Perangkat Lunak Aadhaar Uadra Diretas, Basis Data ID Terganggu, begini konfirmasinya
Tuesday, September 11, 2018
Add Comment
itseboy.com — dikutip dari sebuah laman huffingtonpost Perangkat Lunak Aadhaar Uadra Diretas, Basis Data ID Terganggu. Keaslian data yang disimpan dalam basis data identitas Aadhaar kontroversial India, yang berisi biometrik dan informasi pribadi lebih dari 1 miliar orang India, telah dikompromikan oleh patch perangkat lunak yang menonaktifkan fitur keamanan penting dari perangkat lunak yang digunakan untuk mendaftarkan pengguna Aadhaar baru , investigasi selama tiga bulan oleh HuffPost India.
Tambalan itu - tersedia secara gratis untuk sekecil Rs 2.500 (sekitar $ 35) - memungkinkan orang yang tidak berwenang, berbasis di mana pun di dunia, untuk menghasilkan angka-angka Aadhaar sesuka hati, dan masih digunakan secara luas.
Ini memiliki implikasi yang signifikan terhadap keamanan nasional pada saat ketika pemerintah India telah berusaha untuk membuat nomor Aadhaar sebagai standar emas untuk identifikasi warga, dan wajib untuk segala sesuatu dari menggunakan ponsel untuk mengakses rekening bank.
Patch adalah sekumpulan kode yang digunakan untuk mengubah fungsi program perangkat lunak. Perusahaan sering menggunakan tambalan untuk pembaruan kecil untuk program yang ada, tetapi mereka juga dapat digunakan untuk bahaya dengan memperkenalkan kerentanan — seperti dalam kasus ini.
India memiliki tambalan itu, dan dianalisis oleh tiga ahli yang bereputasi internasional, dan dua analis India (salah satu di antaranya tidak mau disebutkan namanya karena ia bekerja di universitas yang didanai negara), untuk menemukan bahwa:
Tambalan ini memungkinkan pengguna melewati fitur keamanan penting seperti otentikasi biometrik dari operator pendaftaran untuk menghasilkan nomor Aadhaar yang tidak sah.
Patch ini menonaktifkan fitur keamanan GPS di dalam perangkat lunak pendaftaran (digunakan untuk mengidentifikasi lokasi fisik dari setiap pusat pendaftaran), yang berarti siapa pun di mana pun di dunia - misalnya, Beijing, Karachi, atau Kabul - dapat menggunakan perangkat lunak untuk mendaftarkan pengguna.
Tambalan ini mengurangi sensitivitas sistem pengenal iris perangkat lunak pendaftar, sehingga memudahkan spoof perangkat lunak dengan foto operator terdaftar, daripada mengharuskan operator untuk hadir secara langsung.
Para ahli yang dikonsultasikan oleh HuffPost India mengatakan bahwa kerentanan adalah intrinsik untuk pilihan teknologi yang dibuat pada awal program Aadhaar, yang berarti bahwa memperbaikinya dan ancaman lain di masa depan akan membutuhkan perubahan struktur fundamental Aadhaar.
"Siapa pun yang membuat patch sangat termotivasi untuk berkompromi dengan Aadhaar," kata Gustaf Björksten, Chief Technologist di Access Now, kebijakan teknologi global dan kelompok advokasi, dan salah satu ahli yang menganalisis patch tersebut atas permintaan HuffPost India.
"Mungkin ada banyak individu dan entitas, kriminal, politik, domestik dan asing, yang akan memperoleh manfaat yang cukup dari kompromi Aadhaar untuk membuat investasi dalam menciptakan patch berharga," kata Björksten. "Untuk memiliki harapan untuk mengamankan Aadhaar, desain sistem harus diubah secara radikal."
Analis dan pengembang keamanan dunia maya yang berkantor di Bengaluru, Anand Venkatanarayanan, yang juga menganalisis perangkat lunak untuk HuffPost India dan berbagi temuannya dengan otoritas pemerintah NCIIPC, mengatakan bahwa patch tersebut dirangkai dengan mencangkok kode dari versi yang lebih lama dari perangkat lunak pendaftaran Aadhaar — yang memiliki lebih sedikit fitur keamanan — ke versi perangkat lunak yang lebih baru.
NCIIPC, atau Pusat Perlindungan Infrastruktur Informasi Kritis Nasional, adalah lembaga nodal yang bertanggung jawab atas keamanan Aadhaar.
Temuan Venkatanarayanan dikonfirmasi oleh Dan Wallach, Profesor Ilmu Komputer, dan Teknik Listrik dan Komputer, di Universitas Rice di Houston, Texas.
