Il Parlamento Europeo approva l'introduzione dei portafogli digitali come prova d'identità – IT Pro – Notizie

Anche più adatto ai criminali informatici.

Per confronto: carta d'identità elettronica tedesca
La Germania (e anche la Svizzera se non sbaglio) ce l'ha Identità elettronicadove “CtrlAlt” è uno Recentemente è stata segnalata una vulnerabilità nella sicurezza (Questa vulnerabilità richiede la presenza di malware sullo smartphone, il che è un problema crescente.)

Carta d'identità tedesca -> EDIW
Poiché la Commissione europea vuole armonizzare questo mercato, l’EID dovrebbe essere sostituito anche dal portafoglio europeo di identità digitale (EDIW), noto anche come EUDIW.

Educazione al rischio
Ho descritto le mie argomentazioni contro EDIW più di un anno fa a Ivo Jansch, uno degli architetti di EDIW (European Digital Identity Wallet) – vedi anche Noi siamo Rispondi qui sotto.

Nota: Ivo Jansch è stato anche ingegnere per CoronaMelder e CoronaCheck. Mi aspetto che EDIW – anche dopo molte perdite inutili (allora in termini di aspettativa di vita, ora finanziariamente ed emotivamente) – alla fine avrà un discreto “successo”.

Certificati del server
Una differenza importante tra l'attuale eID tedesca e il futuro EDIW è che l'eID richiede un certificato speciale per il sito di autenticazione, che indica (se ho capito bene), tra le altre cose, Qualunque Dati identificativi che il sito può richiedere alla carta d'identità elettronica di un cittadino (simile a IRMA/Yivi, solo presigillata – senza indurre il cittadino a rivelare più attributi identificativi del necessario).

QWAC, Dio mio!
Il “mondo” (le grandi aziende tecnologiche, che influenzano così tanto il loro modello di reddito da guadagnare un sacco di soldi facilitando la criminalità informatica affittando nomi di dominio e hosting) hanno chiesto a gran voce ai governi europei di… QWAC I cittadini inizieranno a intercettare in massa – cosa che gli Stati Uniti già fanno senza restrizioni – (e non solo tramite certificati di server non validi), grazie alla legislazione FISA Sezione 702 (Che ora Biden vuole estendere tramite un giudice anziché al Congresso). Anche Mozilla (sponsorizzata dalle principali aziende tecnologiche) ha colto questa opportunità.

Ma il governo tedesco (?) comincia a farsi vedere anche qui, grazie ai certificati di visto diversificati (vedi jabber.ru).

Non che io sia necessariamente un fan di QWAC, ma con i certificati DV gli utenti di Internet non hanno altra scelta che:

1) Devi sapere di averlo Nome del dominio Dall'URL nella barra degli indirizzi E Come si fa? E

2) che bisogna saper interpretare questo nome a dominio (che è riservato solo a pochi), E:

3) Quindi devi scoprirlo in modo non documentato A qualsiasi organizzazione Questo nome di dominio (NO) appartiene.

Ciò sta già portando (anche senza EDIW) a un numero crescente di vittime di phishing (vedi anche Queste sono le traduzioni in olandese dell'ultimo rapporto di Proofpoint “2024 State of the Phish”).

Per fare chiarezza sui rischi
Questo pomeriggio ho alzato lo sguardo Virus totale Il successivo nome di dominio parcheggiato “passa” (diventa non selezionabile di seguito perché questo nome di dominio In futuro Può essere venduto ai criminali informatici):

Permessi di guida internazionali[.]Regno Unito

Vedi sotto per i dettagli tecnici riguardanti questo nome di dominio e Presente Dietro c'è il server web.

Rischi legati all'EDIW
Esiste un alto rischio che i cittadini vengano attirati verso un sito Web così falso utilizzando messaggi di phishing o attraverso social media (possibilmente hackerati), con il testo su questo sito Web che recita come segue:

“Registrati presso il tuo EDIW per ottenere una patente di guida valida ovunque.”

Quale posizione Può quindi, come AitM (attaccante al centro), muoversi verso uno Sito completamente diversofingendo di essere un cittadino.

Un esempio di ciò è richiedere un prestito a suo nome (es CtrlAlt ha mostrato l'utilizzo del malware AitM sullo smartphone).

Dettagli tecnici
Quando ho cliccato su di esso nell'ultima pagina di VirusTotal, mi ha portato a Questa pagina VirusTotal (In quella pagina puoi vedere l'ultimo certificato Let's Encrypt per questo sito, che appare Questa pagina crt.sh “Certificato di trasparenza”.Da dicembre sono già stati richiesti 11 certificati DV.

Quando apro questo nome di dominio .uk in Chrome (preceduto da https://), il browser viene reindirizzato al sito http, che inizia con “ww01.”, seguito dal nome di dominio .uk menzionato sopra. In quella pagina (che non è ancora dannosa) ci sono annunci trash, mentre in alto c'è:

Questo dominio è registrato su Dynadot.com. Sito web in arrivo.

Poiché si tratta di un nome di dominio abbastanza nuovo, non sembra esserci alcun “lavaggio” in esso in precedenza Nome di dominio utilizzato per il phishing, ma per costruire “reputazione”, qualcosa che sembrano fare anche i dirottatori di nomi di dominio (che facilitano la criminalità informatica). Vale a dire, richiedendo un numero relativamente elevato di certificati gratuiti I nomi di sottodominio più stupidi Registrando e scansionando regolarmente tutti questi sottodomini da VirusTotal.

Conclusione
Se vedete una filiale bancaria in centro città (dopo una bella ricerca oggigiorno) con scritto “ING”, significa che siamo abituati al fatto che in realtà si tratta di una filiale della ING.

Tuttavia, puoi inserire la tua carta di debito in un bancomat di fronte a un pessimo club motociclistico o sul retro di una triste area industriale e quindi inserire il tuo PIN?

Su Internet, dato un nome di dominio qualsiasi, come fai a sapere chi possiede quel sito web? Dopotutto, un nome di dominio spesso non dice nulla su dove si trova il server, quanto è sicuro e chi ne è il proprietario. La pagina web è in definitiva composta da pixel colorati dal server.

Nota: cosa sei realmente Anche Vuoi sapere come Affidabile Chi ce l'ha, ma nella vita offline non è scritto sulla fronte (con alcuna attendibilità).

L'unico modo che conosciamo è reputazione (Che siano approvati o meno da revisori affidabili, ma non hanno nemmeno una sfera di cristallo con cui predire il futuro.)

In breve, una conoscenza con sufficiente attendibilità Qualsiasi organizzazione Un sito web è un requisito minimo di base per le transazioni ad alto rischio, soprattutto con strumenti forti di autenticazione dei cittadini come EDIW (e anche in questo caso, si può solo sperare che un server del genere non venga violato).

L'attuale Internet è semplicemente inaffidabile per EDIW.

Modifica 22:41: nel caso in cui un modello abbia distrutto anche la mia risposta, questa risposta può essere trovata nel suo stato originale su Questo archivio

[Reactie gewijzigd door ErikvanStraten op 1 maart 2024 22:41]