O especialista em segurança australiano Chris Rock apresentou dois mĂ©todos pelos quais ele conseguiu emitir certidĂ”es de Ăłbito para pessoas reais e certidĂ”es de nascimento para pessoas que nĂŁo existem. A apresentação ocorreu na conferĂȘncia de hackers DEF CON que acontece em Las Vegas atualmente, segundo a AFP.
Chris Rock na Def Con
Rock parece ter descoberto erros nos sistemas digitais usados ââpelos hospitais australianos para relatar nascimentos e mortes, e apresentou os resultados em seu livro The Baby Harvest: Como os bebĂȘs virtuais se tornam o futuro do financiamento do terrorismo e da lavagem de dinheiro. “
Como o Sr. Rock coloca de maneira muito eloquente, “vocĂȘ pode matar quem quiser”.
O problema é a falta de procedimentos de segurança adequados ao registrar uma morte on-line.
A Internet agora existe para o bem em nossas casas e em nossas vidas, ajudando a reduzir a burocracia em nossas negociaçÔes com agĂȘncias governamentais. Obviamente, isso Ă© muito bom, mas Ă s vezes, quando procedimentos oficiais sĂŁo implementados em um ambiente on-line sem segurança de dados, pode levar os cidadĂŁos a situaçÔes muito embaraçosas.
De acordo com a palestra de Rock no DEF CON, muitos governos usam um procedimento bastante simplista para relatar a morte de uma pessoa.
Enquanto isso geralmente Ă© feito, preenchendo a papelada e requer apenas um mĂ©dico e um funeral. Se vocĂȘ tiver esses dados, preenchendo um formulĂĄrio on-line, vocĂȘ pode “morrer” quem quiser.
Basta pesquisar on-line as informaçÔes pessoais de um mĂ©dico, que geralmente estĂŁo disponĂveis para indexação pelos mecanismos de pesquisa.
Rock conseguiu registrar uma conta médica no sistema on-line usado para relatar mortes na Austrålia.
Para verificar a morte, ele criou um site mostrando o funeral, que ele usou para provar sua morte. Em seguida, insira um link para o site no sistema.
Sem maiores verificaçÔes, seu pedido foi aprovado em um dia, dando a ele um atestado de óbito da pessoa de sua escolha.
Todo o processo de envio é totalmente automatizado, basta o nome do falecido, os detalhes da pessoa que enviou o pedido e a escolha das causas de morte, a partir de uma lista de termos médicos.
Deve-se observar que a vĂtima desse ataque nunca saberĂĄ que um atestado de Ăłbito foi emitido em seu nome atĂ© que seja descoberto por um serviço.
Assim como o pesquisador foi capaz de emitir certidÔes de óbito para quem quisesse, ele foi capaz de emitir facilmente certidÔes de nascimento falsas.
O mesmo procedimento simplista e as medidas de falta de controle funcionavam no sistema eletrĂŽnico usado para registrar os nascimentos.
Rock disse que sĂł precisava entrar na conta de um mĂ©dico falso e depois fornecer informaçÔes pessoais aos pais. Isso foi suficiente para “dar Ă luz” quantos bebĂȘs ela quisesse.