"Setelah melihat kode patch dan laporan yang disajikan oleh Anand, saya merasa cukup nyaman mengatakan bahwa laporan itu benar, dan itu bisa memungkinkan seseorang untuk menghindari langkah-langkah keamanan dalam perangkat lunak Aadhaar, dan membuat entri baru. Ini cukup layak, dan terlihat seperti sesuatu yang mungkin untuk dikerjakan, "kata Wallach.
Pihak berwenang India telah menolak berkomentar, meskipun HuffPost India menjangkau NCIIPC dan Otoritas Identifikasi Unik India (UIDAI) pada lebih dari satu kesempatan sejak Juli tahun ini.
Sementara NCIIPC meminta salinan patch, yang disediakan oleh HuffPost India pada bulan yang sama, agensi telah menolak untuk membagikan temuannya. UIDAI tidak menanggapi surat HuffPost India.
Asal-usul dari peretasan saat ini terletak pada keputusan, yang dibuat pada tahun 2010, untuk membiarkan lembaga-lembaga swasta mendaftarkan pengguna ke sistem Aadhaar untuk mempercepat pendaftaran. Tahun itu, Mindtree, sebuah perusahaan yang berbasis di Bengaluru, memenangkan kontrak untuk mengembangkan perangkat lunak pendaftaran resmi yang terstandardisasi - disebut Multi-Platform Klien Pendaftaran (ECMP) - yang akan dipasang ke ribuan komputer yang dikelola oleh operator swasta ini.
Selain dari lembaga pendaftaran swasta, UIDAI juga menandatangani perjanjian pendaftaran dengan "pusat layanan umum" - kios komputer tingkat desa yang membantu warga mengakses layanan e-governance umum seperti pensiun, beasiswa pelajar, dll. Pada Februari 2018, pusat-pusat ini bertanggung jawab untuk mendaftarkan 180 juta orang India.
Keputusan ini untuk menginstal perangkat lunak pada setiap komputer pendaftaran, kata ahli keamanan cyber Björksten, "menempatkan berjalannya komponen-komponen penting Aadhaar di tangan musuh-musuh sistem".
Pilihan yang lebih aman adalah sistem berbasis web di mana semua perangkat lunak akan diinstal pada server dan operator pendaftaran sendiri UIDAI akan memiliki nama pengguna dan kata sandi untuk mengakses sistem.
(Analogi yang bermanfaat adalah perbedaan antara Microsoft Word - yang diinstal pada komputer - dan Google Documents berbasis web, yang dihosting secara online oleh Google, dan pengguna cukup masuk untuk menggunakan layanan.)
B. Regunath, seorang perancang perangkat lunak yang memimpin tim di Mindtree yang bekerja pada proyek tersebut, mengatakan perangkat lunak pendaftaran berbasis web untuk Aadhaar tidak praktis pada saat itu karena banyak bagian dari negara itu memiliki konektivitas internet yang sangat buruk.
"Orang-orang menggerakkan generator hanya untuk menyalakan tenaga dan melakukan pendaftaran. Bagaimana mereka bisa mengunggah paket-paket itu secara online?" tanya Regunath, yang sejak pindah ke posisi teknis senior di Flipkart.
"Kami meluncurkan dan mengeluarkan kartu Aadhaar pertama hanya tiga bulan setelah dipilih," kata Regunath, mengingat bahwa peluncuran itu dilakukan segera untuk memenuhi tenggat waktu yang diumumkan secara terbuka, tanpa semua fitur perangkat lunak di tempat.
Untuk mengkompensasi menyerahkan kontrol efektif dari proses pendaftaran ke ribuan operator yang tersebar di seluruh negeri, tim Regunath menambahkan fitur keamanan ke perangkat lunak - yang paling menonjol, fitur yang mengharuskan semua operator untuk masuk ke perangkat lunak dengan terlebih dahulu menyediakan sidik jari mereka sendiri atau iris pindai. Setiap laptop yang digunakan harus terlebih dahulu didaftarkan dengan UIDAI juga.
"Kami menambahkan fitur untuk memeriksa apakah operator disertifikasi, orang-orang tetap ikut campur dengan sistem, kami menambahkan fitur untuk memeriksa apakah pendaftaran orang-orang menjalankan versi Windows bajakan atau tidak diperbarui," kata Regunath.
UIDAI juga telah mengamanatkan bahwa setiap komputer yang digunakan untuk pendaftaran dilampirkan ke perangkat GPS untuk memastikan pendaftaran dilakukan dalam batas-batas fisik dari pusat-pusat yang berwenang.
