Onderzoekers omzeilen Windows Hello-authenticatie met nepcamera en ir-beelden

Securityonderzoekers hebben het Windows Hello-beveiligingssysteem van Microsoft weten te omzeilen. Een beveiligingsbedrijf wist Windows Hello-gezichtsherkenning te misleiden met behulp van een nepcamera en infraroodbeelden van de eigenaar van het systeem.

Cybersecuritybedrijf CyberArk was in staat om de Windows Hello-beveiliging van een computer te omzeilen via een eigengemaakt USB-apparaat, dat een webcam moest nabootsen en infraroodbeelden van de eigenaar van het systeem bevatte.

Windows Hello is een authenticatiesysteem voor Windows-pc's, dat op verschillende manieren ingezet kan worden. Gebruikers kunnen Windows Hello inzetten met een pincode, vingerafdruk of gezichtsherkenning. Voor dat laatste behoeft Windows Hello een webcam die zowel rgb- als infraroodbeelden opneemt.

Onderzoekers van CyberArk kwamen erachter dat het authenticatiesysteem alleen de infraroodframes verwerkt. Om dat te verifiëren, maakten de onderzoekers een USB-apparaat met een evaluation board van NXP. Op dat USB-apparaat plaatsten ze infraroodbeelden van de Windows Hello-gebruiker en kleurenafbeeldingen van Spongebob. Het apparaat werd herkend als een USB-webcam en werd daarmee succesvol gebruikt om Windows Hello te omzeilen.

Microsoft heeft het beveiligingsprobleem inmiddels verholpen in een patch. In een document wijst het bedrijf gebruikers erop dat ze het gebruik van externe Windows Hello-camera's indien gewenst kunnen uitschakelen door een waarde toe te voegen aan het register in Windows. In de praktijk zal het ook lastig zijn om deze kwetsbaarheid op ongepatchte systemen uit te buiten, aangezien daarvoor dus infraroodbeelden van de systeemeigenaar en fysieke toegang tot de computer in kwestie nodig zijn.

Reacties (125)

jusch 19 juli 2021 09:51

Dit is in de categorie: ik heb de reserve sleutel en het huisnummer, en kan nu inbreken.

Michael_OsGroot @jusch • 19 juli 2021 09:57

Nee, want een sleutel is iets wat je hebt. Je biometrie is iets wat je bent en is verondersteld veiliger te zijn.

TheDutchChief @Michael_OsGroot • 19 juli 2021 10:23

Tot het gekraakt is, dan kun je een sleutel vervangen, jezelf replacen is wat lastiger.

SunnieNL

Microsoft Windows

@TheDutchChief • 19 juli 2021 11:09

En daarom zou bij biometrie ook altijd een soort van 2FA plaats moeten vinden.
Het enige wat nu gebeurd is een wachtwoord vervangen door een vingerafdruk of een cam ir-image.
en goh, dat blijkt niet veilig te zijn. Had iemand anders verwacht dan?

Er zijn hier overigens nogal wat randvoorwaarden aan:
- ik moet toegang hebben tot het fysieke systeem
- dat fysieke systeem moet een usb poort hebben
- dat fysieke systeem moet toestaan dat je alles maar kan aansluiten op de usb poort

Dat zijn allemaal al zeker die je kunt mitigeren waardoor deze truc al een stuk lastiger wordt om uit te voeren.

D11 @TheDutchChief • 19 juli 2021 10:44

De authenticatie methode vervangen is wel mogelijk

robvanwijk @TheDutchChief • 19 juli 2021 12:21

Heb je nooit Face/Off gezien? Dat was een documentaire over wat daadwerkelijk mogelijk is... toch...?

Ergens op Youtube staat ook nog een video van een toen-nog-veel-jongere Tom Scott die probeert van zijn vingerafdrukken af te komen. Zonder succes, maar wel met erg veel pijn (het is geen fijne video om te kijken).

TheDutchChief @robvanwijk • 19 juli 2021 12:47

https://www.security.nl/p...k+Duitse+defensieminister

CivLord

@TheDutchChief • 20 juli 2021 06:56

Wat beschouw je als gekraakt?
Dat iemand op een eenvoudige manier je vinger/ gezicht na kan maken en gebruiken om in te loggen? Dan kan je inderdaad niet je vinger/ gezicht wijzigen zoals je een wachtwoord wijzigt wanneer dat is uitgelekt.

Biometrie werkt op een compleet andere manier. Het zijn niet tien of twintig tekens die uit kunnen lekken waardoor anderen makkelijk toegang tot je PC kunnen krijgen. Biometrie leunt op een systeem van metingen en verificaties die vast moeten stellen dat jouw vinger/ gezicht daadwerkelijk jouw vinger/ gezicht is. Wanneer het systeem gekraakt is voor je wijsvinger, dan is het kinderspel om hetzelfde te doen met je duim, pink of elk ander vervangend lichaamsdeel. Dan is niet je wijsvinger gekraakt, maar het beveiligingssysteem gecompromitteerd en daarmee mogelijk ondeugdelijk.

mr01z0 @Michael_OsGroot • 19 juli 2021 12:37

Dat is het hele punt van dit nieuws item, de biometrische gegevens van een pesoon zijn vastgelegd op een USB device, en daarmee dus losgekoppeld van de persoon.

robvanwijk @Michael_OsGroot • 19 juli 2021 12:28

Nee, want een sleutel is iets wat je hebt. Je biometrie is iets wat je bent en is verondersteld veiliger te zijn.

Infrarood beelden van de eigenaar van het systeem is ook iets wat je hebt. (En wat je relatief eenvoudig te pakken kunt krijgen als je fysieke toegang hebt; USB-stekker eruit trekken, extra apparaatje ertussen hangen dat beelden kan loggen en replayen en de boel doorlussen.) Hoe je deze aanval massaal uit kunt uitvoeren zie ik niet voor me (het is geen exploit die geschikt lijkt te zijn om miljoenen computers te kraken en een botnet te bouwen), maar voor een gerichte aanval op doelwitten die niet speciaal beveiligd zijn (bedrijfsspionage, partners die elkaar niet vertrouwen, politie en inlichtingendiensten tegen verdachten) zou het best wel eens een zeer bruikbare techniek kunnen zijn.

