Ένα smartphone είναι μια ψηφιακή μορφή ταυτότητας για πολλές εφαρμογές και υπηρεσίες. Τμήμα Μεταφορών της Αϊόβα
Τα smartphone αποθηκεύουν το email σας, τις φωτογραφίες σας και το ημερολόγιό σας. Παρέχουν πρόσβαση σε διαδικτυακούς ιστότοπους κοινωνικών μέσων όπως το Facebook και το Twitter, ακόμη και στους τραπεζικούς και πιστωτικούς σας λογαριασμούς. Και είναι κλειδιά για κάτι ακόμα πιο ιδιωτικό και πολύτιμο - την ψηφιακή σας ταυτότητα.
Μέσω του ρόλου τους στο συστήματα ελέγχου ταυτότητας δύο παραγόντων, η πιο συχνά χρησιμοποιούμενη ασφαλή μέθοδο προστασίας ψηφιακής ταυτότητας, τα smartphone έχουν γίνει ουσιαστικά για τον εντοπισμό ατόμων τόσο online όσο και εκτός. Εάν τα δεδομένα και οι εφαρμογές στα smartphones δεν είναι ασφαλή, αυτό αποτελεί απειλή για την ταυτότητα των ανθρώπων, επιτρέποντας στους εισβολείς να θέσουν ως στόχους τους στα κοινωνικά δίκτυα, το email, τις επικοινωνίες στο χώρο εργασίας και άλλους λογαριασμούς στο διαδίκτυο.
Το 2012, το FBI συνέστησε στο κοινό να προστατεύσει τα δεδομένα των smartphone του κρυπτογραφώντας το. Πιο πρόσφατα, όμως, το πρακτορείο έχει ρώτησε τους κατασκευαστές τηλεφώνων να παρέχει έναν τρόπο για να μπείτε σε κρυπτογραφημένες συσκευές, αυτό που ονομάζει η αστυνομία "εξαιρετική πρόσβαση.. " Η μέχρι τώρα συζήτηση επικεντρώθηκε στην προστασία της ιδιωτικής ζωής των δεδομένων, αλλά αυτό παραλείπει μια ζωτική πτυχή της κρυπτογράφησης smartphone: την ικανότητά της να διασφαλίζει τις προσωπικές διαδικτυακές ταυτότητες των ανθρώπων.
Όπως έγραψα στο πρόσφατο βιβλίο μου, "Ακρόαση: Κυβερνοασφάλεια σε ανασφαλή εποχή, "Κάνοντας αυτό που θέλει το FBI - διευκολύνοντας το ξεκλείδωμα των τηλεφώνων - μειώνει απαραίτητα την ασφάλεια των χρηστών. Πρόσφατο Μελέτη Εθνικών Ακαδημιών Επιστημών, Μηχανικής και Ιατρικής, στο οποίο συμμετείχα, προειδοποιεί επίσης ότι η διευκόλυνση του ξεκλειδώματος των τηλεφώνων αποδυναμώνει αυτό το βασικό στοιχείο της ασφάλειας των διαδικτυακών ταυτοτήτων των ανθρώπων.
Συγκέντρωση στοιχείων ή αποδυνάμωση της ασφάλειας;
Τα τελευταία χρόνια, η αστυνομία έχει ζητήσει πρόσβαση στα smartphones των υπόπτων στο πλαίσιο ποινικών ερευνών και οι εταιρείες τεχνολογίας έχουν αντισταθεί. Η πιο σημαντική από αυτές τις καταστάσεις εμφανίστηκε στον απόηχο της Μαζική επίθεση στο Σαν Μπερναρντίνο 2015. Πριν σκοτωθούν οι ίδιοι οι επιτιθέμενοι σε πυροβολισμό, κατάφεραν να καταστρέψουν τους υπολογιστές και τα τηλέφωνά τους - εκτός από ένα, ένα κλειδωμένο iPhone. Το FBI ήθελε το τηλέφωνο να αποκρυπτογραφηθεί, αλλά ανησυχώντας ότι οι αποτυχημένες προσπάθειες να σπάσουν τους μηχανισμούς ασφαλείας της Apple θα μπορούσαν να προκαλέσουν το τηλέφωνο να διαγράψει όλα τα δεδομένα του.
Ο οργανισμός πήρε την Apple στα δικαστήρια, επιδιώκοντας να αναγκάσει την εταιρεία να γράψει ειδικό λογισμικό για να αποφύγει τις ενσωματωμένες προστασίες του τηλεφώνου. Η Apple αντιστάθηκε, υποστηρίζοντας ότι η προσπάθεια του FBI ήταν η υπέρβαση της κυβέρνησης που, εάν ήταν επιτυχής, θα ήταν μειώστε την ασφάλεια όλων των χρηστών iPhone - και, κατ 'επέκταση, αυτό όλων των χρηστών smartphone.
Η σύγκρουση λύθηκε όταν το FBI πλήρωσε μια εταιρεία κυβερνοασφάλειας για να διαρρήξει το τηλέφωνο - και βρέθηκε τίποτα σχετικό στην έρευνα. Αλλά το γραφείο παρέμεινε σταθερό ότι οι ερευνητές πρέπει να έχουν αυτό που αποκαλούσαν "εξαιρετική πρόσβαση, "Και αυτό που άλλοι αποκαλούσαν"πίσω πόρτα”: Ενσωματωμένο λογισμικό που επιτρέπει στην αστυνομία να αποκρυπτογραφεί κλειδωμένα τηλέφωνα.
Η σημασία του ελέγχου ταυτότητας δύο παραγόντων
Η κατάσταση είναι δεν είναι τόσο απλό όσο προτείνει το FBI. Τα ασφαλή τηλέφωνα παρέχουν εμπόδια στις έρευνες της αστυνομίας, αλλά αποτελούν επίσης ένα εξαιρετικό συστατικό της ισχυρής κυβερνοασφάλειας. Και δεδομένης της συχνότητας των κυβερνοεπιθέσεων και της ποικιλομορφίας των στόχων τους, αυτό είναι εξαιρετικά σημαντικό.
Τον Ιούλιο του 2015, Αμερικανοί αξιωματούχοι το ανακοίνωσαν οι κυβερνοκλέφτες είχαν κλέψει τους αριθμούς Κοινωνικής Ασφάλισης, πληροφορίες υγείας και οικονομικές πληροφορίες και άλλα ιδιωτικά δεδομένα του 21.5 εκατομμύρια άνθρωποι που είχε υποβάλει αίτηση για ομοσπονδιακές άδειες ασφαλείας από το Γραφείο Διαχείρισης Προσωπικού των ΗΠΑ. Τον Δεκέμβριο του 2015, έφυγε μια κυβερνοεπίθεση σε τρεις εταιρείες ηλεκτρικής ενέργειας στην Ουκρανία ένα τέταρτο εκατομμύριο άνθρωποι χωρίς ρεύμα για έξι ώρες. Τον Μάρτιο του 2016, έχουν κλαπεί αμέτρητα μηνύματα ηλεκτρονικού ταχυδρομείου από το προσωπικός λογαριασμός Gmail του Τζον Ποντέστα, προέδρου της προεδρικής εκστρατείας της Χίλαρι Κλίντον.
Σε κάθε μία από αυτές τις περιπτώσεις, και πολλά άλλα σε όλο τον κόσμο από τότε, μια κακή πρακτική ασφάλειας - η εξασφάλιση λογαριασμών αποκλειστικά μέσω κωδικών πρόσβασης - αφήστε τους κακούς να κάνουν σοβαρή ζημιά. Όταν τα διαπιστευτήρια σύνδεσης είναι εύκολο να σπάσουν, οι εισβολείς μπαίνουν γρήγορα - και μπορούν περνούν απαρατήρητοι για μήνες.
Η τεχνολογία για την εξασφάλιση διαδικτυακών λογαριασμών βρίσκεται στις τσέπες των ανθρώπων. Χρησιμοποιώντας ένα smartphone για να εκτελέσετε ένα κομμάτι λογισμικού που ονομάζεται έλεγχος ταυτότητας δύο παραγόντων (ή δεύτερου παράγοντα) κάνει την είσοδο σε λογαριασμούς στο διαδίκτυο πολύ πιο δύσκολη για τους κακούς. Το λογισμικό στο smartphone παράγει μια πρόσθετη πληροφορία που πρέπει να παρέχει ένας χρήστης, πέρα από το όνομα χρήστη και τον κωδικό πρόσβασης, προτού του επιτραπεί η σύνδεση.
Προς το παρόν, πολλοί ιδιοκτήτες smartphone χρησιμοποιούν μηνύματα κειμένου ως δεύτερο παράγοντα, αλλά αυτό δεν είναι αρκετά καλό. Το Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας των ΗΠΑ προειδοποιεί ότι η αποστολή μηνυμάτων είναι πολύ λιγότερο ασφαλής από τις εφαρμογές ελέγχου ταυτότητας: Οι επιτιθέμενοι μπορούν υποκλοπή κειμένων ή ακόμη και να πείσετε μια εταιρεία κινητής τηλεφωνίας να προωθήσει το μήνυμα SMS σε άλλο τηλέφωνο. (Έχει συμβεί σε Ρώσοι ακτιβιστές, Ο ακτιβιστής των Black Lives Matter DeRay Mckesson, να άλλοι.)
Μια ασφαλέστερη έκδοση είναι μια εξειδικευμένη εφαρμογή, όπως Επαληθευτής Google or Αυτόχθονες, η οποία δημιουργεί αυτό που ονομάζεται εφάπαξ κωδικός πρόσβασης βάσει χρόνου. Όταν ένας χρήστης θέλει να συνδεθεί σε μια υπηρεσία, παρέχει ένα όνομα χρήστη και έναν κωδικό πρόσβασης και στη συνέχεια λαμβάνει ένα μήνυμα για τον κωδικό της εφαρμογής. Το άνοιγμα της εφαρμογής αποκαλύπτει έναν εξαψήφιο κωδικό που αλλάζει κάθε 30 δευτερόλεπτα. Μόνο με την πληκτρολόγηση αυτού, ο χρήστης είναι πραγματικά συνδεδεμένος. Κάλεσε μια εκκίνηση του Μίσιγκαν Duo Το κάνει ακόμα πιο εύκολο: Αφού ένας χρήστης πληκτρολογήσει ένα όνομα χρήστη και έναν κωδικό πρόσβασης, το σύστημα κάνει ping στην εφαρμογή Duo στο τηλέφωνό της, επιτρέποντάς της να αγγίξει την οθόνη για να επιβεβαιώσει τη σύνδεση.
Ωστόσο, αυτές οι εφαρμογές είναι τόσο ασφαλείς όσο το ίδιο το τηλέφωνο. Εάν ένα smartphone έχει αδύναμη ασφάλεια, κάποιος που το έχει στην κατοχή του μπορεί να αποκτήσει πρόσβαση στους ψηφιακούς λογαριασμούς ενός ατόμου, κλείνοντας ακόμη και τον ιδιοκτήτη. Πράγματι, όχι πολύ μετά το ντεμπούτο του iPhone το 2007, χάκερ ανέπτυξαν τεχνικές for εισβολή σε χαμένα και κλεμμένα τηλέφωνα. Η Apple απάντησε by οικοδόμηση καλύτερης ασφάλειας των δεδομένα στα τηλέφωνά του? πρόκειται για το ίδιο σύνολο προστασίας που επιδιώκει τώρα να αναιρέσει η επιβολή του νόμου.