Namun pada awal 2017, fitur keamanan yang dipertimbangkan secara hati-hati ini dilewati oleh peretasan perangkat lunak yang elegan yang mulai beredar di kalangan operator pendaftaran swasta yang dipaksa untuk mendaftarkan satu miliar orang India ke basis data Aadhaar.
Penggunaan patch ini begitu luas sehingga pencarian YouTube untuk "bypass emcp" mengungkapkan ratusan video operator swasta yang menawarkan panduan langkah demi langkah tentang cara menumbangkan protokol keamanan UIDAI.
"Ini adalah peretasan yang lugas, bisnis, dan utilitarian," kata Björksten, analis keamanan. "Setelah memeriksa keseluruhan kode, menurut saya patch adalah pekerjaan lebih dari satu coder."
Mindtree, perusahaan yang pertama kali mengembangkan perangkat lunak, telah mengakui daftar pertanyaan yang dikirim oleh HuffPost India. Cerita akan diperbarui begitu mereka merespons.
Sumber patch semudah mendapatkan akses ke salah satu dari ribuan grup WhatsApp di mana patch, dan nama pengguna dan kata sandi yang diperlukan untuk login ke gateway pendaftaran UIDAI, dijual seharga Rs 2.500.
Pembayaran dilakukan melalui mobile wallet yang terhubung ke nomor telepon yang cepat mati setelah transaksi selesai.
Menggunakan tambalan semudah menginstal perangkat lunak pendaftaran pada PC, dan mengganti folder pustaka Java menggunakan Kontrol standar C, perintah cut-paste Kontrol V yang tidak asing bagi pengguna komputer mana pun.
Setelah patch dipasang, operator pendaftaran tidak perlu lagi memberikan sidik jari mereka untuk menggunakan perangkat lunak pendaftaran, GPS dinonaktifkan, dan sensitivitas pemindai iris berkurang. Ini berarti bahwa satu operator dapat masuk ke beberapa mesin pada saat yang sama, mengurangi biaya per pendaftaran, dan meningkatkan keuntungan mereka.
Bharat Bhushan Gupta, operator pendaftaran berusia 32 tahun dari Jalandhar, mengatakan operator seperti dia hanya dibayar Rs 30 per pendaftaran, sehingga banyak operator mulai menggunakan patch untuk menghasilkan sedikit lebih banyak uang, pengisian antara Rs 100 dan Rs 500 di kapasitas mereka sendiri. Gupta mengatakan bahwa dia tidak menggunakan tambalan itu, dan telah menulis kepada CEO UIDAI dan yang lain di otoritas tentang keberadaannya.
HuffPost India tidak dapat menetapkan berapa banyak pusat pendaftaran yang menggunakan patch, tetapi bahkan UIDAI telah mengakui bahwa proses pendaftaran telah dirusak oleh korupsi. Pada 2017, UIDAI mengatakan telah memasukkan 49.000 pusat pendaftaran ke daftar hitam untuk berbagai pelanggaran, dan pada Februari 2018, UIDAI menghentikan semua kontrak dengan pusat layanan umum juga.
Untuk selanjutnya, hanya bank dan lembaga pemerintah seperti layanan pos yang dapat mendaftarkan pengguna Aadhaar. Sebagai akibatnya, puluhan ribu pemuda, dengan pendidikan dasar tetapi sangat akrab dengan sistem Aadhaar, tidak dapat bekerja.
"Kami bahkan tidak dapat membuat upah minimum," kata Gupta, yang dulu menjalankan pusat layanan umum sendiri. "Ketika mereka menutup pendaftaran, kami sudah membentuk grup-grup WhatsApp yang dapat digunakan untuk saling membantu menggunakan perangkat lunak, dan dalam kelompok-kelompok ini, ada beberapa orang yang menawarkan perangkat lunak baru yang dapat digunakan untuk mencari informasi siapa pun."
Dalam wawancara, operator di luar pekerjaan mengklaim bahwa mereka masih dapat menggunakan perangkat lunak pendaftaran yang diretas untuk menghasilkan ID pendaftaran (langkah pertama dalam proses pendaftaran Aadhaar) dan telah terikat dengan sumber yang bekerja di pusat yang berwenang yang menyelesaikan proses pendaftaran dengan biaya .
SIAPA DI BALIK HACK AADHAAR ?
Sementara peretasan itu digunakan oleh operator komputer tingkat desa, tanpa pengetahuan formal tentang pemrograman, peneliti keamanan seperti Björksten dan Venkatanarayanan mengatakan peretasan itu merupakan investasi yang signifikan dalam waktu dan sumber daya - yang menunjukkan musuh-musuh canggih yang terlatih baik.