Het wordt pas "iets wat je bent" als Windows bij het inloggen controleert of de beelden live zijn ("ik heb je gezicht herkent, voor de extra controle, knipper met je rechteroog, nog een keer rechts, nu links", waarbij links/rechts en de tussenpozen random zijn om replay te voorkomen).

[Reactie gewijzigd door robvanwijk op 23 juli 2024 08:19]

PageFault @jusch • 19 juli 2021 09:56

Is dat zo? Ik vraag me af of dit ook zo eenvoudig gaat met FaceID van Apple of de Android varianten.

CyBeR @PageFault • 19 juli 2021 10:12

Is dat zo? Ik vraag me af of dit ook zo eenvoudig gaat met FaceID van Apple of de Android varianten.

Nee, want dit is de reden dat op iPhones het camerasysteem als beveiligingsonderdeel wordt aangemerkt en je die dus niet zomaar kunt vervangen.

gedonie @CyBeR • 19 juli 2021 20:36

Dat je het niet mag vervangen hangt niet primaire samen met het feit dat dit de beveiliging zou verminderen. Eerder dat Apple niet wilt dat je apparaten repareert, maar weggooit.

CyBeR @gedonie • 20 juli 2021 08:07

Dat je het niet mag vervangen hangt niet primaire samen met het feit dat dit de beveiliging zou verminderen. Eerder dat Apple niet wilt dat je apparaten repareert, maar weggooit.

Onzin.

gedonie @CyBeR • 20 juli 2021 13:49

Vandaar dat je na een batterij vervanging continu een foutmelding op je iPhone krijgt.

CyBeR @gedonie • 20 juli 2021 14:11

Batterij heeft een andere reden, namelijk veiligheid. Batterijen kunnen in de fik vliegen. En ja ook als 't originele zijn uit andere telefoons die zijn geïnstalleerd door beunhazen die niet weten wat ze doen. (Dat er ook lui zijn die wél weten wat ze doen snap ik maar daar kun je als bedrijf niet van uitgaan.)

Wie heeft de poppetjes aan het dansen als 't mis gaat nadat een beunhaas een "originele" batterij geïnstalleerd heeft die vervolgens in de fik vliegt? Apple. Ik snap prima dat ze dat niet willen.

[Reactie gewijzigd door CyBeR op 23 juli 2024 08:19]

gedonie @CyBeR • 20 juli 2021 18:57

Kijk als je een roze Apple bril hebt vergeef je ze alles. Maar het is van de zotte dat je niet een batterij, camera module of scherm kan vervangen zonder dat jouw eigendom gaat zeuren of zelfs dienst weigert. Na verkoop is de telefoon niet meer van Apple naar van de consument.

Zeker als je kijkt dat Apple er alles aan doet om reperatie prijzen via hun eigen winkel omhoog te drijven. Tot het punt dat nieuw kopen voordeliger is dan reparatie.

[Reactie gewijzigd door gedonie op 23 juli 2024 08:19]

logix147 @gedonie • 20 juli 2021 14:56

Als jij een niet officiële batterij gebruikt - snap ik dat recht. fixmijniphone ofzo heeft A en B merk. Als je die B merken bestelt dan werkt o.a. de batterij tool in iOS niet meer.

Er zijn mensen die op auto's ook B merk leggen en 30k per jaar zonder probleem rijden.
Rekensommetje is dat een pakweg 40 tot 60 cm² een hele grote beinvloedingsfactor heeft of jij op tijd stil staat ja/nee.

Ik weet wel op welk paard ik mijn centen inzet. Ja - soms is duurder beter. Synology NAS officiele memory of 3th party, voor mijzelf privé kan 3th party prima. Of ik dat zakelijk hetzelfde advies geef? Nee, maar als je vraagt voor jouw thuis, mits je voor een goede backup van de backup zorgt, kan 3th party prima.

life is like riding a bicycle. to keep your balance you must keep moving.
/

los hiervan is dit meer Mission Impossible Niveau, dan iets wat praktisch uitvoerbaar is zo even on the fly als je snel in een laptopje wil zijn.

Croga

@PageFault • 19 juli 2021 10:00

Er is natuurlijk een enorm verschil tussen een flexibel systeem als Windows op een PC en Android waar de hardware volledig gesloten is.

Of FaceID op een Macbook op deze manier te omzeilen is weet ik niet. Maar als je dat ook met externe cameras kunt gebruiken dan ga er maar rustig van uit dat deze zelfde manier ook daar mogelijk is.

Het is uiteindelijk zinloos om deze dingen te vergelijken. Windows is gemaakt om op zo'n beetje alle mogelijke hardware te werken en dat betekend dat er compromissen zullen zijn die in een volledig gesloten systeem niet nodig zijn. Het is de prijs die je betaald voor de vrijheid om zelf keuzes te kunnen maken die je op andere platformen niet kunt maken.

thomas_n @PageFault • 19 juli 2021 10:02

FaceID van Apple werkt niet met willekeurige usb-infraroodcamera's, dus daarbij werkt deze methode in elk geval niet. De Android varianten weet ik niet.

Wolfos @PageFault • 19 juli 2021 10:21

"Eenvoudig" vind ik een sterk woord voor deze hack. Infraroodbeelden van de gebruiker en fysieke toegang tot de computer krijg je niet zomaar. Het zou dan gaan om een gerichte aanval met hoog risico (je moet immers fysiek inbreken). Iets waar de gemiddelde gebruiker niet echt bang voor hoeft te zijn.

