Κυριακή 1 Ιανουαρίου 2023

Δακτυλικά αποτυπώματα και σαρώσεις ίριδας: Χάκερ αγόρασαν στρατιωτικές βιομετρικές συσκευές και δεδομένα των ΗΠΑ στο eBay


Δακτυλικά αποτυπώματα και σαρώσεις ίριδας: Χάκερ αγόρασαν στρατιωτικές βιομετρικές συσκευές και δεδομένα των ΗΠΑ στο eBay
RT DE   28 Δεκεμβρίου 2022 

Το Chaos Computer Club αγόρασε μια αμερικανική στρατιωτική συσκευή βιομετρικής καταγραφής στο eBay για μόλις 68 $. Όμως, όπως θα το έφερε η τύχη, η συσκευή δεν είχε επαναφερθεί στις εργοστασιακές ρυθμίσεις, αντίθετα με ό,τι αναμενόταν αρχικά. Αντίθετα, η κάρτα μνήμης που περιείχε αποκάλυψε τα ονόματα, τις εθνικότητες, τις φωτογραφίες, τα δακτυλικά αποτυπώματα και τις σαρώσεις ίριδας 2.632 ατόμων που συνέλεξε ο αμερικανικός στρατός στο Αφγανιστάν.


 Συμβολική εικόνα: συλλογή βιομετρικών δεδομένων

Ερευνητές ασφαλείας από τη γερμανική οργάνωση χάκερ Chaos Computer Club (CCC) αγόρασαν έξι συσκευές βιομετρικής καταγραφής που χρησιμοποιούνταν στο παρελθόν από τον αμερικανικό στρατό στο eBay. Όπως ανέφεραν για πρώτη φορά οι New York Times την Τρίτη, οι συσκευές, οι οποίες προφανώς δεν προορίζονταν καθόλου για την πολιτική αγορά, είχαν καταλήξει με κάποιο τρόπο στην πλατφόρμα συναλλαγών εκ των προτέρων. Ο Matthias Marx από το Chaos Computer Club δεν δίστασε και το έσπασε: Μόνο για 68 δολάρια αγόρασε την ασυνήθιστη προσφορά και - και ταυτόχρονα δωρεάν βιομετρικές πληροφορίες από 2.632 άτομα.
Επειδή οι κάρτες μνήμης των λεγόμενων συσκευών SEEK II περιείχαν ακόμη ονόματα, εθνικότητες, φωτογραφίες, δακτυλικά αποτυπώματα και σαρώσεις ίριδας πολλών ανθρώπων. Στη συνέχεια, ο χάκερ έδωσε το ασυνήθιστο εύρημα στους New York Times ( NYT ), οι οποίοι στη συνέχεια έλεγξαν τις πληροφορίες για αυτά τα άτομα. Αποδείχθηκε ότι ήταν κυρίως Ιρακινοί και Αφγανοί, συμπεριλαμβανομένων ύποπτων ή γνωστών τρομοκρατών, αλλά και ντόπιοι που είχαν εργαστεί στο παρελθόν για την αμερικανική κυβέρνηση ή είχαν σταματήσει σε σημεία ελέγχου. Οι συσκευές χρησιμοποιήθηκαν για τελευταία φορά το 2012 κοντά στην Κανταχάρ στο Αφγανιστάν.
Με την πρώτη ματιά, οι συσκευές που αγόρασε ο Μαρξ φαίνονται δυσδιάκριτες. Διαθέτουν μια μικροσκοπική οθόνη, ένα φυσικό πληκτρολόγιο και ένα μικρό mousepad. Αλλά αν ανοίξετε τις συσκευές μεγέθους κουτιού παπουτσιών, θα δείτε ένα πραγματικό εργαστήριο για τη λήψη βιομετρικών δεδομένων από ανθρώπους. Επειδή εκτός από τα κανονικά περιφερειακά, είναι εξοπλισμένα με συσκευή ανάγνωσης δακτυλικών αποτυπωμάτων κάτω από ένα αρθρωτό πλαστικό κάλυμμα και μπορούν επίσης να τραβήξουν σαρώσεις ίριδας και φωτογραφίες ανθρώπων. Ως εκ τούτου, οι συσκευές προτιμήθηκαν από τον αμερικανικό στρατό για τη συλλογή δεδομένων και αποτελούν μέρος ενός ολόκληρου συστήματος για τη συλλογή βιομετρικών δεδομένων από το Υπουργείο Άμυνας των ΗΠΑ που ανέπτυξαν οι ΗΠΑ μετά τις επιθέσεις του Σεπτεμβρίου 2001.

Προφανώς, σύμφωνα με τους NYT , ο αμερικανικός στρατός πίστευε ότι η συλλογή βιομετρικών δεδομένων θα βοηθούσε στον εντοπισμό κατασκόπων των Ταλιμπάν. Συγκεκριμένα, η συσκευή θα πρέπει να βοηθήσει τις χερσαίες δυνάμεις στον εντοπισμό ατόμων που επισκέφθηκαν τις αμερικανικές βάσεις στο Αφγανιστάν και το Ιράκ, αλλά και στον εντοπισμό ανταρτών. Αφού αφγανικά στρατεύματα και αστυνομικοί έριξαν μια σειρά από πυροβολισμούς εναντίον Αμερικανών στρατιωτών, αξιωματούχοι του Πενταγώνου έφτασαν ακόμη και στο σημείο να θεωρούν τη συλλογή βιομετρικών δεδομένων ως "κρίσιμη ικανότητα στο πεδίο της μάχης", σύμφωνα με ένα εγχειρίδιο του αμερικανικού στρατού.

