ΔΙΑΦΗΜΙΣΤΕΙΤΕ ΕΔΩ
Έχω την χαρά και την τιμή ένας παγκοσμίου φήμης προγραμματιστής και ειδικός Κυβερνοασφάλειας ο Μεσολογγίτης Γεράσιμος Μπαρχαμπάς να μας διαφωτίσει για το πόσο ασφαλής είναι η νέα ηλεκτρονική ταυτότητα που θέλουν να μας επιβάλλουν. Γεράσιμος Μπαρχαμπάς - Metapedia .
Συνέντευξη στον Ιωάννη Παπαζήση
Με βάση το Φ.Ε.Κ που εκδόθηκε για τις προδιαγραφές των νέων ηλεκτρονικών ταυτοτήτων πείτε μας ένας απλός πολίτης μπορεί να έχει πρόσβαση σε όλα τα στοιχεία που βρίσκονται εντός της ταυτότητας του;;;
Θα μπορεί να έχει πρόσβαση μόνο σε όσα στοιχεία είναι ορατά με το μάτι και είναι αποτυπωμένα πάνω στην κάρτα. Από εκεί και πέρα όσα στοιχεία είναι εγγεγραμμένα στο RFID chip δεν θα μπορούν να είναι γνωστά στον πολίτη διότι χρειάζεται τον κατάλληλο εξοπλισμό και τις απαραίτητες γνώσεις. Με τα κατάλληλα μέσα υπάρχουν τρόποι όπου μπορούν να διαβαστούν όλες οι κρυφές πληροφορίες που περιέχονται στο RFID chip και ο εξοπλισμός είναι σχετικά φθηνός.
Η ιδιωτική εταιρεία που θα κατασκευάσει τις ταυτότητες αυτές μπορεί εφόσον οι προδιαγραφές των είναι απόρρητες να παραχωρήσει στοιχεία μας
σε όποιον αυτήν θέλει και αυτό να μην γίνει αντιληπτό από τις αρμόδιες αρχές ;;;;
Παρότι είναι παράνομο φυσικά και μπορεί να γίνει, συνέβη πολλές φορές στο παρελθόν εταιρείες να πουλάνε δεδομένα κυρίως για πολιτικούς λόγους
ώστε να χρησιμοποιηθούν κατά την προεκλογική περίοδο για εκστρατεία. Ας μην ξεχνάμε το γνωστό σκάνδαλο δεδομένων Facebook-Cambridge Analytica, όπου
συλλέχθηκαν προσωπικά δεδομένα από περίπου 87 εκατομμύρια χρήστες του Facebook χωρίς τη συγκατάθεσή τους από τη βρετανική εταιρεία συμβούλων Cambridge Analytica, τα οποία προορίζονταν κυρίως για πολιτική διαφήμιση και χρησιμοποιήθηκαν για εκστρατείες στις προεδρικές εκλογές τβν ΗΠΑ το 2016.
Αν γίνει πραγματικότητα η παραλαβή της νέας ταυτότητας από κάποιον το απαραβίαστο της ιδιωτικότητας του ,το ιατρικό του απόρρητο
και το απόρρητο των περιουσιακών του στοιχείων θα πάψουν να υφίστανται;;;
Για να απαντήσουμε με ακρίβεια σε αυτά τα ερωτήματα θα πρέπει να μας απαντήσουν οι αρμόδιοι της Κυβέρνησης στο εξής ερώτημα. Ποι0ς θα είναι ο ακριβής τύπος (ακριβές μοντέλο) της παθητικής ετικέτας RFID για να είμαστε σε θέση να γνωρίζουμε κάποιες συγκεκριμένες λειτουργίες. Οι ετικέτες RFID κατηγοριοποιούνται σε τρεις τύπους ανάλογα με τον τρόπο επικοινωνίας μεταξύ των ετικετών και των αναγνωστών, στις ενεργές ετικέτες, στις παθητικές ετικέτες και στις ημιπαθητικές ετικέτες. Στην περίπτωση μας έχουμε παθητική ετικέτα οπότε θα πρέπει να γνωρίζουμε τον τρόπο λειτουργίας του συγκεκριμένου ολοκληρωμένου κυκλώματος. Οι ετικέτες RFID μπορούν να να περιέχουν μνήμη μόνο για ανάγνωση (read only memory - ROM), επανεγγράψιμη μνήμη (Read – Write), μνήμη μιας εγγραφής και πολλών αναγνώσεων (Write Once and Read Many memory - WORM). Στο ολοκληρωμένο κύκλωμα με μνήμη ROM, η αναγνώριση της ταυτότητας κωδικοποιείται κατά τη διάρκεια της παραγωγής της και δεν επανεγγράφεται. Συμβάλει στην αποθήκευση των δεδομένων ασφαλείας, με ένα μοναδικό σειριακό αριθμό. Αντίθετα, τα ολοκληρωμένα κύκλωμα με επανεγγράψιμη μνήμη χρησιμοποιούνται για να αποθηκεύουν δεδομένα – πληροφορίες, όταν η ετικέτα βρίσκεται στην ακτίνα του αναγνώστη και παρουσιάζουν μεγαλύτερη ευελιξία, καθώς έχουν τη δυνατότητα τροποποίησης και προσθήκης πληροφοριών. Τέλος, τα ολοκληρωμένα κυκλώματα με μνήμη “WORM” προγραμματίζονται από τον οργανισμό που τα χρησιμοποιεί, χωρίς όμως να έχουν τη δυνατότητα της επανεγγραφής. Αν η ετικέτα δεν διαθέτει επανεγγράψιμη μνήμη (Read – Write), δεν μπορεί να κρατά πληροφορίες όπως το ιατρικό απόρρητο διότι το ανώτερο όριο αποθήκευσης είναι τα 2KB όπου είναι πολύ μικρό και δεν μπορούν να αποθηκευτούν τέτοια δεδομένα. Αν διαθέτει επανεγγράψιμη μνήμη (Read – Write) τότε αλλάζει εντελώς το σκηνικό διότι θα μπορούν να εγγράφονται συνεχώς νέα δεδομένα μέχρι αποθηκευτικό όριο 2KBю. Στην περίπτωση αυτή θα μπορούσε για παράδειγμα στο μέλλον η κάρτα αυτή να συνδεθεί με κάποιο ψηφιακό νόμισμα όπως το ψηφιακό ευρώ, να καταγράφει για παράδειγμα τις κινήσεις ενός ανθρώπου σε διάφορες συναλλαγές στο Δημόσιο, τις μετακινήσεις του, πρόστιμα τα οποία έχουν βεβαιωθεί κλπ. Δεν λέω πως αυτά τα πράγματα θα εφαρμοστούν κρούω τον κώδωνα του κινδύνου διότι στο μέλλον μπορεί να πιαστούμε αλλάξουν τα δεδομένα. Αν η κάρτα έχει δυνατότητα επανεγγράψιμης μνήμης τότε οι δυνατότητες που τις δίνονται είναι τεράστιες και ανοίγουν επικίνδυνοι δρόμοι. Πρέπει να πούμε ακόμη για να είμαστε δίκαιοι ότι δεν τίθεται θέμα γεωντοπισμού που ακούστηκε έντονα, οι συγκεκριμένες RFID ετικέτες είναι παθητικές.
Πόσο εύκολα και με τι μέσα μπορεί ένας κακόβουλος χρήστης να αποκτήσει πρόσβαση στους κωδικούς της ταυτότητας αυτής και να αλλοιώσει τα στοιχεία που βρίσκονται εντός αυτής;;;;
Για να αλλοιώσει τα στοιχεία της ταυτότητας η μνήμη πρέπει να είναι αποκλειστικά επανεγγράψιμη (Read – Write). Σε κάθε περίπτωση όμως η μνήμη είτε είναι επανεγγράψιμη (Read – Write), είτε μόνο για ανάγνωση (read only memory - ROM), ο κακόβουλος χρήστης μπορεί να κλωνοποιήσει την κάρτα με έναν εξοπλισμό της που κυμαίνεται σε κόστος από 300 έως 500 ευρώ. Με την μέθοδο της κλωνοποιήσης ένας χάκερ μπορεί να μιμείτε ακριβώς την ταυτότητα του προσώπου του οποίου χάκαρε σε όλες τις δραστηριότητες της καθημερινότητας, πράγμα ιδιαίτερα επικίνδυνο. Ένα αντιγραφικό RFID (ή ένας αντιγραφέας RFID) είναι μια συσκευή που αντιγράφει τα δεδομένα από μια ετικέτα RFID και τα αποτυπώνει σε μια άλλη, επιτρέποντας τη δημιουργία ακόμη και πολλαπλών καρτών της ίδιας ετικέτας. Επίσης ένας κακόβουλιος χρήστης μπορεί να μπλοκάρει τις κάρτες αυτές με ετικέτες RFID από το να λειτουργούν, απλώς με το να είναι κοντά και να παράγει ένα σήμα που είναι ισχυρότερο από αυτό που εκπέμπεται από τον αναγνώστη RFID. Αυτό μπορεί να καταστήσει αδύνατη την παρακολούθηση του αποθέματος με χρήση RFID, ενώ επίσης δημιουργεί γενικό όλεθρο αποτρέποντας την πρόσβαση στην χρήση του δελτίου ταυτότητας. Η κλωνοποίηση RFID εκμεταλλεύεται το γεγονός ότι αυτές οι κάρτες επικοινωνούν με οποιονδήποτε αναγνώστη αδιακρίτως. Οι χάκερ αυτών των καρτών πρέπει απλώς να έχουν έναν αναγνώστη καρτών σε απόσταση ανάγνωσης από μια κάρτα και μπορούν να δεσμεύσουν τα δεδομένα που είναι φορτωμένα στο τσιπ από κάποια μικρή απόσταση. Αυτά τα δεδομένα μπορούν στη συνέχεια να αντιγραφούν σε μια κενή κάρτα και ο χάκερ μπορεί ουσιαστικά να παρουσιαστεί ως νόμιμος πολίτης.
