大多数人都会有过杀了某人的幻想。如今,随着政府要求上网人士提供更多的个人信息,将幻想转化为现实简直容易,至少,在纸面上——在某些明晃晃的漏洞的恩赐下。
信息安全界人士克里斯·洛克就在拉斯维加斯本周举行的DEFCON黑客大会上展示了他的这一发现。
安全公司Kustodian的这位澳大利亚籍主管展示了“杀人”有多么简单——弄个假的出生证明,设置新身份——所有一切都在互联网巨大能量的帮助下。
“我将之称为‘生命终结漏洞’,”他说,“这是个全球性的灾难,而我还未与任何厂商联系过修复问题。”
他解释道:随着政府部门迁移到线上表单,大量漏洞开始浮出水面,能利用的信息又如此之多,要插手死亡生意真不太难。我不建议这么干,但这真是有可能的。
想注册某人已死亡,必须提交一张由医生在他咽下***一口气之后24小时内填写的详细死因的表单。丧葬师要在7天内联署这张单子。然后,死亡证明就可以发给家人了。
在美国,这一切都在网上完成,通过电子死亡登记系统(EDRS)。医生需要公开提供他们的行医资格证书号、详细住址和其他身份信息——都在网上轻易找到。
这些医生详细信息在被授权登录EDRS系统之前都会与现有的记录进行对照以核实。但是,最关键的,电子邮件地址却不用经过核实——让黑客可以添加新的邮件地址以盗取合法医生的详细信息。
有一点需要记住:死因切不可填成易引发争论的,否则就会招来验尸官,一场官方调查就在所难免了。如果一个家庭里死了1个以上的孩子,验尸官也会被叫来调查。“因此,请小心杀死你的孩子。”洛克开玩笑说。
丧葬师也用同一套系统,他们的详细信息同样被存在网上可以被搜到的数据库中。而且还有极为方便的“操作指南”小传单可供查阅整个流程。
作为彩蛋,洛克把自己弄进了澳洲政府数据库——以一名丧葬师的身份。他解释了自己是怎样设立一个网站,发送在线申请,并在3天后成功拿到政府官方颁发的合法尸体处理人资格的。
在美国,各个州都有自己的规矩。因此,在科罗拉多任何人都可以成为丧葬师,在内华达得支付345美元并通过一个考试,在加利福尼亚则需要一个文学学士学位。
所有表单都填了之后,登记员会向亲属发送一份死亡证明。当然,这位“亲属”可以是黑客在表单里填的任何人。很显然,连同一份伪造的遗嘱,该死亡证明可以被用于搬空某人的银行账户,或者进行保险欺诈。
“为什么不在你还活着的时候就花掉你的人寿保险呢?”洛克问道。
即使没走到诈骗那一步,伪造某人的死亡仍然能给他们带来非常严重的问题。护照申请和驾照被冻结,信用级别被清零之类的,而法律目前还不能照管到此类情形。
洛克举了2013年唐纳德·米勒的例子。唐纳德·米勒在1986年失业之后抛弃妻子玩失踪。他的家人在1994年宣布了他的死亡。2005年,他试图申请驾照,并上诉以证自己还活着。不过,法官驳回了他的申诉。
法官说:“显而易见。坐在法庭上的这个男人健康状况良好。我不知道该把你放哪儿,但法律上你依然已经死亡。”BBC报道中补充说明了一条:当地法律规定,死亡时间过去3年后,撤销死亡证明便是违法。
洛克称,伪造出生甚至更简单,只需要医生和父母签单就行。伪造出生证明有很多好处,因为可以用于诸如骗取社会保障之类的。
很明显,这类行为是违法的。基于洛克的观点,鉴于适当的安全保障如此之少,似乎全世界的政府机构都需要重新考虑一下在线申报填表的迁移了。
原文地址:http://www.aqniu.com/news/9468.html
转载请注明:IT运维空间 » 安全防护 » DEFCON23:利用互联网漏洞轻松“终结”任意一个人的生命
发表评论