Ωστόσο, μετά την απόσυρση των ΗΠΑ από αυτήν την περιοχή, αυτά τα δεδομένα θα πρέπει να διαγραφούν από τις συσκευές. Το Chaos Computer Club έχει ήδη αποκτήσει έξι ευαίσθητες συσκευές (τέσσερις SEEK II και δύο HIIDE 5). Τα περισσότερα προέρχονται από το eBay και πουλήθηκαν κάτω από 200 ευρώ. Το γενικό σχέδιο των χάκερ στο CCC είναι να αναλύσουν τέτοιες συσκευές προκειμένου να βρουν πιθανά κενά ασφαλείας. Συγκεκριμένα, ο στόχος αυτής της εύρεσης είναι να προσδιορίσει πόσο εύκολο θα ήταν για τους Ταλιμπάν να αξιοποιήσουν αυτούς τους πόρους που άφησαν πίσω τους τα αμερικανικά στρατεύματα μετά την αποχώρησή τους.


Δύο από τις συσκευές SEEK II που αγόρασε η ερευνητική ομάδα εξακολουθούσαν να περιέχουν ευαίσθητα προσωπικά δεδομένα. Ενώ η πρώτη συσκευή χρησιμοποιήθηκε για τελευταία φορά στο Αφγανιστάν, η δεύτερη συσκευή που αγοράστηκε προφανώς χρησιμοποιήθηκε για τελευταία φορά στην Ιορδανία το 2013 και περιείχε ακόμη και τα δακτυλικά αποτυπώματα και τις σαρώσεις ίριδας Αμερικανών στρατιωτών, αλλά και πολιτών των ΗΠΑ που προφανώς εργάζονταν στον τομέα των πληροφοριών για τις ΗΠΑ - Δούλεψε στρατιωτικά. Η πρώτη συσκευή που αγοράστηκε, η οποία ήταν προηγουμένως προς πώληση στο eBay, φέρεται να πουλήθηκε από έναν πλεονάζοντα έμπορο στο Τέξας, ο οποίος με τη σειρά του ισχυρίστηκε ότι την αγόρασε σε δημοπρασία των Ενόπλων Δυνάμεων των ΗΠΑ.
Οι NYT γράφουν ότι προκάλεσε σοκ που τα δεδομένα στο SEEK II αποθηκεύτηκαν χωρίς κρυπτογράφηση. Είναι ιδιαίτερα ανησυχητικό ότι δεν προσπάθησαν καν να προστατεύσουν τα δεδομένα, είπε ο Μαρξ στην εφημερίδα, αναφερόμενος στον αμερικανικό στρατό. «Δεν τους ένοιαζε ο κίνδυνος ή τον αγνόησαν». Σε κάθε περίπτωση, οι χάκερ δεν θέλουν να διατηρήσουν τα δεδομένα: μόλις ολοκληρωθεί η ανάλυση, θα διαγράψουν τα προσωπικά στοιχεία, ανέφερε το CCC. Ο τρόπος με τον οποίο οι συσκευές και τα ευαίσθητα δεδομένα έλαβαν στο eBay είναι προς το παρόν ασαφές. Το Πεντάγωνο δήλωσε κατόπιν αιτήματος των NYT, δεν μπορεί να σχολιάσει τα δεδομένα πριν τα εξετάσει. "Το Υπουργείο απαιτεί όλες οι συσκευές που υπάρχουν υπόνοιες ότι περιέχουν στοιχεία προσωπικής ταυτοποίησης να επιστραφούν για περαιτέρω ανάλυση", δήλωσε εκπρόσωπος της υπηρεσίας, απαιτώντας οι συσκευές που αγοράζονται από το CCC να αποσταλούν στο Fort Belvoir της Βιρτζίνια, επειδή από εκεί διαχειρίζεται το πρόγραμμα βιομετρικών ο αμερικανικός στρατός .

Η HID Global, ο κατασκευαστής της συσκευής SEEK II, αρνήθηκε επίσης οποιαδήποτε ευθύνη για τη χρήση των συσκευών μετά την πώληση όταν ρωτήθηκε από τους NYT . Αντίθετα, η εταιρεία επεσήμανε ότι οι συσκευές είχαν σχεδιαστεί για να αποθηκεύουν τα δεδομένα σε διακομιστές της κυβέρνησης των ΗΠΑ. Ωστόσο, είναι επίσης εξοπλισμένα με κάρτες μνήμης, ώστε να μπορούν να λειτουργούν σε περιοχές με περιορισμένες συνδέσεις στο διαδίκτυο. Σύμφωνα με την HID Global, η αφαίρεση αυτών των καρτών μνήμης από τις συσκευές θα ήταν αρκετή για να αποτραπεί η αποκάλυψη των δεδομένων. Ωστόσο, αυτό προφανώς παραμελήθηκε με τις δύο συσκευές SEEK II κατά την ταχεία απόσυρση των στρατευμάτων.
Οι Ταλιμπάν επέστρεψαν στην εξουσία στο Αφγανιστάν τον Αύγουστο του 2021 μετά από μια απίστευτα χαοτική απόσυρση των αμερικανικών στρατευμάτων και το τέλος της αμερικανικής κατοχής της χώρας.

Δεν υπάρχουν σχόλια: