Technologie

Ztracená identita národního ID Aadhaara v Indii se proměnila v noční můru soukromí a bezpečnosti

Ztracená identita národního ID Aadhaara v Indii se proměnila v noční můru soukromí a bezpečnosti

Myšlenka na vytvoření univerzálního systému identity spojeného s biometrikou zní jako něco, co by nejchytřejší národy měly v budoucnu. Prima facie, úkol je monumentální a bezpečnost musí být prvořadá.

A pokud tato databáze ID také spojuje citlivé bankovní údaje každého zapsaného občana a také jejich primární čísla mobilních telefonů, musí být zabezpečení kolem něj mnohem přísnější.

Bohužel pro Indii je zabezpečení databáze tak slabé, že hackerům připadá, jako by se pomocí kladiva vrazilo do hřebíku. Je to příliš mnoho síly na práci, kterou lze dosáhnout v mizerném součtu 500 Rs, bez ioty hackerského know-how. A největší věcí, které si musíte dělat starosti, je, jak se Aadhaar stal nástrojem pro státní dozor.

Miliony Indů musí být znepokojeny Aadhaarem, a to nejen kvůli jednomu nebo dvěma důvodům. Je to celá řada problémů pro indický národní program identity. Dovolte mi, abych vás provedl krátkou historií Aadhaaru, počínaje okamžikem, kdy začaly zvonit varovné zvony.

Dívka si prohlédne sítnici a duhovku kvůli zápisu Aadhaar (SHUTTERSTOCK)

Velmi krátká historie

Aadhaar byl koncipován jako univerzální systém ID, který by občanům umožnil využívat vládní služby bez nutnosti použití více ID a bez použití prostředníků. Záměrem bylo snížit tření, které dosud bránilo růstu digitální ekonomiky a správy věcí veřejných, a zároveň odstranit bolestné místo prostředníků nebo byrokratů, kteří byli považováni za hlavní důvod korupce a zpronevěry veřejných prostředků. Na papíře to byl nápad velkolepý, i když už v prvních dnech byly vzneseny obavy o soukromí - obavy, které by se nakonec ukázaly být pravdivé.

Začalo to hladce, ale děravý proces registrace občanů vedl k lakhům falešných karet Aadhaar a vláda měla na rukou další problém. Falešné karty Aadhaar by zločinci mohli snadno propojit se skutečnými bankovními účty, aby odčerpali prostředky určené ze zamýšleného bankovního účtu spojeného s Aadhaarem. Kromě toho lze pomocí falešných karet Aadhaar jako důkazu ID pro nová mobilní čísla snadno zamaskovat trestnou činnost.

Indická vláda byla tedy nucena učinit nový krok. Tentokrát přimělo občany, aby propojili bankovní účty s Aadhaarem, aby takové podvodné vazby zastavili. A podobně i pro mobilní čísla.

Problém však běžel mnohem hlouběji než pouhé falešné karty Aadhaar, zvláště když skutečná data Aadhaar byla vládními webovými stránkami zobrazována nahá téměř pro kohokoli.

Vláda prosakuje z Aadhaaru

v Květen 2017, zpráva od Centrum pro internet a společnost, které odhalilo, že Aadhaar údaje o více než 130 milionů lidí, včetně počtu bankovních účtů více než 100 milionů lidí, došlo k úniku vládních webových stránek kvůli špatným implementacím bezpečnostních opatření.

Zajímavé je, že ani forma žádosti Aadhaaru bývalého kapitána indického kriketu, MS Dhoni, se nemohla vyhnout únikům roku 2017, což skutečně posunulo otázku soukromí do národní záře.

Pane, mluvím o aplikaci, která byla tweetována spolu s obrázkem @CSCegov_ pic.twitter.com/EHYwzfzfKR

- Sakshi Singh 🇮🇳❤️ (@SaakshiSRawat) 28. března 2017

Pak dovnitř Července 2017, měsíc, kdy se pro Aadhaara nestalo nic zvlášť dobrého, byl absolvent IIT Kharagpur obviněn z hacknutí do databáze Aadhaar UIDAI využíváním zranitelností v jiném vládním projektu aplikace Digital India. Nejde však o první aplikaci související s Aadhaarem, kterou lze snadno hacknout, jak uvidíme.

Telcos zneužití Aadhaar

Od této chvíle však již Indové museli propojovat bankovní a mobilní čísla se svými Aadhaary. Tato otázka vyvolala kvůli své povinné povaze obrovskou polemiku a zpochybnila legitimitu Aadhaara.