"Saya mengerti bahwa patch hanya membutuhkan sedikit," kata Björksten. "Para programmer telah mengambil jalan pintas dengan menggunakan versi sebelumnya dari kode Aadhaar. Ini adalah peretasan yang mudah, bisnis, dan utilitarian."
"Patch ini telah dibuat untuk digunakan, tidak hanya untuk tujuan penelitian keamanan, atau untuk menyoroti masalah keamanan dengan sistem Aadhaar." kata Björksten.
"Mereka telah menggunakan beberapa file dari versi sebelumnya dari perangkat lunak Aadhaar, yang tidak memiliki fitur keamanan ini, dan mereka juga telah melakukan perubahan yang menghapus pemeriksaan keamanan lainnya," kata Venkatanarayanan.
Perubahannya spesifik dan ditargetkan.
Terlepas dari perubahan yang disebutkan sebelumnya, analisis kode patch oleh Björksten dan Venkatanarayanan mengungkapkan satu perubahan yang secara marjinal mengurangi tingkat kegagalan untuk pengenalan iris, menghasilkan lebih banyak kecocokan positif dan memungkinkan untuk spoof sistem dengan foto resolusi tinggi. .
Perubahan lain memperpanjang durasi setiap sesi login - mengurangi seberapa sering nama pengguna dan kata sandi harus dimasukkan, dan dengan demikian mengurangi keamanan.
Patch perangkat lunak tidak biasa karena tidak mencari akses informasi yang disimpan dalam database Aadhaar, tetapi lebih terlihat untuk memperkenalkan informasi ke dalamnya.
Ini, kata para ahli, menciptakan serangkaian masalah baru dan dapat mengalahkan banyak tujuan yang diakui Aadhaar, seperti mengurangi korupsi, melacak uang hitam, menghilangkan penipuan dan pencurian identitas. Ini juga berarti bahwa database Aadhaar rentan terhadap masalah entri hantu yang sama dengan basis data pemerintah lainnya.
"Jika ada yang bisa membuat entri dalam database Aadhaar, maka berpotensi orang tersebut dapat membuat beberapa kartu Aadhaar. Kemudian orang yang sama dapat menyedot jatah beberapa orang," kata Rajendran Narayanan, Asisten Profesor, Azim Premji University, Bengaluru . "Karena ada kuota tetap untuk jatah, ini berarti bahwa beberapa penerima manfaat murni akan dikucilkan."
Masalah serupa dapat diperkenalkan di semua skema pemerintah, kata Narayanan.
"Ada kesejajaran antara apa yang terjadi di India dengan apa yang terjadi di Amerika," kata Wallach of Rice University. "Tidak setiap orang Amerika dilahirkan di rumah sakit, di mana satu ton dokumentasi dibuat secara otomatis pada saat kelahiran mereka. Banyak orang Amerika, terutama orang Amerika yang miskin, melahirkan di rumah, di mana kurang dokumentasi.
"Ini baru-baru ini menjadi masalah bagi orang Amerika yang lahir di Lembah Rio Grande, di perbatasan antara Texas dan Meksiko, di mana rupanya beberapa bidan menciptakan dokumentasi penipuan untuk non-Amerika. Tanggapan saat ini adalah reaksi berlebihan terhadap ini, menyangkal kewarganegaraan. kepada orang Amerika yang berhak dalam upaya untuk menghapus sejumlah penipuan yang tidak diketahui. "
"Hubungan ke India sangat mudah," katanya. "India sedang mencoba untuk 'mendokumentasikan' warganya dan mereka menghadapi variasi pada masalah yang sama seperti di Amerika di mana banyak manfaat dari masyarakat sipil dibangun di atas landasan kewarganegaraan, tetapi kewarganegaraan itu sendiri bisa menjadi pondasi yang goyah."
Pada akhirnya, keberadaan patch ini mengungkapkan bahwa kerangka Aadhaar, seperti kerangka jaringan lainnya, rentan, meskipun pernyataan berulang oleh pejabat UIDAI sebaliknya.
Kerentanan terbaru ini adalah ilustrasi tentang bagaimana memperluas Aadhaar ke layanan dan tujuan yang tidak pernah dirancang untuk membahayakan keamanan seluruh proyek.
Anand Padmanabhan, seorang rekan di Pusat Penelitian Kebijakan, mengatakan bahwa dari tahun 2008 hingga 2011, Aadhaar bergeser dari proyek murni pemerintah menjadi proyek yang semakin bergantung pada partisipasi pemain swasta, tanpa mengatasi implikasi keamanan memberikan individu pribadi yang kurang diawasi. kemampuan untuk mengakses "titik akhir" - yaitu, komputer yang terhubung ke server UIDAI.
