Σελίδες

Πέμπτη 23 Νοεμβρίου 2017

Η e-διακυβέρνηση ακούγεται τέλεια ιδέα -μέχρι την πρώτη επίθεση χάκερ

Του Leonid Bershidsky
Μια ομάδα Τσέχων ερευνητών στον τομέα της ασφάλειας νωρίτερα φέτος ανακάλυψε έναν τρόπο να "κλέβει" τα στοιχεία της ταυτότητας από τις ηλεκτρονικές κάρτες αναγνώρισης προσώπων που χρησιμοποιούνται σε πολλές χώρες, κάτι που έγινε γνωστό στη βιομηχανία κρυπτογράφησης ως η ευπάθεια "ROCA". Μέχρι στιγμής, η ευπάθεια αυτή έχει προκαλέσει προβλήματα στην Εσθονία -τη χώρα με το ίσως πιο ολοκληρωμένο σύστημα ηλεκτρονικής ταυτοποίησης και ηλεκτρονικής διακυβέρνησης στον κόσμο- και στην Ισπανία. Ο πρώην Πρόεδρος της Εσθονίας Toomas Hendrik Ilves, ένας ένθερμος υποστηρικτής της ηλεκτρονικής διακυβέρνησης της χώρας του, δήλωσε ότι και άλλες χώρες και θεσμοί έχουν το ίδιο πρόβλημα, απλά δεν μιλούν ανοιχτά για αυτό. Είναι πολύ πιθανό να έχει δίκιο.
Η ανακάλυψη των ερευνητών θέτει ένα σημαντικό ερώτημα: Μήπως είμαστε υπερβολικά πρόθυμοι να υιοθετήσουμε τεχνολογικές λύσεις σε προβλήματα που δεν χρειάζεται απαραίτητα;
Οι έξυπνες κάρτες με τεχνολογία κρυπτογράφησης χρησιμοποιούν δύο μαθηματικά συνδεδεμένα "κλειδιά" για να κρυπτογραφήσουν και να
αποκρυπτογραφήσουν τις πληροφορίες: ένα δημόσιο και ένα ιδιωτικό. Ο ιδιοκτήτης είναι ελεύθερος να αποκαλύψει το πρώτο, αλλά πρέπει να διατηρήσει ιδιωτικό το δεύτερο. Μπορεί, για παράδειγμα, να υπογράψει ένα έγγραφο με το ιδιωτικό κλειδί και το δημόσιο μπορεί στη συνέχεια να χρησιμοποιηθεί για την επαλήθευση της υπογραφής. Οι ερευνητές του Πανεπιστημίου Masaryk ανακάλυψαν ότι μια βιβλιοθήκη λογισμικού από τη γερμανική εταιρεία Infineon, που χρησιμοποιείται σε πολλές "έξυπνες" κάρτες, μπορούσε να καταστήσει πολύ εύκολο να βρει κανείς τα ιδιωτικά κλειδιά χρησιμοποιώντας τα δημόσια. Αυτό δυνητικά δημιουργεί ευκαιρίες για υποκλοπή των στοιχείων της ταυτότητας ή για την καταστροφή εκατομμυρίων ηλεκτρονικά υπογεγραμμένων συμβολαίων.
Η Infineon άλλαξε τον αλγόριθμο δημιουργίας κλειδιών για να διορθώσει αυτό το ελάττωμα, αλλά εκατομμύρια κάρτες εκεί έξω, συμπεριλαμβανομένων 750.000 καρτών που ανήκουν σε Εσθονούς, κατέληξαν να χρειάζονται ενημέρωση πιστοποιητικού. Για τη μικροσκοπική Εσθονία, η οποία έχει κάνει την προηγμένη τεχνολογία ένα πεδίο το οποίο την κάνει να διαφέρει παγκοσμίως, μία και μόνο περίπτωση κλοπής ταυτότητας θα μπορούσε να καταστρέψει τη φήμη της. Έτσι η κυβέρνηση της χώρας αποφάσισε να διατηρήσει διαφανή στάση σχετικά με την ενημέρωση. Ωστόσο, όπως ήταν φυσικό, όταν δεκάδες χιλιάδες άτομα επιχείρησαν να εγκαταστήσουν την ενημέρωση, οι χρόνοι αναμονής και οι περιπτώσεις αποτυχίας διογκώθηκαν. Αφού ξόδεψε ώρες προσπαθώντας να ενημερώσει την ταυτότητά της, η Theresa Bubbear, πρέσβειρα του Ηνωμένου Βασιλείου στην Εσθονία, αναρωτήθηκε σε ένα tweet στις 2 Νοεμβρίου εάν η "e-Εσθονία" "χάνει τη λάμψη της". Στις 16 Νοεμβρίου, τελικά έγραψε σε ένα tweet "Αλληλούια!" καθώς ολοκληρώθηκε η ενημέρωση.