Skenování otisků prstů pro kartu Aadhaar

Také v Červenec loňského roku, web zvaný „magicapk.com“ odhalil osobní údaje přibližně 120 milionů předplatitelů Jio, kteří aktivovali připojení Jio pomocí své karty Aadhaar, během rané fáze vstupu telekomunikačního operátora na trh. Policie Maháráštra zatkla předčasné ukončení počítačového kurzu z Rádžasthánu v údajné souvislosti s tímto únikem, ale od té doby se na veřejné světlo nedostalo nic jiného.

v Prosinec 2017, Jioův úhlavní rival Airtel se dostal pod skener soukromí Aadhaarů. Společnost UIDAI musela pozastavit proces ověřování e-KYC založeného na Aadhaaru jeho bankovní pobočky poté, co bylo zjištěno, že Airtel použil údaje Aadhaar e-KYC poskytnuté zákazníkem k ověření SIM k otevření účtu Airtel Payments Bank pro více než 3 miliony zákazníků bez jejich „informovaného souhlasu“ ''.

Falešné karty Aadhaar

Několik měsíců před napomenutím společnosti Airtel Září 2017, další zcela očekávaný incident poskvrnil Aadhaarův obraz dále. Uttarpradéšská speciální pracovní skupina (STF) zatkla gang zločinců podílejících se na výrobě falešných karet Aadhaar (jedinečná identifikační čísla, kdokoli). Jejich způsob, jak toho dosáhnout? Gang hackl nastavení biometrické bezpečnosti UIDAI prostřednictvím klonovaných skenů otisků prstů. Samotné UIDAI bylo nuceno zrušit privilegium přístupu k databázi více než 5 000 určených úředníků kvůli zprávám o tom, že Aadhaarova data byla prodána za nepatrné částky.

Vládní úniky pokračují

Kolem listopadu 2017 se stanovisko proti Aadhaarovi skutečně začalo otupovat po spoustě bezpečnostních nehod a narušení dat. Ale to byl jen začátek. Bylo zjištěno, že dalších 200 vládních a státních webů obsahovalo veřejně uvedené osobní údaje příjemců Aadhaaru po neznámou dobu před odstraněním, což muselo přiznat i UIDAI.

Sběr biometrických dat (Obrázek: Biswarup Ganguly / CC BY 3.0)

500 Rs za miliardu ID

Nejvíce alarmující událost, která odhalila holá tvrzení UIDAI o „vysoce zabezpečené“ databázi, byla zaznamenána v Ledna 2018. Tribune provedl bodnou operaci, kde bylo zjištěno, že stačí zaplatit Rs. 500 pro přístup k více než miliardě čísel Aadhaarů dosud vytvořené spolu s dalšími osobními údaji s nimi spojenými.

Vláda byla po celou dobu v režimu odmítnutí, a to navzdory tvrzením lidí, kteří podvod údajně řídili, o opaku. Po velkém tlaku měla odpověď přijít s Virtual ID, které lze v některých případech použít místo čísla Aadhaar

Aplikace mAadhaar Torn Apart

Virtuální ID by bylo povoleno uživatelem Uadai mobilní řešení Aadhaar - aplikace mAadhaar. Ale to byl další případ špatné technologie a kybernetické bezpečnosti.

Aplikace #Aadhaar #android ukládá vaše biometrické nastavení do místní databáze chráněné heslem. Pro vygenerování hesla použili náhodné číslo s 123456789 jako semeno a napevno řetězec db_password_123 🤦‍♂️ pic.twitter.com/Ty7cPmOjAb

- Elliot Alderson (@ fs0c131y) 10. ledna 2018

Kromě nevyleštěného uživatelského rozhraní, toho, co bylo děsivější, bylo náhodné a časté zhroucení závažné bezpečnostní nedostatky.

Nezávislý výzkumník v oblasti bezpečnosti, Baptiste Robert, který tweetuje jako @ fs0c131y a přezdívá se Elliot Alderson (oba založené na televizním panu Robotovi) na Twitteru, poukázal na velmi mělká bezpečnostní opatření implementovaná v aplikaci mAadhaar pro Android, která může být relativně snadno prolomena získat přístup k důležitým biometrickým údajům a osobním údajům téměř jakékoli osoby.

Chyba v oficiální aplikaci #Aadhaar #android. Ve výchozím nastavení aplikace požaduje heslo pro každou akci. V nastavení můžete tuto ochranu heslem deaktivovat.

Když deaktivujete tento mechanismus vynuceným ukončením aplikace, nemusíte zadávat heslo. pic.twitter.com/HJ8PqyIXS1

- Elliot Alderson (@ fs0c131y) 16. ledna 2018

Nyní to řeknu velmi jasně. Databáze UIDAI není dostatečně posílena, aby rozptýlila útoky hackerů. Ani aplikace mAadhaar, která je plná základních zranitelností. Robert dále poukázal na další nedostatky, včetně závažných problémů s instalacemi WordPress v doménách souvisejících s Aadhaarem.

Kromě toho učinil několik závažných obvinění, která UIDAI nebo jakýkoli příslušný orgán v Indii ještě musí vyvrátit. Tato vágní a slabá bezpečnostní infrastruktura kolem kritického vládního programu má vážné důsledky pro všechny Indy.

