Европейский парламент одобрил введение цифровых кошельков в качестве доказательства личности — IT Pro — Новости

Также больше подходит для киберпреступников.

Для сравнения: немецкое электронное удостоверение личности.
В Германии (а еще и в Швейцарии, если не ошибаюсь) есть. Электронное удостоверение личностигде «CtrlAlt» — это единица Недавно сообщалось об уязвимости безопасности (Эта уязвимость требует присутствия на смартфоне вредоносного ПО, что становится растущей проблемой.)

Немецкое удостоверение личности -> EDIW
Поскольку Европейская комиссия хочет гармонизировать этот рынок, EID также должен быть заменен Европейским кошельком цифровой идентификации (EDIW), также известным как EUDIW.

Риск Эду
Я изложил свои аргументы против EDIW более года назад Иво Яншу, одному из архитекторов EDIW (Европейский кошелек цифровой идентификации) – см. также Мы Ответ ниже.

Примечание. Иво Янш также был инженером CoronaMelder и CoronaCheck. Я ожидаю, что EDIW — тоже после многих ненужных потерь (то в плане продолжительности жизни, то в финансовом и эмоциональном плане) — в конечном итоге окажется вполне «успешным».

Сертификаты сервера
Важная разница между текущим немецким eID и будущим EDIW заключается в том, что для eID требуется специальный сертификат для сайта аутентификации, в котором (если я правильно понимаю), среди прочего, указано: любой Идентификационные данные, которые сайт может запросить у электронного удостоверения личности гражданина (аналогично IRMA/Yivi, только предварительно запечатанные, не вводя гражданина в заблуждение и не раскрывая больше идентифицирующих атрибутов, чем необходимо).

QWAC, Боже мой!
«Мир» (крупные технологические компании, оказывающие огромное влияние на свою модель дохода, зарабатывают много денег на содействии киберпреступности за счет аренды доменных имен и хостинга) громко кричал, что европейские правительства QWAC Граждане начнут массово подслушивать — что Соединенные Штаты уже делают без ограничений — (а не только через недействительные серверные сертификаты), благодаря разделу 702 закона FISA (Который Байден теперь хочет продлить через судью, а не Конгресс). Mozilla (спонсируемая крупными технологическими компаниями) также воспользовалась этой возможностью.

Но правительство Германии (?) начинает проявляться и здесь, благодаря разнообразным визовым сертификатам (см. jabber.ru).

Не то чтобы я был фанатом QWAC, но с сертификатами DV у пользователей Интернета нет другого выбора, кроме как:

1) Вам нужно знать, что у вас есть Доменное имя По URL-адресу в адресной строке И Как это делается? И

2) что вам нужно знать, как интерпретировать это доменное имя (которое зарезервировано лишь для немногих), И:

3) Тогда придется это выяснить недокументированным способом В любую организацию Это доменное имя (нет) принадлежит.

Это уже приводит (даже без EDIW) к увеличению числа жертв фишинга (см. также Это голландский перевод последнего отчета Proofpoint «Состояние фишинга в 2024 году».).

Чтобы уточнить риски
Сегодня днем ​​я посмотрел вверх Тотальный вирус Следующее припаркованное доменное имя «проходит» (ниже становится недоступным для клика, поскольку это доменное имя В будущем Могут быть проданы киберпреступникам):

Международные водительские права[.]Великобритания

Ниже приведены технические подробности об этом доменном имени и Подарок За ним стоит веб-сервер.

Риски, связанные с EDIW
Существует высокий риск того, что граждане будут заманены на такой фальшивый веб-сайт с помощью фишинговых сообщений или через (возможно, взломанные) социальные сети с текстом на этом веб-сайте следующего содержания:

«Зарегистрируйтесь в EDIW, чтобы получить водительские права, действительные где угодно».

Который расположение Затем он может, как AitM (нападающий посередине), двигаться к одному Совершенно другой сайтпритворяясь гражданином.

Примером этого является получение кредита на его имя (например, CtrlAlt показал использование вредоносного ПО AitM на смартфоне).

Технические детали
Когда я нажал на нее на последней странице VirusTotal, это привело к Эта страница VirusTotal (На этой странице вы можете увидеть последний сертификат Let's Encrypt для этого сайта, который появится Эта страница crt.sh «Сертификата прозрачности».С декабря уже поданы заявки на 11 сертификатов DV.

Когда я открываю это доменное имя .uk в Chrome (с https:// перед ним), браузер перенаправляется на сайт http, начиная с «ww01.», за которым следует упомянутое выше доменное имя .uk. На этой странице (которая пока не является вредоносной) висит дрянная реклама, а вверху есть:

Этот домен зарегистрирован на Dynadot.com. Сайт скоро появится.

Поскольку это довольно новое доменное имя, в нем нет никакой «отмывки». ранее Доменное имя используется не только для фишинга, но и для создания «репутации» — похоже, то же самое делают и угонщики доменных имен (которые способствуют киберпреступности). А именно, подав заявку на относительно большое количество бесплатных сертификатов Самые глупые имена поддоменов Путем регулярной регистрации и сканирования всех этих поддоменов с помощью VirusTotal.

Заключение
Если вы видите отделение банка в центре города (после хорошего поиска в наши дни) с надписью «ING», это означает, что мы привыкли к тому, что на самом деле это филиал ING.

Однако можете ли вы положить свою дебетовую карту в банкомат напротив плохого мотоклуба или мотоклуба в мрачной промышленной зоне, а затем ввести свой PIN-код?

В Интернете, имея любое доменное имя, как узнать, кому принадлежит этот веб-сайт? В конце концов, доменное имя часто ничего не говорит о том, где расположен сервер, насколько он безопасен и кто его владелец. Веб-страница в конечном итоге состоит из пикселей, окрашенных сервером.

Примечание: кто вы на самом деле также Хотите знать, как заслуживающий доверия У кого есть, но в оффлайн жизни на лбу не написано (при любой достоверности).

Единственный способ, который мы знаем, это репутация (Независимо от того, одобрены они надежными аудиторами или нет, но у них также нет хрустального шара, с помощью которого можно предсказать будущее.)

Короче говоря, знания с достаточной достоверностью Любая организация Веб-сайт является минимальным базовым требованием для транзакций с высоким уровнем риска, особенно при использовании надежных инструментов аутентификации граждан, таких как EDIW (и даже в этом случае можно только надеяться, что такой сервер не будет взломан).

Нынешний Интернет просто ненадежен для EDIW.

Изменение 22:41: Если шаблон также уничтожил мой ответ, этот ответ можно найти в исходном состоянии по адресу Этот архив

[Reactie gewijzigd door ErikvanStraten op 1 maart 2024 22:41]