DEFCON｜利用互联网漏洞轻松“终结”任意一个人的生命

本文讲的是 DEFCON｜利用互联网漏洞轻松“终结”任意一个人的生命，大多数人都会有过杀了某人的幻想。如今，随着政府要求上网人士提供更多的个人信息，将幻想转化为现实简直容易，至少，在纸面上——在某些明晃晃的漏洞的恩赐下。

信息安全界人士克里斯·洛克就在拉斯维加斯本周举行的DEFCON黑客大会上展示了他的这一发现。

安全公司Kustodian的这位澳大利亚籍主管展示了“杀人”有多么简单——弄个假的出生证明，设置新身份——所有一切都在互联网巨大能量的帮助下。

“我将之称为‘生命终结漏洞’，”他说，“这是个全球性的灾难，而我还未与任何厂商联系过修复问题。”

他解释道：随着政府部门迁移到线上表单，大量漏洞开始浮出水面，能利用的信息又如此之多，要插手死亡生意真不太难。我不建议这么干，但这真是有可能的。

想注册某人已死亡，必须提交一张由医生在他咽下最后一口气之后24小时内填写的详细死因的表单。丧葬师要在7天内联署这张单子。然后，死亡证明就可以发给家人了。

在美国，这一切都在网上完成，通过电子死亡登记系统（EDRS）。医生需要公开提供他们的行医资格证书号、详细住址和其他身份信息——都在网上轻易找到。

这些医生详细信息在被授权登录EDRS系统之前都会与现有的记录进行对照以核实。但是，最关键的，电子邮件地址却不用经过核实——让黑客可以添加新的邮件地址以盗取合法医生的详细信息。

有一点需要记住：死因切不可填成易引发争论的，否则就会招来验尸官，一场官方调查就在所难免了。如果一个家庭里死了1个以上的孩子，验尸官也会被叫来调查。“因此，请小心杀死你的孩子。”洛克开玩笑说。

丧葬师也用同一套系统，他们的详细信息同样被存在网上可以被搜到的数据库中。而且还有极为方便的“操作指南”小传单可供查阅整个流程。

作为彩蛋，洛克把自己弄进了澳洲政府数据库——以一名丧葬师的身份。他解释了自己是怎样设立一个网站，发送在线申请，并在3天后成功拿到政府官方颁发的合法尸体处理人资格的。

在美国，各个州都有自己的规矩。因此，在科罗拉多任何人都可以成为丧葬师，在内华达得支付345美元并通过一个考试，在加利福尼亚则需要一个文学学士学位。

所有表单都填了之后，登记员会向亲属发送一份死亡证明。当然，这位“亲属”可以是黑客在表单里填的任何人。很显然，连同一份伪造的遗嘱，该死亡证明可以被用于搬空某人的银行账户，或者进行保险欺诈。

“为什么不在你还活着的时候就花掉你的人寿保险呢？”洛克问道。

即使没走到诈骗那一步，伪造某人的死亡仍然能给他们带来非常严重的问题。护照申请和驾照被冻结，信用级别被清零之类的，而法律目前还不能照管到此类情形。

洛克举了2013年唐纳德·米勒的例子。唐纳德·米勒在1986年失业之后抛弃妻子玩失踪。他的家人在1994年宣布了他的死亡。2005年，他试图申请驾照，并上诉以证自己还活着。不过，法官驳回了他的申诉。

法官说：“显而易见。坐在法庭上的这个男人健康状况良好。我不知道该把你放哪儿，但法律上你依然已经死亡。”BBC报道中补充说明了一条：当地法律规定，死亡时间过去3年后，撤销死亡证明便是违法。

洛克称，伪造出生甚至更简单，只需要医生和父母签单就行。伪造出生证明有很多好处，因为可以用于诸如骗取社会保障之类的。

很明显，这类行为是违法的。基于洛克的观点，鉴于适当的安全保障如此之少，似乎全世界的政府机构都需要重新考虑一下在线申报填表的迁移了。

原文发布时间为：八月 10, 2015
本文作者：aqniu
本文来自云栖社区合作伙伴安全牛，了解相关信息可以关注安全牛。
原文链接：http://www.aqniu.com/hack-geek/9468.html