[Reactie gewijzigd door Wolfos op 23 juli 2024 08:19]

Crysania @PageFault • 19 juli 2021 11:01

"eenvoudig" vind ik nogal overdreven. wat heb je nodig:

- infrarood kiekjes van iemands gezicht (ok dit is te regelen)
- custom made usb device (dit is te regelen)
- fysieke toegang tot iemands computer (hier wordt het al lastiger)

Moet dus wel een erg getargette aanval zijn.
In dat kader kan ik ook bijna elk apparaat met biometrische authenticatie openen:

- fysieke toegang tot iemands apparaat
- persoon (met dreiging van geweld) dwingen om apparaat te openen door er naar te kijken of vinger op het apparaat te leggen.

natuurlijk is deze 2e nog wat extra steps maar bijna net zo "eenvoudig"

CivLord

@Crysania • 20 juli 2021 06:46

Fysieke toegang is al een stuk eenvoudiger in een kantooromgeving, waar tijdens meetings of lunchpauze laptops onbeheerd op het bureau worden achtergelaten.

claudior @jusch • 19 juli 2021 10:00

Iemand's wachtwoord achterhalen lijkt mij lastiger dan infrarood kiekjes van iemand's gezicht te maken.

Dat is wel een heel gerichte hack, maar er zijn concrete scenario's te bedenken waar dit toegepast kan worden.

casberrypi @claudior • 19 juli 2021 20:27

Dit is het fundamentele probleem van biometrische authenticatie, en de reden dat het veel minder veilig is. Je vingerafdrukken laat je overal achter, je gezicht is overal waar je bent te zien.

Daar komt nog bij: Je kunt het niet veranderen, als je authenticatie eenmaal gespoofd kan worden is er niets meer aan te doen. Je kunt niet zoals bij pub/priv een key revoken, 2fa een nieuwe secret genereren of bij password authenticatie een wachtwoord wijzigen.

r2504 @claudior • 19 juli 2021 10:07

Wat is er moeilijk aan een infrarood kiekje van jou nemen... iedereen die je tegenkomt op straat (of waar dan ook) kan dit toch gewoon ?

claudior @r2504 • 19 juli 2021 10:09

Dat zeg ik toch ook?

r2504 @claudior • 19 juli 2021 10:11

Sorry, verkeerd gelezen

PageFault @claudior • 19 juli 2021 12:44

Ook daar is een oplossing voor: http://www.cs.berkeley.ed...visited/tiss.preprint.pdf

86ul @jusch • 19 juli 2021 10:01

Wellicht dat de volgende stap kan zijn, dat er een spyware wordt gemaakt, die dit emuleert. Zodat een fysieke aanwezigheid van de hacker niet meer vereist is; al moet de computer wèl aan staan. Echter dit is ook weer te fixen met een andere vorm van spyware. Namelijk een spyware zoals boot-over-LAN. Voeg deze twee spywares samen en de computer kan gehackt worden, zonder een fysieke aanwezigheid, noch van de eigenaar(s), noch van de hacker(s). Dan heb je de muizen/hackers op de computertafel.

mr01z0 @jusch • 19 juli 2021 12:34

Dit is niet juist, waar huizen normaal gesproken aan de openbare weg zijn "gekoppeld" is een Windows 10 device dat niet. Je moet dus eerst inbreken in een huis of kantoor.

CivLord

@mr01z0 • 20 juli 2021 07:05

Waarom moet je inbreken in een kantoor? Er zijn genoeg mensen die een geldige reden hebben om in een kantoor te zijn, bijvoorbeeld de collega's van het doelwit.
In een kantoortuin met flexplekken is het extreem makkelijk om eerst tegenover het doelwit te gaan zitten, en daar een paar IR-foto's van het gezicht te maken. Wanneer het doelwit de werkplek verlaat, ga jij achter de PC zitten en plug je de USB-stick in om in te kunnen logen.

Dit kan je gebruiken wanneer de toegang tot bepaalde waardevolle informatie gelogd wordt en jij niet met je user-ID in de logs voor wil komen, of wanneer je collega toestemming kan geven voor bepaalde transacties.

mr01z0 @CivLord • 20 juli 2021 08:55

Ja, dat zijn inderdaad goede punten, vooral mensen die niet thuishoren in een kantoor die zomaar achter een gaan zitten zijn natuurlijk verdacht ik weet uit eigen ervaring dat de cultuur in een bedrijf zo kan zijn dat er bijvoorbeeld veel externe mensen werken of dat er veel flexplekken zijn waardoor mensen niet meteen opkijken van een vreemd gezicht. In deze gevallen is het inderdaad makkelijk om als vreemde binnen te komen in een bedrijf en iets te doen op een computer. Dit gezegd hebbende denk ik dat het inderdaad waarschijnlijker is dat een collega toegang verkrijgt omdat een vreemd gezicht in de meeste bedrijven toch vaak wel even gevraagd wordt wie je bent en wat je komt doen.

Guru Evi @mr01z0 • 20 juli 2021 13:44

Er zijn genoeg verhalen te vinden daarover, oa. Deviant Ollam - doe een kostuum aan van een werkman (lift, ramen wassen) en je kunt in de meeste kantoren uren verblijven zonder dat iemand dit opmerkt.

_Thanatos_ 19 juli 2021 10:11

Ja, dus als je de sleutel kan kopiëren en weet in welk huis die past, dan kun je inbreken. Ja zo is geen enkel slot veilig natuurlijk.

Windows Hello is een techniek om het snel & makkelijk te maken om veilig in te loggen. Maar als je net doet alsof je de gebruiker bent, sja, dan is het "niet veilig" meer. Zoiets is altijd, ALTIJD, een compromis tussen gemak en veiligheid. Alle andere vormen van inloggen zonder iets te typen, zijn dat ook. Op een iPhone en sommige Android toestellen kun je ook met je gezicht inloggen - zelfde probleem.

Zelfde als bij inloggen met je vingerafdruk ook. Als je die kan kopiëren en de sensor accepteert een kopie, dan is dat ook "onveilig" ineens.