"Banyak peretasan maya terjadi karena kerentanan titik akhir," kata Padmanabhan, "Dan dengan membuka basis data identitas nasional untuk pelaku swasta agar mudah on-boarding, kekuatan yang secara eksponensial meningkatkan ancaman keamanan."
Tambalan itu - tersedia secara gratis untuk sekecil Rs 2.500 (sekitar $ 35) - memungkinkan orang yang tidak berwenang, berbasis di mana pun di dunia, untuk menghasilkan angka-angka Aadhaar sesuka hati, dan masih digunakan secara luas.
Ini memiliki implikasi yang signifikan terhadap keamanan nasional pada saat ketika pemerintah India telah berusaha untuk membuat nomor Aadhaar sebagai standar emas untuk identifikasi warga, dan wajib untuk segala sesuatu dari menggunakan ponsel untuk mengakses rekening bank.
Patch adalah sekumpulan kode yang digunakan untuk mengubah fungsi program perangkat lunak. Perusahaan sering menggunakan tambalan untuk pembaruan kecil untuk program yang ada, tetapi mereka juga dapat digunakan untuk bahaya dengan memperkenalkan kerentanan — seperti dalam kasus ini.
India memiliki tambalan itu, dan dianalisis oleh tiga ahli yang bereputasi internasional, dan dua analis India (salah satu di antaranya tidak mau disebutkan namanya karena ia bekerja di universitas yang didanai negara), untuk menemukan bahwa:
Tambalan ini memungkinkan pengguna melewati fitur keamanan penting seperti otentikasi biometrik dari operator pendaftaran untuk menghasilkan nomor Aadhaar yang tidak sah.
Patch ini menonaktifkan fitur keamanan GPS di dalam perangkat lunak pendaftaran (digunakan untuk mengidentifikasi lokasi fisik dari setiap pusat pendaftaran), yang berarti siapa pun di mana pun di dunia - misalnya, Beijing, Karachi, atau Kabul - dapat menggunakan perangkat lunak untuk mendaftarkan pengguna.
Tambalan ini mengurangi sensitivitas sistem pengenal iris perangkat lunak pendaftar, sehingga memudahkan spoof perangkat lunak dengan foto operator terdaftar, daripada mengharuskan operator untuk hadir secara langsung.
Para ahli yang dikonsultasikan oleh HuffPost India mengatakan bahwa kerentanan adalah intrinsik untuk pilihan teknologi yang dibuat pada awal program Aadhaar, yang berarti bahwa memperbaikinya dan ancaman lain di masa depan akan membutuhkan perubahan struktur fundamental Aadhaar.
"Siapa pun yang membuat patch sangat termotivasi untuk berkompromi dengan Aadhaar," kata Gustaf Björksten, Chief Technologist di Access Now, kebijakan teknologi global dan kelompok advokasi, dan salah satu ahli yang menganalisis patch tersebut atas permintaan HuffPost India.
"Mungkin ada banyak individu dan entitas, kriminal, politik, domestik dan asing, yang akan memperoleh manfaat yang cukup dari kompromi Aadhaar untuk membuat investasi dalam menciptakan patch berharga," kata Björksten. "Untuk memiliki harapan untuk mengamankan Aadhaar, desain sistem harus diubah secara radikal."
Analis dan pengembang keamanan dunia maya yang berkantor di Bengaluru, Anand Venkatanarayanan, yang juga menganalisis perangkat lunak untuk HuffPost India dan berbagi temuannya dengan otoritas pemerintah NCIIPC, mengatakan bahwa patch tersebut dirangkai dengan mencangkok kode dari versi yang lebih lama dari perangkat lunak pendaftaran Aadhaar — yang memiliki lebih sedikit fitur keamanan — ke versi perangkat lunak yang lebih baru.
NCIIPC, atau Pusat Perlindungan Infrastruktur Informasi Kritis Nasional, adalah lembaga nodal yang bertanggung jawab atas keamanan Aadhaar.
Temuan Venkatanarayanan dikonfirmasi oleh Dan Wallach, Profesor Ilmu Komputer, dan Teknik Listrik dan Komputer, di Universitas Rice di Houston, Texas.
"Setelah melihat kode patch dan laporan yang disajikan oleh Anand, saya merasa cukup nyaman mengatakan bahwa laporan itu benar, dan itu bisa memungkinkan seseorang untuk menghindari langkah-langkah keamanan dalam perangkat lunak Aadhaar, dan membuat entri baru. Ini cukup layak, dan terlihat seperti sesuatu yang mungkin untuk dikerjakan, "kata Wallach.
Pihak berwenang India telah menolak berkomentar, meskipun HuffPost India menjangkau NCIIPC dan Otoritas Identifikasi Unik India (UIDAI) pada lebih dari satu kesempatan sejak Juli tahun ini.