Ωστόσο, η Ισπανία είναι μία πολύ μεγαλύτερη χώρα με περίπου 60 εκατομμύρια ηλεκτρονικές κάρτες ταυτοποίησης σε κυκλοφορία. Οι Ισπανοί δεν μπορούν να τις χρησιμοποιήσουν για να ψηφίσουν ή για να διεξαγάγουν οικονομικές συναλλαγές όπως οι Εσθονοί, αλλά τώρα που η κυβέρνηση απενεργοποίησε τα ψηφιακά πιστοποιητικά στις κάρτες, δεν μπορούν να τις χρησιμοποιήσουν για λειτουργίες όπως η υπογραφή εγγράφων σε μηχανήματα εγκατεστημένα σε αστυνομικούς σταθμούς. Οι ισπανικές αρχές δεν ήταν τόσο πρόθυμες να εξηγήσουν το πρόβλημα όπως οι Εσθονοί, δημιουργώντας έτσι σύγχυση.
Το πρόβλημα τελικά θα διορθωθεί. Αν ανησυχείτε ότι τα κλειδιά κρυπτογράφησής σας έχουν επηρεαστεί, υπάρχει ένας ιστότοπος που συνδέεται με δύο από τους Τσέχους ερευνητές, ένας εκ των οποίων μπορεί να το ελέγξει. Αλλά το μεγάλο ερώτημα είναι αν οι κυβερνήσεις πρέπει να προωθήσουν την παροχή πιο σημαντικών υπηρεσιών στο διαδίκτυο.
Όταν επισκέφτηκα την Εσθονία το 2015 για να μιλήσω με τον Ilves -ο οποίος ήταν ακόμη Πρόεδρος τότε- και με τους ανθρώπους που είχαν αναλάβει την προσπάθεια ψηφιοποίησης της χώρας, γύρισα πίσω με ένα αίσθημα ζήλιας για ό,τι είχαν επιτύχει. Οι συναλλαγές με την κυβέρνηση σχεδόν ποτέ δεν απαιτούν να μεταβεί κανείς σε κάποια δημόσια υπηρεσία. Οι εθνικές βάσεις δεδομένων είναι ηλεκτρονικές και προσβάσιμες με την ψηφιακή ταυτότητα. Η ηλεκτρονική υπογραφή είναι πανταχού παρούσα. Μπορείτε να δείτε τις ακτινογραφίες σας μέσω διαδικτύου, όποιος γιατρός κι αν τις έβγαλε. Οι κοινοβουλευτικές εκλογές μόλις είχαν διεξαχθεί και περίπου 170.000 άνθρωποι ψήφισαν από το σπίτι χρησιμοποιώντας τις ψηφιακές τους ταυτότητες. Αναρωτήθηκα γιατί δεν υιοθετούσαν περισσότερες χώρες το φθηνό, εύκολα προσαρμόσιμο σύστημα της Εσθονίας.
Η ευπάθεια ROCA δίνει μια απάντηση σε αυτό το ερώτημα ενώ κάνει ελάχιστα για να μειώσει τη ζήλια μου. Η Εσθονία, με το διαχειρίσιμο μέγεθος και τη σχετικά δεμένη και αξιόπιστη κοινωνία, μπορεί να αντιμετωπίσει τις περιστασιακές ευπάθειες, ειδικά αφού ανέλαβε τον ρόλο ενός πρώτου πειραματικού μοντέλου. Ακόμη και αν ένα μεγάλο hack καταστρέψει την παγκόσμια φήμη της, το ότι συνειδητά αποτελεί ένα έδαφος δοκιμής, που βρίσκεται μάλιστα ακριβώς στα ρωσικά σύνορα, μπορεί να βοηθήσει την Εσθονία να το υποβαθμίσει.
