Araştırmacılar Sosyal Güvenlik Numaralarında Güvenlik Kusurlarını Açıyor

Doğum tarihinizi ve doğum tarihinizi sosyal ağlarınızdan herhangi birine gönderdiniz mi? Öyleyse, bilgisayar korsanlarının Sosyal Güvenlik numaranızı anlamaları için yeterli bilgi vermiş olabilirsiniz. Eh, teoride, neyse. Carnegie Mellon Üniversitesi'ndeki araştırmacılar, istatistiksel analizi kullanarak bir kişinin Sosyal Güvenlik numarasını tahmin etmenin bir yolunu başarılı bir şekilde bulmuşlardır.

Carnegie Mellon araştırmacıları Alessandro Acquisti ve Ralph Gross, Sosyal Güvenlik numaralandırma sisteminin, SSN'lerin tanımlayıcı bir sayı olarak yaygın kullanımı ile birleştiğini söyler. Bir "güvenlik açığı mimarisi" yarattı ve temel kişisel bilgilerin ve modern bilgi işlem gücünün mevcudiyetinin beklenmedik bir sonucu oldu. Çalışma, bu yılki Las Vegas'taki Black Hat güvenlik konferansında 29 Temmuz'da sunulacak.

Acquisti ve Gross, sorunun Sosyal Güvenlik numaralarının nasıl oluşturulduğuyla ilgili olduğunu belirledi. Her S.S.N. üç bölümden oluşur: alan numarası (AN); grup numarası (GN); Seri numarası (SN). Her üç bileşen de, S.S.N. için uygulandı. Bu durum, her bir durum için AN'lerin ve GN'lerin dizilerinin çevrimiçi olarak kamuya açık olması ve SN'lerin ardışık düzende atanması nedeniyle mümkündür.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

Araştırmacılar teorilerini test ettiler. SSN'leri Sosyal Güvenlik İdareleri Ölüm Ana Dosyasına karşı tahmin etmek. DMF, ölen kişilerin SSN'lerini listeleyen halka açık bir veri tabanıdır.

SSN'leri tahmin etmede başarı oranı nispeten düşük olsa da, araştırmacılar 1989'dan önce doğan insanlar için ülke çapında rakamları doğru tahmin edebildiler. 100 den az sayıdaki zaman.

Öngörülen en basit rakamlar, daha küçük eyaletlerde ve 1988'den sonra doğan insanlarda görevlendirilmişti. Bunun nedeni, 1989'dan itibaren, Sosyal Güvenlik numaralarının, Sayım'a göre İnsanların Sosyal Güvenlik numaralarını doğumda aldıkları doğum girişimi. EAB, bir S.S.N. S.S.N'nin uygulandığı tarihte bir kişinin doğum yeri ve yerinin önemli ölçüde aynı olması garanti edildi. Buna ek olarak, daha küçük bir eyalet nüfusu, SSN'lerin sayısını otomatik olarak doğru bir tahminde bulunmayı daha muhtemel hale getirmektedir.

Örneğin, Carnegie Mellon araştırmacılarının, on teşebbüsden daha azında 20 tam SSN'den birini tanımlayabilmeleri çarpıcı bir bulgudur. 1996'da Delaware'de doğan insanlar için. Araştırmacılar ayrıca bir SSN'nin ilk beş rakamını doğru bir şekilde belirleyebildiler. Herkesin tek bir seferde, 1989 ve 2003 yılları arasında doğan bireylerin zamanının yüzde 44'ünü buluyor.

Sonuçlarına rağmen, Acquisti ve Brüt, S.S.N'leri toplama yöntemlerinin sadece karmaşık korsanlarla taklit edilebileceğine dikkat çekiyor. Böyle bir senaryoda araştırmacılar, suçluların doğru algoritma ile 1991 yılında West Virigina'da doğmuş erkekler için S.S.N.s'i ve en az 10.000 IP adresi (zombi bilgisayarları) içeren kiralık bir botnet'i nasıl tahmin edebildiklerini, S.S.N. dakikada 47 kişi kadar. Koşullar ideal olmalı ve Acquisti ve Gross tarafından ortaya konan çok çeşitli değişkenlere göre çalıştırılmalıdır, ancak araştırma, sadece iki temel kişisel bilgi ile büyük ölçekli kimlik toplamanın mümkün olabileceğini düşündürmektedir.

Çözümler

İllüstrasyon: Stuart BradfordSo şimdi SSN'nin cevabı nedir kusur kanıtlanmıştır? Acquisti ve Gross, S.S.N. Bir banka hesabı açmak veya bir cep telefonu sağlayıcısına kaydolmak gibi özel işlemler için kişisel olarak tanımlayıcı bir numara olarak daha güvenli bir kimlik sistemi için ikame edilmelidir.

S.S.N. kişisel kimlik için bir araç olarak Sosyal Güvenlik İdaresi'nin yıllardır aleyhinde uyardığı bir prosedürdür. Ancak SSA temsilcisi Mark Lassiter, The New York Times'a Carnegie Mellon Research'ün bir alarm nedeni olmadığını söyledi. Lassiter, araştırmacıların S.S.N'leri keşfetmek için “kod kırdığını” öne sürmek için “dramatik bir abartı” olacağını söyledi. Lassiter ayrıca, SSA'nın gelecek sene başlayarak bir randomizasyon sistemi kullanarak sayı atacağını söyledi.

Kimliğinizi çevrimiçi korumayla ilgili endişeleriniz varsa, PC Dünyanın "Çevrimiçi Kimliğinizi Koruma Kılavuzu" nu kontrol edin.

Ian ile bağlanın Paul on Twitter (@paulpaul).