[Reactie gewijzigd door _Thanatos_ op 23 juli 2024 08:19]

HKS-Skyline @_Thanatos_ • 19 juli 2021 11:30

Kan microsoft niet iets doen aan de authenticatie van de camera zelf? De camera zou moeten worden aangemeld in windows hello en niet te wijzigen zijn totdat je bent ingelogd. Het USB apparaat zou dan in de zelfde usb poort moeten zitten, de zelfde hardware ID's etc moeten hebben etc, dat lijkt mij moeilijk om te imiteren. Simpelweg een video van iemand maken en een usb stick in zn computer steken dat zich voordoet als een camera zou dan niet zomaar werken.

Mellow Jack @HKS-Skyline • 19 juli 2021 14:02

Dat is niet iets wat Microsoft zomaar kan. De gebruiker kan dat weer wel forceren. Meest simpele voorbeeld is dat een bedrijf een policy kan instellen die ongeveer doet wat jij voorstelt maar zoals het nu is kan Microsoft dat niet zomaar eenzijdig forceren.

HKS-Skyline @Mellow Jack • 19 juli 2021 14:51

Waarom niet? Je kan toch in windows hello aangeven wat de info van de camera is en als dat niet matched dan werkt de camera niet.

EraYaN @HKS-Skyline • 20 juli 2021 11:51

USB is verder niet authenticated ofzo dus dat is op hetzelfde niveau als MAC adressen weigeren van WiFi enzo. Erg makkelijk te omzeilen in een lokale targetted attack. Dan zouden al die webcams eigenlijk dus challenge en response dingen moeten kunnen doen om dat echt veilig te maken.

HKS-Skyline @EraYaN • 20 juli 2021 12:16

Ik snap dat het te spoofen is, maar het voorkomt dat je een simpel usb stickje in een pc kan stoppen waar windows hello op aan staat en direct in kan loggen, je moet dan exact weten welke webcam er wordt gebruikt en alles moet exact matchen wil het werken, het is niet waterdicht, maar het maakt de inbraak net weer een stap moeilijker. Maar zoals je zegt, wellicht moeten nieuwe windows hello (2.0) devices zelf een authenticatiechip bevatten oid.

EraYaN @HKS-Skyline • 21 juli 2021 10:26

Je moet voor die USB stick ook al IR fotos van het target hebben, dat is veel meer werk dan het achterhalen van het type/merk/model USB webcam, desnoods maak je een USB host op je USB stick waar je de webcam inplugt. Dat was mijn punt, als je al zover bent een getargette attack uit te voeren dan maakt dit ook niet meer uit.

The Zep Man

Beveiliging en antivirus
Besturingssystemen
Microsoft Windows
Microsoft

@_Thanatos_ • 19 juli 2021 10:31

Ja, dus als je de sleutel kan kopiëren en weet in welk huis die past, dan kun je inbreken. Ja zo is geen enkel slot veilig natuurlijk.

Valse vergelijking. Een fysiek slot kan je relatief makkelijk vervangen als het gecompromitteerd is. Je gelaat niet.

Zelfde als bij inloggen met je vingerafdruk ook. Als je die kan kopiëren en de sensor accepteert een kopie, dan is dat ook "onveilig" ineens.

Je hebt maar tien vingers, en potentieel een oneindige hoeveelheid wachtwoorden. Vingers zijn onveiliger.

Fysieke karakteristieken zijn met name goed voor identificatie, niet voor authenticatie.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 08:19]

smolotov @The Zep Man • 19 juli 2021 10:51

Fysieke karakteristieken zijn met name goed voor identificatie, niet voor authenticatie.

En zo is maar net. Iedereen die hier voor kiest zou bewust moeten zijn van het extra risico. Niks werkt beter dan 2 factor met een stevig wachtwoord.

martennis @smolotov • 19 juli 2021 11:32

Dit ben ik niet met je eens.

Een 'stevig wachtwoord' is nog altijd een wachtwoord dat (al dan niet gesalt + gehashed) opgeslagen wordt bij de partij die de authenticatie regelt. Hiermee loop je nog altijd het risico dat je wachtwoord wordt gephished, gelogd, plaintext wordt verwerkt, onderschept, geraden etc etc.

Het voordeel van een authenticatie techniek als Hello is dat deze gebasseerd is op asynchrone encryptie, waarbij de biometrische data en private key nooit je device verlaten; alleen de public key. Hiermee is het een vereiste geworden om fysiek in het bezit te zijn van het device om te kunnen authenticeren. Ter vergelijking; met een wachtwoord kan je overal ter wereld proberen te authenticeren. Hierbij is 2-FA ook niet heilig, gezien de vele manieren die er zijn om ook daar omheen te werken.

Authenticatie werkt natuurlijk het best als je de 'standaard regels' voor authenticatie hanteert:
iets wat je weet, iets wat je bent en iets wat je hebt (evt. aangevuld met 'daar waar je bent' en/of 'iets wat je doet').
In dit artikel wordt maar aan 2 van de 3 regels voldaan, waarmee authenticatie tot de machine dit soort gevaren loopt, hetzelfde probleem als wachtwoord+2-FA.

varkenspester @martennis • 19 juli 2021 12:31

Ik weet niet goed wat je bedoelt. Een wachtwoord wordt toch nooit opgeslagen? Op zijn minst wordt het gesalt en gehashed.

martennis @varkenspester • 19 juli 2021 15:32

Dat hoop je van wel, maar je bent hierin wel afhankelijk van de implementatie van de 3e partij. Als die besluit voortaan jouw wachtwoord plain-text op te slaan of (per ongeluk) in logfiles te printen, heb jij daar a) mogelijk/waarschijnlijk geen weet van, en b) geen invloed op.