Sementara NCIIPC meminta salinan patch, yang disediakan oleh HuffPost India pada bulan yang sama, agensi telah menolak untuk membagikan temuannya. UIDAI tidak menanggapi surat HuffPost India.
SERI PILIHAN PRAGMATIK
Asal-usul dari peretasan saat ini terletak pada keputusan, yang dibuat pada tahun 2010, untuk membiarkan lembaga-lembaga swasta mendaftarkan pengguna ke sistem Aadhaar untuk mempercepat pendaftaran. Tahun itu, Mindtree, sebuah perusahaan yang berbasis di Bengaluru, memenangkan kontrak untuk mengembangkan perangkat lunak pendaftaran resmi yang terstandardisasi - disebut Multi-Platform Klien Pendaftaran (ECMP) - yang akan dipasang ke ribuan komputer yang dikelola oleh operator swasta ini.
Selain dari lembaga pendaftaran swasta, UIDAI juga menandatangani perjanjian pendaftaran dengan "pusat layanan umum" - kios komputer tingkat desa yang membantu warga mengakses layanan e-governance umum seperti pensiun, beasiswa pelajar, dll. Pada Februari 2018, pusat-pusat ini bertanggung jawab untuk mendaftarkan 180 juta orang India.
Keputusan ini untuk menginstal perangkat lunak pada setiap komputer pendaftaran, kata ahli keamanan cyber Björksten, "menempatkan berjalannya komponen-komponen penting Aadhaar di tangan musuh-musuh sistem".
Pilihan yang lebih aman adalah sistem berbasis web di mana semua perangkat lunak akan diinstal pada server dan operator pendaftaran sendiri UIDAI akan memiliki nama pengguna dan kata sandi untuk mengakses sistem.
(Analogi yang bermanfaat adalah perbedaan antara Microsoft Word - yang diinstal pada komputer - dan Google Documents berbasis web, yang dihosting secara online oleh Google, dan pengguna cukup masuk untuk menggunakan layanan.)
B. Regunath, seorang perancang perangkat lunak yang memimpin tim di Mindtree yang bekerja pada proyek tersebut, mengatakan perangkat lunak pendaftaran berbasis web untuk Aadhaar tidak praktis pada saat itu karena banyak bagian dari negara itu memiliki konektivitas internet yang sangat buruk.
"Orang-orang menggerakkan generator hanya untuk menyalakan tenaga dan melakukan pendaftaran. Bagaimana mereka bisa mengunggah paket-paket itu secara online?" tanya Regunath, yang sejak pindah ke posisi teknis senior di Flipkart.
"Kami meluncurkan dan mengeluarkan kartu Aadhaar pertama hanya tiga bulan setelah dipilih," kata Regunath, mengingat bahwa peluncuran itu dilakukan segera untuk memenuhi tenggat waktu yang diumumkan secara terbuka, tanpa semua fitur perangkat lunak di tempat.
Untuk mengkompensasi menyerahkan kontrol efektif dari proses pendaftaran ke ribuan operator yang tersebar di seluruh negeri, tim Regunath menambahkan fitur keamanan ke perangkat lunak - yang paling menonjol, fitur yang mengharuskan semua operator untuk masuk ke perangkat lunak dengan terlebih dahulu menyediakan sidik jari mereka sendiri atau iris pindai. Setiap laptop yang digunakan harus terlebih dahulu didaftarkan dengan UIDAI juga.
"Kami menambahkan fitur untuk memeriksa apakah operator disertifikasi, orang-orang tetap ikut campur dengan sistem, kami menambahkan fitur untuk memeriksa apakah pendaftaran orang-orang menjalankan versi Windows bajakan atau tidak diperbarui," kata Regunath.
UIDAI juga telah mengamanatkan bahwa setiap komputer yang digunakan untuk pendaftaran dilampirkan ke perangkat GPS untuk memastikan pendaftaran dilakukan dalam batas-batas fisik dari pusat-pusat yang berwenang.
Namun pada awal 2017, fitur keamanan yang dipertimbangkan secara hati-hati ini dilewati oleh peretasan perangkat lunak yang elegan yang mulai beredar di kalangan operator pendaftaran swasta yang dipaksa untuk mendaftarkan satu miliar orang India ke basis data Aadhaar.
Penggunaan patch ini begitu luas sehingga pencarian YouTube untuk "bypass emcp" mengungkapkan ratusan video operator swasta yang menawarkan panduan langkah demi langkah tentang cara menumbangkan protokol keamanan UIDAI.
"Ini adalah peretasan yang lugas, bisnis, dan utilitarian," kata Björksten, analis keamanan. "Setelah memeriksa keseluruhan kode, menurut saya patch adalah pekerjaan lebih dari satu coder."
Mindtree, perusahaan yang pertama kali mengembangkan perangkat lunak, telah mengakui daftar pertanyaan yang dikirim oleh HuffPost India. Cerita akan diperbarui begitu mereka merespons.
MENGINSTAL AADHAAR HACK ADALAH SEDERHANA SEBAGAI CUT DAN PASTE
Sumber patch semudah mendapatkan akses ke salah satu dari ribuan grup WhatsApp di mana patch, dan nama pengguna dan kata sandi yang diperlukan untuk login ke gateway pendaftaran UIDAI, dijual seharga Rs 2.500.
Pembayaran dilakukan melalui mobile wallet yang terhubung ke nomor telepon yang cepat mati setelah transaksi selesai.
Menggunakan tambalan semudah menginstal perangkat lunak pendaftaran pada PC, dan mengganti folder pustaka Java menggunakan Kontrol standar C, perintah cut-paste Kontrol V yang tidak asing bagi pengguna komputer mana pun.
Setelah patch dipasang, operator pendaftaran tidak perlu lagi memberikan sidik jari mereka untuk menggunakan perangkat lunak pendaftaran, GPS dinonaktifkan, dan sensitivitas pemindai iris berkurang. Ini berarti bahwa satu operator dapat masuk ke beberapa mesin pada saat yang sama, mengurangi biaya per pendaftaran, dan meningkatkan keuntungan mereka.
Bharat Bhushan Gupta, operator pendaftaran berusia 32 tahun dari Jalandhar, mengatakan operator seperti dia hanya dibayar Rs 30 per pendaftaran, sehingga banyak operator mulai menggunakan patch untuk menghasilkan sedikit lebih banyak uang, pengisian antara Rs 100 dan Rs 500 di kapasitas mereka sendiri. Gupta mengatakan bahwa dia tidak menggunakan tambalan itu, dan telah menulis kepada CEO UIDAI dan yang lain di otoritas tentang keberadaannya.
HuffPost India tidak dapat menetapkan berapa banyak pusat pendaftaran yang menggunakan patch, tetapi bahkan UIDAI telah mengakui bahwa proses pendaftaran telah dirusak oleh korupsi. Pada 2017, UIDAI mengatakan telah memasukkan 49.000 pusat pendaftaran ke daftar hitam untuk berbagai pelanggaran, dan pada Februari 2018, UIDAI menghentikan semua kontrak dengan pusat layanan umum juga.
Untuk selanjutnya, hanya bank dan lembaga pemerintah seperti layanan pos yang dapat mendaftarkan pengguna Aadhaar. Sebagai akibatnya, puluhan ribu pemuda, dengan pendidikan dasar tetapi sangat akrab dengan sistem Aadhaar, tidak dapat bekerja.
"Kami bahkan tidak dapat membuat upah minimum," kata Gupta, yang dulu menjalankan pusat layanan umum sendiri. "Ketika mereka menutup pendaftaran, kami sudah membentuk grup-grup WhatsApp yang dapat digunakan untuk saling membantu menggunakan perangkat lunak, dan dalam kelompok-kelompok ini, ada beberapa orang yang menawarkan perangkat lunak baru yang dapat digunakan untuk mencari informasi siapa pun."
Dalam wawancara, operator di luar pekerjaan mengklaim bahwa mereka masih dapat menggunakan perangkat lunak pendaftaran yang diretas untuk menghasilkan ID pendaftaran (langkah pertama dalam proses pendaftaran Aadhaar) dan telah terikat dengan sumber yang bekerja di pusat yang berwenang yang menyelesaikan proses pendaftaran dengan biaya .
SIAPA DI BALIK HACK AADHAAR ?
Sementara peretasan itu digunakan oleh operator komputer tingkat desa, tanpa pengetahuan formal tentang pemrograman, peneliti keamanan seperti Björksten dan Venkatanarayanan mengatakan peretasan itu merupakan investasi yang signifikan dalam waktu dan sumber daya - yang menunjukkan musuh-musuh canggih yang terlatih baik.
"Saya mengerti bahwa patch hanya membutuhkan sedikit," kata Björksten. "Para programmer telah mengambil jalan pintas dengan menggunakan versi sebelumnya dari kode Aadhaar. Ini adalah peretasan yang mudah, bisnis, dan utilitarian."
"Patch ini telah dibuat untuk digunakan, tidak hanya untuk tujuan penelitian keamanan, atau untuk menyoroti masalah keamanan dengan sistem Aadhaar." kata Björksten.
