3.- Hackeo Ético
Carnegie Mellon-forskerne Alessandro Acquisti og Ralph Gross siger, at systemet for social sikringsnummer kombineret med den udbredt anvendelse af SSN som et identifikationsnummer har skabte en "sårbarhedsarkitektur" og er en uventet konsekvens af tilgængeligheden af grundlæggende personlige oplysninger og moderne computerkraft. Undersøgelsen vil blive præsenteret den 29. juli på dette års Black Hat-sikkerhedskonference i Las Vegas.
Acquisti og Gross fastslog, at problemet ligger i, hvordan socialsikringsnumre er opbygget. Hver S.S.N. har tre dele: område nummer (AN); gruppe nummer (GN); serienummer (SN). Alle tre komponenter kan forudsiges ud fra den sandsynlige placering af din bolig på det tidspunkt, hvor din S.S.N. blev ansøgt om. Dette er muligt, da sekvensen af AN'er og GN'er for hver stat er offentligt tilgængelige online, og SN'er er tildelt i rækkefølge.
Mens succesfrekvensen for at forudsige SSN'er var forholdsvis lav, kunne forskerne korrekt gætte tal landsdækkende for folk født før 1989, 0,08 procent af tid i færre end hundrede forsøg.
Det enkleste tal for at forudsige var imidlertid dem, der var tildelt i mindre stater og for folk født efter 1988. Årsagen er, at fra 1989 blev socialsikringsnumre tildelt i henhold til opgørelsen på Fødselsinitiativ, hvor folk fik deres socialsikringsnummer ved fødslen. EAB øgede chancen for at identificere en S.S.N. dramatisk siden en persons fødested og placering på det tidspunkt, hvor S.S.N blev ansøgt om, var garanteret at være identisk. Desuden reducerer en mindre statsbefolkning automatisk antallet af tilgængelige SSN'er, hvilket gør et korrekt gæt mere sandsynligt.
Et slående resultat var for eksempel, at Carnegie Mellon-forskerne var i stand til at identificere en ud af 20 komplette SSN'er på mindre end ti forsøg for folk født i Delaware i 1996. Forskerne fandt også, at de korrekt kunne identificere de første fem cifre i en SSN af alle i et enkelt forsøg 44 procent af tiden for individer født mellem 1989 og 2003.
Trods deres resultater advarer Acquisti og Gross, at deres metode til høstning af S.S.N.s kun kunne imiteres af sofistikerede hackere. I et sådant scenario diskuterer forskerne, hvordan kriminelle med den rigtige algoritme kan gætte S.S.N.s for mænd født i West Virigina i 1991, og et lejet botnet med mindst 10.000 IP-adresser (zombiecomputere) kunne med succes få S.S.N. af så mange som 47 personer pr. minut. Omstændighederne skulle være ideelle og løbe efter en lang række variabler fremsat af Acquisti og Gross, men forskningen indebærer storskala identitetshøstning ville være muligt med kun to stykker af grundlæggende personlige oplysninger.
Løsninger
Under anvendelse af S.S.N. som et middel til personlig identifikation er en procedure, som Social Security Administration har advaret imod i årevis. SSA-repræsentant Mark Lassiter fortalte New York Times, at Carnegie Mellon Research ikke er årsag til alarm. Lassiter sagde, at det ville være en "dramatisk overdrivelse" for at foreslå, at forskerne har "sprængt en kode" for at opdage S.S.N.s. Lassiter sagde også, at SSA vil tildele numre ved hjælp af et randomiseringssystem, der begynder næste år.
Hvis du er bekymret for at beskytte din identitet online, skal du kigge på PC Worlds "Guide til beskyttelse af din online identitet."
Forbind med Ian Paul på Twitter (@ianpaul).
Forskere hjælper med at definere næste generations sociale netværk
Akademikere, der samlet på en årlig begivenhed hos Microsoft, drøftede mangler i de nuværende netværk for sociale netværk.
Europa-Parlamentet udsætter IP-spørgsmål om privatlivets fred
Europa-Parlamentet fastlægger en beslutning om, hvorvidt IP-adresser skal betragtes som private, men i stedet for at anmode om en rapport om ...
Google CEO udsætter mørk side af sociale netværk
Google CEO Eric Schmidt sætter endnu en gang ideen om online privatliv i spotlighten ved at foreslå, at brugerne skifter deres navn og slette deres identitet for at undgå deres digitale fortid.