Daarnaast is een gesalt + gehashed wachtwoord net zo goed opgeslagen als een plaintext wachtwoord. Hoeveel voorbeelden zijn er niet van een database lek waarbij ook de salt of is opgeslagen in de zelfde database, of de salt voorspelbaar is, of ook de database met salt toegangelijk is wanneer je bij de database met wachtwoorden kan?

casberrypi @martennis • 19 juli 2021 20:42

Natuurlijk is de salt toegankelijk, je zult dezelfde salt moeten gebruiken om opnieuw de hash te berekenen als de gebruiker zich probeert te authenticeren. Salt is er om te zorgen dat je niet één grote rainbow table bouwt na een lek van hashes om daarmee alles de kunnen decypheren.

varkenspester @martennis • 20 juli 2021 11:14

een salt die gekend is is niet zo'n probleem.
Het hele punt van een salt is dat je niet zomaar een lijst van wachtwoorden + hashes kan bijhouden.
Immers de salt wordt steeeds aan het wachtwoord toegevoegd voor de hash berekend wordt waardoor je dus een tabel nodig hebt van wachtwoorden die eindigen op salt + hash wat maakt dat rainbow tables samenstellen heel arbeidsintensief wordt en slechts op die ene site zal werken.

Van een hash naar het originele wachtwoord (in geval je dat op meerdere sites gebruikt) is sowiezo technisch onmogelijk.

Het lijkt me trouwens dat je bij biometrische data toch even goed afhankelijk bent van de implementatie van de derde partij? Al ben ik niet zo vertrouwd met de technologie hierachter (het lijkt mij dat jou data toch ook gewoon gemapt wordt op een unieke sleutel?)

martennis @varkenspester • 20 juli 2021 15:14

Klopt, je biometrische data wordt soort van gemapt aan een unieke keypair (welke per account per website/service verschilt overigens), op je device.
Als in; met je bio-data unlock je je machine om toegang te geven aan een key-pair die de authenticatie nodig heeft.
Het belangrijkste verschil met wachtwoorden is dus dat die private key (net als je bio-data) op het device blijven en de sleutel alleen gebruikt wordt om asymetrische encryptie toe te passen op een signature voor een authenticatie request. Deze signature wordt vervolgens door de 3e partij adhv de bijbehorende publieke sleutel gevalideerd.
De enige 'mapping' die er dan vanuit de service gezien is, is jou 'account-id' en je publieke sleutel, maar met alleen die gegevens zal je nooit een authenticatie kunnen doen; daar heb je de private key ook voor nodig. Wanneer de 'accounts database' ooit wordt gejat, is de schade iets minder groot dan bij wachtwoorden.

david-v

@martennis • 19 juli 2021 13:00

Todat iemand wel in het bezit komt van je biometrische data. Success met het "wijzigen" van je biometrische data. Het is al eerder geroepen, biometrische data is prima voor identificatie, maar niet voor authenticatie.

martennis @david-v • 19 juli 2021 15:25

Dat is precies wat ik zeg. De biometrische data wordt alleen op je device opgeslagen en wordt gebruikt om een private key te 'unlocken' uit een TPM chip. Met die private key wordt vervolgens je authenticatie gedaan. Daarmee moet iemand dus fysiek toegang hebben tot jouw device + biometrische data.

En daarom zeg ik ook; zorg dat je aan de (minimaal) 3 regels voor authenticatie houdt.

david-v

@martennis • 19 juli 2021 17:48

Het probleem is nog steeds, dat wat je "bent" niet aanpasbaar is en in veel gevallen (te) makkelijk te achterhalen. Biometrische data zou je dus niet als onderdeel van authenticatie moeten gebruiken maar alleen voor identificatie van een persoon. Maar .. Dat is mijn persoonlijke mening.

_Thanatos_ @The Zep Man • 19 juli 2021 10:45

Er is geen 100% correcte vergelijking, behalve met een andere Windows Hello. Vergelijkingen bestaan om een beeld te schetsen met iets (tastbaars of iets eenvoudigers) waar men meer bekend mee is.

Maar wachtwoorden zijn (misschien) wel veiliger, maar niet veiliger (ik bedoel safety vs security, in het NL hebben we één woord voor beide). Een wachtwoord kan iedereen met het grootste gemak intypen. Voor biometrische login is, zoals je ziet, allerlei poespas nodig om het te neppen. Het is (misschien) minder veilig, maar het werpt wel een hogere drempel op (safety vs security dus).

Orthodroom @_Thanatos_ • 19 juli 2021 12:56

Wellicht is veilig vs. bescherming een duidelijkere vertaling i.p.v. 2x hetzelfde woord te gebruiken.

david-v

@The Zep Man • 19 juli 2021 10:41

Valse vergelijking. Een fysiek slot kan je relatief makkelijk vervangen als het gecompromitteerd is. Je gelaat niet.

Biometrische beveiliging is altijd een probleem omdat die inderdaad niet aanpasbaar is en onder dwang/onbewust prijs gegeven kan worden. Bovendien zijn je biometrische kenmerken vaak eenvoudig te verkrijgen omdat ze "openbaar" zijn. Iemand kan zonder dat je het merkt een infrarood van je maken of je vingerafdruk ergens vandaan halen. Je vinger die onder dwang op een vingerafdrukscanner wordt geplaatst bijvoorbeeld of je gezicht onder dwang voor de gezichtsscanner. Met een zelf bedachte code kan je zelf bepalen of je het prijs geeft of niet.

Indentical @david-v • 19 juli 2021 12:37

Met een zelf bedachte code kan je zelf bepalen of je het prijs geeft of niet.

Grapjas, ook dit kan onder dwang verkregen worden met de juiste mentale druk. Ik denk dat jij liever de code geeft dan een ernstig letsel oploopt of iets laat overkomen aan familie en/of vrienden.(Tenzij het staats belang is) Gelukkig is het gros van ons niet belangrijk genoeg voor dit soort extreme tactieken maar het kan wel

een "Slot" kan maar voor 99,99% beveiligd zijn tegen inbreken. wat je vaak doet is het dus danig goed beveiligen dat het enorm veel tijd vergt het te kraken. Dan is de vraag of jou data de tijd en moeite waard is. Zo niet dan heeft het slot kraken ook vooral geen zin en laten ze het zitten.