Oficiální aplikace #Aadhaar #android zasílá SMS k ověření uživatele. Aby se zabránilo zneužití, obecně přidáte limit rychlosti odesílání. Uživatel musí před opětovným odesláním SMS počkat 2 minuty. @UIDAI neimplementoval tento druh omezení v aplikaci. Jaké jsou důsledky?

- Elliot Alderson (@ fs0c131y) 22. ledna 2018

Pokud jde o to, jak používali svůj účet #PlayStore, jsem si docela jistý, že nejsou schopni aktualizovat oficiální aplikaci #Aadhaar #android, protože ztratili klíč k vydání. Prosím @UIDAI, ukaž mi, že se pletu

- Elliot Alderson (@ fs0c131y) 14. ledna 2018

Útočník bude schopen zaplavit veškerou populaci #India a @UIDAI přijde o spoustu peněz.

.@UDAI nebuďte hloupí, odeberte oficiální aplikaci #Aadhaar #android z PlayStore, toto je nejlepší tah, který máte.

- Elliot Alderson (@ fs0c131y) 22. ledna 2018

A jako by ruce UIDAI ještě nebyly plné, regulační úřad přidal do repertoáru biometrických bezpečnostních klíčů Aadhaar další způsob ověření identity - rozpoznávání obličeje.

Nyní možná nejsem jediný, kdo si to myslí, ale používání zvuků rozpoznávání obličeje zní jako začátek drakonického systému, kde jsou ID neustále kontrolovány a ověřovány automatizovanými procesy a kamerami s podporou AI. To je stav dozoru, před kterým nás mnozí varovali. To se již děje v Číně, kde jsou menšiny a jejich pohyby sledovány kamerami s umělou inteligencí.

UIDAI přidal rozpoznávání obličeje jako další opatření, aby bylo pohodlné pro lidi, kteří pro ověření nemohou používat otisky prstů nebo snímky duhovky, ale pokud ano, proč je povinné?

Zřídka souhlasíme s bývalými šéfy zpravodajských služeb, ale šéf indického RAW píše, že #Aadhaar je zneužíván bankami, telekomunikacemi a dopravou nikoli na policejní oprávnění, ale jako zástupce identity - nesprávná brána do služby. Tyto požadavky musí být kriminalizovány. https://t.co/rRSn42XLlQ

- Edward Snowden (@Snowden) 21. ledna 2018

Na co je to tedy dobré?

To je jen mnoho vážných otázek kolem Aadhaara, dost na to, aby zasáhl mráz po zádech každému občanovi, který má obavy o jeho soukromí v Indii. Zapomeňte na soukromí, slabá implementace zabezpečení Aadhaar je výzvou pro nejméně sofistikované hackery na světě, aby přišli a sifonovali naše finanční, osobní a demografické údaje.

Aadhaar začal jako ambiciózní projekt právě z tohoto důvodu. Vláda oprášila obavy o soukromí a bezpečnost, ai když jsou nyní některé z lží odhaleny, nezdržovala se falešných tvrzení a slibů o efektivitě, výhodách a bezpečnosti systému. Situace je tak špatná, že si mnoho lidí klade otázku, zda by její likvidace nemusela být levnější variantou.

Z ekonomického i logického hlediska bude zbavení se Aadhaara problémem. Nesmírné množství zdrojů vynaložených na přemístění Aadhaara z městských prostor do nejvzdálenějších vesnic v zemi půjde dolů. Zadruhé nebude snadné vyčistit obrovskou mezipaměť dat souvisejících s tímto schématem - online data lze velmi zřídka zcela vymazat, zvláště poté, co byla aktivní tolik let.

Od této chvíle to vypadá jako klasické dilema. A tak se Indové nechávají přemýšlet, jaký je přesně osud jejich Aadhaarových životů. Hlavní případ, který v současné době projednává Nejvyšší soud, by mohl rozhodnout o konečném osudu Aadhaara a rozsahu, v jakém jej lze použít pro ověřování, využívání základních služeb a pro elektronickou správu. Aadhaar se změnil z bytí vlajkového nositele vládního digitalizačního tlaku na největší noční můru Indie.

Nejúžasnější tweety na Twitteru
Twitter denně poskytuje více než 250 milionů tweetů, které jsou kategorizovány podle jejich obsahu, jak je uvedeno níže: Zbytečné blábolení - 40% Kon...
Jak Jak optimalizovat PUBG Mobile pro telefony se zářezy
Jak optimalizovat PUBG Mobile pro telefony se zářezy
Nevzhledné řešení společnosti Apple pro umístění přední kamery a senzorů na téměř bezrámečkovém iPhonu X vzalo ekosystém smartphonu Android útokem a p...
Jak Jak převést živé fotografie z iPhone na GIF pomocí Google Motion Stills
Jak převést živé fotografie z iPhone na GIF pomocí Google Motion Stills
Apple představil „Live Photos“ jako vlajkovou loď iPhonu 6s a implementace dynamických obrázků na nás udělala velký dojem. I když jsou živé fotografie...