Αποφυγή καταστροφής
Η χρήση ενός τηλεφώνου ως δεύτερου παράγοντα ελέγχου ταυτότητας είναι βολική: Οι περισσότεροι άνθρωποι μεταφέρουν τα τηλέφωνά τους συνεχώς και οι εφαρμογές είναι εύχρηστες. Και είναι ασφαλές: Οι χρήστες παρατηρούν εάν λείπει το τηλέφωνό τους, κάτι που δεν το κάνουν αν καταργηθεί ένας κωδικός πρόσβασης. Τα τηλέφωνα ως στοιχεία ταυτότητας δεύτερου παράγοντα προσφέρουν τεράστια αύξηση της ασφάλειας πέρα από τα ονόματα χρήστη και τους κωδικούς πρόσβασης.
Αν το Γραφείο Διαχείρισης Προσωπικού χρησιμοποιούσε έλεγχο ταυτότητας δεύτερου παράγοντα, αυτά τα αρχεία προσωπικού δεν θα ήταν τόσο εύκολο να αρθούν. Αν οι ουκρανικές εταιρείες ενέργειας χρησιμοποιούσαν έλεγχο ταυτότητας δεύτερου παράγοντα για πρόσβαση στα εσωτερικά δίκτυα που ελέγχουν τη διανομή ενέργειας, οι χάκερ θα είχαν δυσκολέψει πολύ να διαταράξουν το ίδιο το ηλεκτρικό δίκτυο. Και αν ο John Podesta χρησιμοποιούσε έλεγχο ταυτότητας δεύτερου παράγοντα, οι Ρώσοι χάκερ δεν θα μπορούσαν να μπουν στον λογαριασμό του στο Gmail, ακόμη και με τον κωδικό πρόσβασής του.
Το FBI έρχεται σε αντίθεση με αυτό το σημαντικό ζήτημα. Το πρακτορείο έχει πρότεινε στο κοινό τη χρήση ταυτότητας δύο παραγόντων και το απαιτεί όταν οι αστυνομικοί θέλουν να συνδεθούν ομοσπονδιακά συστήματα βάσεων δεδομένων ποινικής δικαιοσύνης από μια ανασφαλή τοποθεσία, όπως καφετέρια ή ακόμα και αστυνομικό αυτοκίνητο. Αλλά τότε το γραφείο θέλει να κάνει πιο εύκολο το ξεκλείδωμα των smartphone, αποδυναμώνοντας τις προστασίες του δικού του συστήματος.
Ναι, τα τηλέφωνα που είναι δύσκολο να ξεκλειδώσουν εμποδίζουν τις έρευνες. Αλλά αυτό χάνει μια μεγαλύτερη ιστορία. Το διαδικτυακό έγκλημα αυξάνεται κατακόρυφα και οι επιθέσεις γίνονται πιο εξελιγμένες. Το να ξεκλειδώσουν τα τηλέφωνα για τους ερευνητές θα υπονομεύσει τον καλύτερο τρόπο που υπάρχει για τους απλούς ανθρώπους να εξασφαλίσουν τους λογαριασμούς τους στο διαδίκτυο. Είναι λάθος το FBI να ακολουθεί αυτήν την πολιτική.
Ναι, τα τηλέφωνα που είναι δύσκολο να ξεκλειδώσουν εμποδίζουν τις έρευνες. Αλλά αυτό χάνει μια μεγαλύτερη ιστορία. Το διαδικτυακό έγκλημα αυξάνεται κατακόρυφα και οι επιθέσεις γίνονται πιο εξελιγμένες. Το να ξεκλειδώσουν τα τηλέφωνα για τους ερευνητές θα υπονομεύσει τον καλύτερο τρόπο που υπάρχει για τους απλούς ανθρώπους να εξασφαλίσουν τους λογαριασμούς τους στο διαδίκτυο. Είναι λάθος το FBI να ακολουθεί αυτήν την πολιτική.Σχετικά με το Συγγραφέας
Susan Landau, καθηγήτρια Επιστήμης Υπολογιστών, Δικαίου και Διπλωματίας και Κυβερνοασφάλειας, Tufts University
Αυτό το άρθρο δημοσιεύθηκε αρχικά στις Η Συνομιλία. Διαβάστε το αρχικό άρθρο.
Βιβλία από αυτόν τον συντάκτη
at InnerSelf Market και Amazon