Mathijs @Indentical • 20 juli 2021 01:49

Bij mij gaan mijn familie en vrienden toch echt boven "staatsbelang" hoor.

Fireshade @The Zep Man • 19 juli 2021 13:53

Valse vergelijking. Een fysiek slot kan je relatief makkelijk vervangen als het gecompromitteerd is. Je gelaat niet.

Ik snap dit niet. Die onderzoekers hebben het (beeld van) het gelaat gekopieerd, dus gecompromitteerd (= kopie van de sleutel).
Eenmaal binnen, kunnen ze ook het gelaat voor Windows Hello vervangen met die van iemand anders. Dat is bij wijze van spreken jouw hetzelfde als "fysiek slot vervangen". Hoezo is dat een valse vergelijking?

[Reactie gewijzigd door Fireshade op 23 juli 2024 08:19]

The Zep Man

Beveiliging en antivirus
Besturingssystemen
Microsoft Windows
Microsoft

@Fireshade • 19 juli 2021 15:59

Je verwart het vervangen van een slot door een ongeautoriseerd persoon (waar jij het over hebt) met het vervangen van een slot door een geautoriseerd persoon (wat ik bedoel).

Een geautoriseerd persoon heeft maximaal één gezicht en tien vingers. Al zijn die gecompromitteerd, dan kunnen ze niet meer veilig gebruikt worden voor biometrie. Dat is hetzelfde als bij een wachtwoord. Het verschil is dat een wachtwoord altijd te vervangen is door een geautoriseerd persoon, en biometrische karakteristieken zijn dat niet.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 08:19]

CivLord

@The Zep Man • 20 juli 2021 07:23

[...]
Valse vergelijking. Een fysiek slot kan je relatief makkelijk vervangen als het gecompromitteerd is. Je gelaat niet.

Valse vergelijking. Je gezicht is niet het slot, maar de sleutel. Het beveiligingssysteem is het slot Wanneer het slot ook met een andere sleutel open te maken is, dan deugt je slot niet meer.

[...]
Je hebt maar tien vingers, en potentieel een oneindige hoeveelheid wachtwoorden. Vingers zijn onveiliger.

De hoeveelheid vingers maakt niet uit, of het er nu twee of twintig zijn. Wanneer het trucje met één vinger werkt, dan is het eenvoudig om het met de rest van je vingers te herhalen. Wanneer het trucje met één vinger werkt, dan is je beveiligingssysteem ondeugdelijk en moet dat vervangen worden.

memen @_Thanatos_ • 19 juli 2021 10:34

Eerder: als je de bewoner gezien hebt, kun je met je eigen slot de deur bedienen

segil @memen • 19 juli 2021 11:13

Nee, eerder als je de bewoner hebt gezien en je z'n sleutel afhandig hebt gemaakt, daar een kopie van gemaakt hebt, kun je met je gekopieerde sleutel de deur bedienen.

laptopleon @_Thanatos_ • 19 juli 2021 10:37

Omdat je leven steeds meer digitaal verwerkt wordt, beslissingen zoals aankopen en waar je familiefoto's blijven, is er in feite een enorme behoefte aan een waterdichte manier van identificatie.

Het is dan ook te verwachten dat die behoefte een keer ingevuld gaat worden. Er komt een keer een waterdichte methode. Ook dat zal weer gedoe geven en ethische vragen oproepen want wie beheert dat systeem dan weer etc maar het wordt er wel lastiger om je online als iemand anders voor te doen, te frauderen, onder een andere naam verder te gaan etc.

wauwwie @laptopleon • 19 juli 2021 15:59

Er is altijd iets geheims nodig en dat moet je ergens opslaan. De bedoeling is om het zo lastig mogelijk te maken voor een ander.

Met fysieke sloten hou je ook niet iemand tegen, je maakt het alleen moeilijk of tijdrovend om het slot te kraken. kijk maar naar de Lock Pickin Lawyer op Youtube. Voor digitale sloten gaat het niet anders worden, de implementatie zal het belangrijkste zijn.

laptopleon @wauwwie • 19 juli 2021 18:23

Dat (iets geheims opslaan, soort sleutel zoals bij fysieke sloten) is hoe we het nu gewend zijn te doen, maar misschien is dat gewoon niet de beste aanpak.

Een slot zorgt er voor dat je ergens niet bij kan zonder de sleutel. Uiteindelijk is elke sleutel te vinden. Een slot is dus een hindernis, maar voorkomt uiteindelijk in principe geen diefstal.

Vergelijken van actuele beelden van gezichten, vingerafdrukken etc met oudere beelden / patronen zijn in feite heel basale technieken.

Er zijn betere systemen te bedenken, die diefstal nutteloos maken. Een domeinnaam stelen heeft bijvoorbeeld geen zin, want die werkt alleen binnen het systeem wat daarvoor is en de beheerder zal de registratie toch weer aan de rechtmatige eigenaar toekennen.

Bij crypto zou je in principe zoiets ook kunnen doen.

mr01z0 @_Thanatos_ • 19 juli 2021 12:31

Daarbij is Windows Hello (PIN/Biometric) alleen te gebruiken op een enkel device en niet online te gebruiken om het account te hacken, hiermee is het risico beperkt tot lokale toegang tot het device.

[Reactie gewijzigd door mr01z0 op 23 juli 2024 08:19]

CivLord

@mr01z0 • 20 juli 2021 07:30

Zoals in een kantoorsituatie, waar je collega toegang heeft tot bepaalde informatie die jij kan verkopen. Of waar je collega autorisatie moet geven voor de transactie die jij hebt opgevoerd.

Joecatshoe @_Thanatos_ • 19 juli 2021 10:50

Als je die kan kopiëren en de sensor accepteert een kopie, dan is dat ook "onveilig" ineens.