"Mereka telah menggunakan beberapa file dari versi sebelumnya dari perangkat lunak Aadhaar, yang tidak memiliki fitur keamanan ini, dan mereka juga telah melakukan perubahan yang menghapus pemeriksaan keamanan lainnya," kata Venkatanarayanan.
Perubahannya spesifik dan ditargetkan.
Terlepas dari perubahan yang disebutkan sebelumnya, analisis kode patch oleh Björksten dan Venkatanarayanan mengungkapkan satu perubahan yang secara marjinal mengurangi tingkat kegagalan untuk pengenalan iris, menghasilkan lebih banyak kecocokan positif dan memungkinkan untuk spoof sistem dengan foto resolusi tinggi. .
Perubahan lain memperpanjang durasi setiap sesi login - mengurangi seberapa sering nama pengguna dan kata sandi harus dimasukkan, dan dengan demikian mengurangi keamanan.
APA DAMPAK DARI AADHAAR HACK?
Patch perangkat lunak tidak biasa karena tidak mencari akses informasi yang disimpan dalam database Aadhaar, tetapi lebih terlihat untuk memperkenalkan informasi ke dalamnya.
Ini, kata para ahli, menciptakan serangkaian masalah baru dan dapat mengalahkan banyak tujuan yang diakui Aadhaar, seperti mengurangi korupsi, melacak uang hitam, menghilangkan penipuan dan pencurian identitas. Ini juga berarti bahwa database Aadhaar rentan terhadap masalah entri hantu yang sama dengan basis data pemerintah lainnya.
"Jika ada yang bisa membuat entri dalam database Aadhaar, maka berpotensi orang tersebut dapat membuat beberapa kartu Aadhaar. Kemudian orang yang sama dapat menyedot jatah beberapa orang," kata Rajendran Narayanan, Asisten Profesor, Azim Premji University, Bengaluru . "Karena ada kuota tetap untuk jatah, ini berarti bahwa beberapa penerima manfaat murni akan dikucilkan."
Masalah serupa dapat diperkenalkan di semua skema pemerintah, kata Narayanan.
"Ada kesejajaran antara apa yang terjadi di India dengan apa yang terjadi di Amerika," kata Wallach of Rice University. "Tidak setiap orang Amerika dilahirkan di rumah sakit, di mana satu ton dokumentasi dibuat secara otomatis pada saat kelahiran mereka. Banyak orang Amerika, terutama orang Amerika yang miskin, melahirkan di rumah, di mana kurang dokumentasi.
"Ini baru-baru ini menjadi masalah bagi orang Amerika yang lahir di Lembah Rio Grande, di perbatasan antara Texas dan Meksiko, di mana rupanya beberapa bidan menciptakan dokumentasi penipuan untuk non-Amerika. Tanggapan saat ini adalah reaksi berlebihan terhadap ini, menyangkal kewarganegaraan. kepada orang Amerika yang berhak dalam upaya untuk menghapus sejumlah penipuan yang tidak diketahui. "
"Hubungan ke India sangat mudah," katanya. "India sedang mencoba untuk 'mendokumentasikan' warganya dan mereka menghadapi variasi pada masalah yang sama seperti di Amerika di mana banyak manfaat dari masyarakat sipil dibangun di atas landasan kewarganegaraan, tetapi kewarganegaraan itu sendiri bisa menjadi pondasi yang goyah."
Pada akhirnya, keberadaan patch ini mengungkapkan bahwa kerangka Aadhaar, seperti kerangka jaringan lainnya, rentan, meskipun pernyataan berulang oleh pejabat UIDAI sebaliknya.
Kerentanan terbaru ini adalah ilustrasi tentang bagaimana memperluas Aadhaar ke layanan dan tujuan yang tidak pernah dirancang untuk membahayakan keamanan seluruh proyek.
Anand Padmanabhan, seorang rekan di Pusat Penelitian Kebijakan, mengatakan bahwa dari tahun 2008 hingga 2011, Aadhaar bergeser dari proyek murni pemerintah menjadi proyek yang semakin bergantung pada partisipasi pemain swasta, tanpa mengatasi implikasi keamanan memberikan individu pribadi yang kurang diawasi. kemampuan untuk mengakses "titik akhir" - yaitu, komputer yang terhubung ke server UIDAI.
"Banyak peretasan maya terjadi karena kerentanan titik akhir," kata Padmanabhan, "Dan dengan membuka basis data identitas nasional untuk pelaku swasta agar mudah on-boarding, kekuatan yang secara eksponensial meningkatkan ancaman keamanan."
0 Response to "Perangkat Lunak Aadhaar Uadra Diretas, Basis Data ID Terganggu, begini konfirmasinya"
Post a Comment