmišljajo na Švedskem, kjer je digitalna krona pred kratkim prestala testno obdobje. Ni naključje, da imajo enega najobsežnejših identifikacijskih sistemov na svetu.
Švedska je zgradila najsodobnejši sistem digitalne identitete na svetu, ki pa je bil kmalu deležen hekerskega vdora.
Hekerska skupina, ki se imenuje ByteToBreach, je med ogroženimi sistemi objavila izvorno kodo, ukradeno iz švedske podružnice CGI: kodno bazo, ki se uporablja za prijavo v BankID za švedsko davčno upravo.
BankID je enojna plast preverjanja pristnosti, ki jo Švedi uporabljajo za skoraj vse: vladne storitve, bančništvo, digitalne podpise in davčne napovedi.
Več kot 8,6 milijona ljudi v državi z nekaj več kot 10 milijoni prebivalcev živi svoja digitalna življenja prek nje. To je nacionalna odvisnost, enotna točka odpovedi, prikrita kot modernizacija infrastrukture.
Ogroženi podatki so se pojavili na spletni strani Breached, kjer so bili prosto dostopni.
Novinarji Dagens Nyheterja so pregledali dele razkritega gradiva in poročali o najdbi izvorne kode, gesel in šifrirnih ključev. Ogrožena koda je bila čez vikend blokirana v okviru operacije kibernetske varnosti, kar je omejilo neodvisno preverjanje.
Podatkovne baze, ki vsebujejo osebne podatke švedskih državljanov, pa tudi dokumente z elektronskimi podpisi, so bile domnevno ponujene v prodajo ločeno. Kršitev razkriva večplastno ranljivost.
CGI je potrdil incident. »Incident se nanaša na dva interna testna strežnika na Švedskem. Strežnika se ne uporabljata v produkcijskem okolju, temveč za testiranje in sta povezana s storitvijo za omejeno število uporabnikov,« je podjetje sporočilo v izjavi .
Napadalci so pridobili dostop do starejše različice izvorne kode, je sporočil CGI, in »trenutno ni znakov vpliva na produkcijska okolja strank, produkcijske podatke ali operativne storitve«.
Švedska davčna agencija je ponudila podobna zagotovila. »Vse incidente jemljemo resno, vendar trenutno ne vidimo ničesar, kar bi nas skrbelo,« je dejal Peder Sjölander, direktor IT pri švedski davčni agenciji.
Okvir »testnega strežnika« si zasluži temeljit pregled. Testno okolje odraža produkcijsko arhitekturo. Razkritje izvorne kode se na nadzorni plošči ranljivosti ne prikaže kot neposreden vpliv na stranko, vendar napadalcem natančno pove, kako so zgrajeni tokovi preverjanja pristnosti, kje se generirajo žetoni seje in kako je produkcijski sistem videti pod pokrovom.
Škoda, ki jo povzroči ta vrsta varnostne kršitve, se tiho kopiči.
Vlade po vsem svetu trenutno tekmujejo v izgradnji centraliziranih sistemov digitalne identitete, vključno s sistemom digitalne identitete EU, načrti za digitalno identiteto Združenega kraljestva in predlogi v jugovzhodni Aziji, Latinski Ameriki in državah Perzijskega zaliva.
Švedska je predstavljena kot vzor. BankID je naveden kot dokaz, da enotna digitalna identiteta deluje. Toda to, kar je Švedska doživela v preteklem letu, se v teh razpravah redko omenja.
Lani je ciljno usmerjen napad DDoS za več ur onemogočil BankID. Več kot 8,6 milijona ljudi hkrati ni moglo nakazati denarja, dostopati do vladnih storitev ali preverjati svoje identitete na spletu. Ukraden ni bil noben podatek.
Sistem je preprosto prenehal delovati. To je še ena ranljivost, ki jo ustvarja centralizacija: ne le varnostne kršitve, temveč izpadi, ki hkrati prizadenejo vse, ker so vsi odvisni od istega kanala.
Zagovorniki centralizirane digitalne identifikacije jo opredeljujejo kot učinkovitost in vključenost. Ena pri, povsod. Nič več razdrobljenih poverilnic. Švedski primer ponazarja drugo plat te medalje; ko je identiteta centralizirana, je centralizirana tudi škoda, če gre kaj narobe.
Prebivalstvo, ki se overja prek enega sistema, je lahko v velikem številu blokirano iz tega sistema. Njihove prijave so lahko povezane s storitvami, za katere niso nikoli dali soglasja.
Njihovi identifikacijski podatki, bančno vedenje, davčni podatki in digitalni podpisi obstajajo v istem ekosistemu, ki ga lahko izpodbija vsak, ki ima v lasti infrastrukturo, in v katerega lahko vdre vsak, ki ima dostop do nje.
Nenazadnje je treba opozoriti, da bodo podatki iz vseh sistemov identifikacijskih dokumentov znotraj EU prihodnje leto združeni v enoten evropski sistem elektronske identifikacije. EU bo zbirala podatke o vseh »evropskih državljanih«, ki bodo vključeni v enotno podatkovno zbirko.
Tako velika baza podatkov bo zagotovo velika atrakcija za hekerje ...
Mediji
Komentarji 0
Trenutno ni komentarja na na ta članek ...
...
OPOMBA: Newsexchange stran ne prevzema nobene odgovornosti glede komentatorjev in vsebine ki jo vpisujejo. V skrajnem primeru se komentarji brišejo ali pa se izklopi možnost komentiranja ...
Mediji
Komentarji 0
Slike:
(0%)