Ja, uiteraard dat is onveilig. Het beveiligingsprobleem gaat hem dan ook helemaal niet over het al dan niet veilig zijn van biometrische loginmethodes, maar om het feit dat men het systeem kan foppen met valse camerabeelden. Daar stopt de vergelijking met een fysiek slot dus ook. Er zijn manieren om dat foppen tegen te gaan, die Windows ook ingebouwd heeft, en die men hier toch heeft kunnen omzeilen. Dat maakt het een beveiligingsprobleem.

albatross @_Thanatos_ • 19 juli 2021 10:51

"Ja, dus als je de sleutel kan kopiëren en weet in welk huis die past, dan kun je inbreken. Ja zo is geen enkel slot veilig natuurlijk."

Wou net hetzelfde zeggen, maar dan wat sarcastischer, in de trant van "Want iedereen heeft ook echt een infrarood profiel van een ander klaarliggen op een USB stickje."

themadone @albatross • 19 juli 2021 18:08

Maar is tijdens het langs lopen wel te maken met een flir camera.

Dus heel super is dit niet, zijn er genoeg andere zaken ook niet top? Sure. Maar deze is in principe wel redelijk makkelijk te omzeilen zo.

Dus nee, niet voor scriptkiddies, wel voor mensen met toegang tot infrarood camera's, beveiligingscamera's bijvoorbeeld.

Loller1

Microsoft Windows
Besturingssystemen
Microsoft

@_Thanatos_ • 19 juli 2021 10:55

Windows Hello is een techniek om het snel & makkelijk te maken om veilig in te loggen. Maar als je net doet alsof je de gebruiker bent, sja, dan is het "niet veilig" meer. Zoiets is altijd, ALTIJD, een compromis tussen gemak en veiligheid. Alle andere vormen van inloggen zonder iets te typen, zijn dat ook. Op een iPhone en sommige Android toestellen kun je ook met je gezicht inloggen - zelfde probleem.

Fixed that for you.

testaankoop @Loller1 • 19 juli 2021 11:06

Naar mijn weten werkt FaceID met een truedepth scanner die 30.000 stipjes op je gezicht projecteren om het reliëf te controleren en je infrarood signatuur gecombineerd met een normale camera met oogdetectie.

https://support.apple.com/nl-be/HT208108

Ik meen dat dit bij Windows Hello een tamelijk eenvoudiger systeem is?

MN-Power @testaankoop • 19 juli 2021 12:44

Met stereoscopie(mbv je telefooncamera en iets bijvoorbeeld als Meshroom) kan je vrij eenvoudig een 3d model maken van iemands hoofd. En 3D printen is ook een eitje. Als je een beetje (on)gelukkige serie foto's op Facebook hebt staan is dat al voldoende. Dan rest alleen het infrarood gedeelte, maar ik vraag me af hoe sterk dat deel is. Aangezien zonnebrillen en baarden zogenaamd geen probleem zijn, denk ik dat er wel wat speelruimte is.

testaankoop @MN-Power • 19 juli 2021 17:10

Je zou misschien een gipsen model kunnen verhitten naar een specifieke temperatuur op de plekken waar de 30.000 infrarode dots vallen. Wellicht zou dat werken maar het klinkt nogal extreem onwerkbaar.

MN-Power @testaankoop • 19 juli 2021 17:47

Je komt blijkbaar al een heel eind met een geprint half masker:
https://www.youtube.com/watch?v=RtFusfp3PZI

Is natuurlijk wel met zijn eigen ogen en neus, dus de test was beter geweest als hij het halve masker door een ander had laten dragen.

Maar hij komt met vrij weinig tech verder dan ik dacht.

testaankoop @MN-Power • 19 juli 2021 21:00

Ja maar je post een video van iemand die juist bevestigd dat een 3D geprint masker niet werkt, ook niet met ogen erop geplakt of andere modificaties.

Het werkt alleen als hij het masker halveert als mondmasker en tegen het origineel gezicht houdt. Maar dat is toch niet gek? De telefoon kan verifiëren dat hij het is op basis van de halve scan, temperatuur en ogen. Het ziet alleen dat hij slechts iets op heeft gedaan, een mondmasker zogezegd. En als het twijfelt, vraagt het om een wachtwoord.

Ik ben vooral benieuwd naar thermische modificaties in het geprint masker zegmaar. Misschien werkt dat wel met glazen oogreplicas.

[Reactie gewijzigd door testaankoop op 23 juli 2024 08:19]

Koos2009 19 juli 2021 09:53

Maar hoe komen de hackers aan de beelden dan? Deze lijken mij uniek en worden lokaal opgeslagen hoop ik?

FreshMaker @Koos2009 • 19 juli 2021 10:00

Maar hoe komen de hackers aan de beelden dan? Deze lijken mij uniek en worden lokaal opgeslagen hoop ik?

Niet alleen hackers,
Maar als jij in een cel zit kan men makkelijk wat beelden maken van jou.
Invoeren in device, aansluiten - en je laptop is open voor onderzoek

thomas_n @Koos2009 • 19 juli 2021 10:01

Ze hebben een infraroodfoto van het gezicht van het slachtoffer nodig. Dat is natuurlijk niet heel eenvoudig te krijgen, maar ook weer niet volstrekt onmogelijk, met genoeg geduld en doorzettingsvermogen.

CivLord

@thomas_n • 20 juli 2021 07:09

Wanneer het doelwit een collega op kantoor is, zijn er zat situaties waarin je ongemerkt een foto van iemands gezicht kan maken.

sfc1971 @Koos2009 • 19 juli 2021 10:01

Vraag je nu werkelijk hoe iemand aan een foto van je kop komt? Met een infrarood camera gewoon als je buiten aan het lopen bent. Of heb jij altijd een helm op?

En dan nog, binnenshuis ook een helm op?

https://www.ad.nl/binnenl...erland-maar-hoe~a3e704d4/

Koos2009 @sfc1971 • 19 juli 2021 11:41

Ik dacht dat ze van "het slachtoffer" een foto van een database af haalden.
Ik ben niet into ir cameras en of deze tegenwoordig gewoon in handzaam formaat zijn als een dslr of gewone smartphone.