Είναι όμως πιο δύσκολο για χώρες όπως οι ΗΠΑ, το Ηνωμένο Βασίλειο ή η Γερμανία να αντεπεξέλθουν σε αυτόν τον τεχνολογικό κίνδυνο. Οι πρόσφατες παραβιάσεις στις ΗΠΑ, συμπεριλαμβανομένης αυτής στο Γραφείο Διαχείρισης Προσωπικού (OPM), που εξέθεσε τα προσωπικά δεδομένα εκατομμυρίων κυβερνητικών υπαλλήλων ή η καταστροφή της Equifax που έπληξε 143 εκατομμύρια Αμερικανούς, δείχνουν τον κίνδυνο του να ανεβαίνουν στο διαδίκτυο προσωπικές πληροφορίες. Όσον αφορά την ηλεκτρονική ψηφοφορία, αν οι ΗΠΑ και το Ηνωμένο Βασίλειο χρησιμοποιούσαν το εσθονικό σύστημα και τον ίδιο αλγόριθμο δημιουργίας κλειδιών, οι hackers θα μπορούσαν να έχουν αλλάξει τα αποτελέσματα του δημοψηφίσματος για το Brexit ή των προεδρικών εκλογών του 2016 - και κανείς δεν θα το είχε καταλάβει μέχρι σήμερα.
Όσο κι αν θα ήθελα να μην πάω ποτέ ξανά σε κάποια δημόσια υπηρεσία- κάτι που πρέπει να κάνω συνεχώς στη Γερμανία, με τις χρονοβόρες γραφειοκρατικές διαδικασίες και τα δημόσια έγγραφα - πρέπει να παραδεχτώ ότι το παλιομοδίτικο μοντέλο με το "χαρτί και το μολύβι" έχει τα πλεονεκτήματά του, ειδικά σε χώρες αρκετά μεγάλες ώστε μία παραβίαση των κυβερνητικών βάσεων δεδομένων να αποδειχτεί "λαβράκι" για τους εγκληματίες και τους κατασκόπους.
Αντιμετωπίζουμε ένα -μόνο λίγο- διαφορετικό δίλημμα όταν κάνουμε σχέδια για τα αυτο-οδηγούμενα αυτοκίνητα. Ξέρω ότι μπορώ να κάνω μία λάθος κίνηση πίσω από το τιμόνι που θα με σκοτώσει. Αλλά θα προτιμούσα να ζήσω με αυτόν τον κίνδυνο παρά με μία αλγοριθμική δυσλειτουργία ή ένα hack που θα έχει το ίδιο αποτέλεσμα.
Η προώθηση της ψηφιακής διακυβέρνησης, παρά τη σημαντική τεχνολογική αλλαγή που θα επιφέρει, δεν πρέπει να είναι μία επιλογή που θα κάνουμε "με τα μάτια κλειστά". Θα πρέπει να εξηγήσουν εξονυχιστικά στις κοινωνίες τους κινδύνους πριν αυτές ψηφίσουν θετικά για να προχωρήσουν σε τέτοιες καινοτομίες.

Δεν υπάρχουν σχόλια:

Δημοσίευση σχολίου

Τα μηνύματα που δημοσιεύονται στο χώρο αυτό εκφράζουν τις απόψεις των αποστολέων τους. Το ιστολόγιο μας δεν υιοθετεί καθ’ οιονδήποτε τρόπο τις απόψεις αυτές. Ο καθένας έχει δικαίωμα να εκφράζει την γνώμη του, όποια και να είναι αυτή.
Παρακαλούμε να γράφετε με Ελληνικούς χαρακτήρες, επίσης οι σχολιασμοί σας να μη ξεφεύγουν από τα όρια της ευπρέπειας.
Σχόλια τα οποία περιέχουν ύβρεις, θα διαγράφονται.
Τα σχόλια πλέον ελέγχονται από τους διαχειριστές του ιστολογίου, γιαυτό θα υπάρχουν καθυστερήσεις στην εμφάνιση τους. Γενικά γίνονται όλα αποδεχτά, εκτός από αυτά που είναι διαφημίσεις ή απάτες.
Σας ευχαριστούμε για την κατανόηση.
(επικοινωνία:eleftheroi.ellines@gmail.com)