Οι χάκερ μπορούν επίσης να τοποθετήσουν ένα εξάρτημα μέσα στον ίδιο τον αναγνώστη, ο οποίος στη συνέχεια κλέβει τα δεδομένα από οποιαδήποτε κάρτα που διαβάζεται και τα μεταδίδει στο τηλέφωνο ενός χάκερ ή σε άλλες συσκευές. Αλλά η εγκατάσταση ενός αναγνώστη-εξαπάτησης είναι λίγο πιο δύσκολη,
καθώς ο χάκερ πρέπει να ανοίξει το περίβλημα του ίδιου του αναγνώστη. Βέβαια όλα αυτά απαιτούν γνώσεις για να γίνουν διότι παίζουν ρόλο διάφοροι παράμετροι όπως η κρυπτογράφηση δεδομένων που χρησιμοποιεί η κάρτα, αν εκμπέμπει σε υψηλή συχνότητα 13,56 MHz η χαμηλή στα 125KHz κ.α,
Το αποτέλεσμα είναι ότι η ασφάλεια μπορεί να σπάσει με τις κατάλληλες γνώσεις και τον κατάλληλο εξοπλισμό όπως προαναφέραμε. Ο χρόνος που απαιτείται είναι κατά μέσο όρο μισή ώρα.
Τα κινητά τηλέφωνα παρακολουθούνται η όχι και πώς μπορούμε να τα κάνουμε να μην παρακολουθούνται;;;;
Τα κινητά τηλέφωνα και τα ευρέως διαδεδομένα στις ημέρας μας smartphones παρακολουθούνται από τις εταιρείες που τα κατασκευάζουν, στέλνοντας
οι συσκευές δεδομένα σε σέρβερς με βάσεις δεδομένων στο παρασκήνιο. Τα τηλέφωνα με λειτουργικό σύστημα Android και IOS όσο και να φτιάξεις δεν γίνεται να μην παρακολουθούνται. Όμως μπορείς να φτιάξεις κινητό τηλέφωνο smartphone με λειτουργικό σύστημα GNU/Linux όπου σε αυτή την περίπτωση το λειτουργικό σύστημα είναι ανοιχτού κώδικα και μπορείς να επέμβεις ανά πάσα στιγμή στον πυρήνα και επίσης δεν κατασκευάζεται από κάποια εταιρεία αλλά από κοινότητες
και οργανισμούς προγραμματιστών όπου αυτό περιορίζει αρκετά την παρακολούθηση. Με Ελεύθερο Λογισμικό Ανοικτού Κώδικα μπορείς να πετύχεις την μέγιστη ασφάλεια προσαρμόζοντας το στις ανάγκες σου εφαρμόζοντας τεχνικές αντί-ψηφιακής εγκληματολογίας όπως η κρυπτογραφία του αποθηκευτικού χώρου, η χρήση συγκεκριμένων καρτών sim, η εφαρμογή πρωτοκόλλων για την επίτευξη της ανωνυμίας στο διαδίκτυο όπως για παράδειγμα η χρήση νευρωνικών δικτύων, η εφαρμογή τεχνικών για την θωράκιση του σήματος και του μοναδικού αριθμού IMEI του τηλεφώνου, κ.α Τέλος να τονίσουμε πώς λογισμικά κρατικών υπηρεσιών που χρησιμοποιούνται για την παγίδευση και την παρακολούθηση κινητών τηλεφώνων (spyware), όπως για παράδειγμα το γνωστό πλέον σε όλους predator η παλιότερα το pegasus κλπ δεν θα είχαν καμία τύχη απέναντι σε ένα κινητό ειδικά διαμορφωμένο με λειτουργικό σύστημα GNU/Linux.
Δεν χρειάζεται να προσθέσουμε τίποτα άλλο πέραν του ότι η ασφάλεια της νέας ηλεκτρονικής ταυτότητας σπάει σε μισή ώρα με φτηνό εξοπλισμό από έναν κακόβουλο χάκερ με τις ανάλογες συνέπειες. Αν τώρα εσείς έχετε εμπιστοσύνη στα λεγόμενα των κυβερνητικών στελεχών μετά από όσα έχουν συμβεί στην χώρα μας, τότε παραδώστε τους και τις τελευταίες σας ελευθερίες, όμως μετά μην ρίξετε τις ευθύνες σε αυτούς για ότι σας συμβεί....