Ik had toch gehoopt dat een simpele foto op straat niet goed genoeg zou zijn.

sfc1971 @Koos2009 • 19 juli 2021 12:17

IR camera's zijn nu zo handzaam dat ze in webcam's kunnen zitten.

https://tweakers.net/webc...RZYo6SVbSSoZGBpalSbG1tLQA

Niet super veel maar het is in opkomst voor Windows Hello

bbob @Koos2009 • 19 juli 2021 10:03

Je loopt ergens rond en met een ir camera kan men gewoon van jou een beeld maken overal waar je rondloop. Dat kan men dan gebruiken met deze eigen mod waarin dat beeld geupload is.
Men heeft echter nog steeds fysiek toegang nodig tot jou pc om jou cam te vervangen door een andere.

Een oplossing kan zijn dat als de cam vervangen word deze een andere hardware id heeft jij een code zou moeten ingeven.
bij pc opstarten cam kapot, andere cam aansluiten eerst code ingeven die jij hebt en dan nieuwe cam actief. Dat maakt misbruik stukken moeilijker als men toegang heeft tot jou pc.

86ul @Koos2009 • 19 juli 2021 10:04

Data van de vorige logins registeren en voila

bzuidgeest @Koos2009 • 19 juli 2021 09:59

Nooit van een camera gehoord? Maak met camera 1 infraroodbeelden, plaats die op een eval board dat een camera simuleert en go. Aangezien je nooit exact hetzelfde voor de authenticatie camera zit is er een hoop speling in die rommel.

vingerafdrukken, gezichherkenning. Het kan werken, maar het meest is rommel

[Reactie gewijzigd door bzuidgeest op 23 juli 2024 08:19]

AlRoke @bzuidgeest • 19 juli 2021 10:07

De usecase van biometric authentication is nooit om tegen dergelijke aanvallen te beschermen. Biometric authentication gaat om snelle makkelijke authenticatie die voorkomt dat een zakenroller, vriend of collega in je telefoon komt zonder dat het jouw extra moeite kost.

Mel33 @MainframeX • 19 juli 2021 10:22

In je telefoon heb je de optie om hem te vergrendelen (iphone volume up en dan down en dan powerknop is al genoeg), en dat een ww is vereist ipv face id.

Dat zou je bij windows ook moeten hebben, of kan dat al?,
is er een toetsen combi die dat kan?

LordMike @Mel33 • 19 juli 2021 13:51

Ik doe volume (maakt niet uit welke) en de power knop even vasthouden.

Gedaan met face id

Sjeefr @MainframeX • 19 juli 2021 10:22

Je opmerking staat nogal haaks op de acties van Apple waarin ze de FBI tegenwerken om telefoons te ontgrendelen van criminelen. En zo zullen er meer partijen zijn die actief niet meewerken. Biometrische authenticatie inbouwen als wens van overheden en autoriteiten is nogal onzin.

MainframeX @Sjeefr • 19 juli 2021 10:29

Alsof bedrijven zoals Apple gevrijwaard zijn van hypocrisie. Er zijn genoeg voorbeelden te noemen waar ze overduidelijk zaken verrichten voor de goedkeuring van de bühne en ondertussen louche praktijken op na houden.

robvanwijk @Sjeefr • 19 juli 2021 12:33

Biometrische authenticatie inbouwen als wens van overheden en autoriteiten is nogal onzin.

Ik denk dat ie bedoelt dat je een verdachte kunt dwingen om zijn gezicht voor de camera te houden of zijn vinger op de scanner te leggen. In beschaafde landen (waar martelen geen optie is) kun je een verdachte niet dwingen om zijn wachtwoord in te voeren.

bzuidgeest @AlRoke • 19 juli 2021 10:09

eens, maar dat beseffen veel mensen volgens mij helemaal niet en de fabrikanten laten het ook niet graag weten.

RAAF12 @AlRoke • 19 juli 2021 10:30

Dit gaat over laptop ontgrendeling mijn MS Surface Pro heeft het bijvoorbeeld.

ArmEagle

@Koos2009 • 19 juli 2021 10:37

Och. Gewoon door illegaal camera's op straat te plaatsen? nieuws: Belgische Privacycommissie: camera's in reclameborden in strijd met p...

Of een overheid die camera's in jouw huis, op werk, favoriete supermarkt, of ... plaatst.

testaankoop @Koos2009 • 19 juli 2021 11:16

De vele kraakbare infrarood beveiligingscamera’s? 1000 en 1 merken veelal vanuit China die je zo een camera verkopen voor een habbekrats maar ook merken zoals Amazon Ring, waarbij een heisa was ontstaan.

Dit omdat medewerkers de beelden misbruikten en als grap bewoners van huizen lieten schrikken door via de camera met ze te gaan praten en dergelijk? Ook werden er beelden opgeslagen en verkocht. Dus onmogelijk mij dat niet.

bwerg 19 juli 2021 09:55

In de praktijk zal het ook lastig zijn om deze kwetsbaarheid op ongepatchte systemen uit te buiten, aangezien daarvoor dus infraroodbeelden van de systeemeigenaar en fysieke toegang tot de computer in kwestie nodig zijn

Euhm, beveiliging via gezichtsherkenning is toch enkel van toepassing in gevallen waarin de gebruiker toegang heeft tot de computer? Lijkt me nogal wiedes dat de aanval dus ook alleen met fysieke toegang werkt.

Als een fysiek slot op de deur een ontwerpfout bevat waardoor die makkelijk te kraken is, dan zegt de zin "je hebt fysieke toegang nodig om de ontwerpfout te misbruiken" ook niet zoveel, laat staan dat de zin "in de praktijk is de fout lastig uit te buiten, omdat..." ergens op slaat.

[Reactie gewijzigd door bwerg op 23 juli 2024 08:19]

Verwijderd @bwerg • 19 juli 2021 10:29

Euhm, beveiliging via gezichtsherkenning is toch enkel van toepassing in gevallen waarin de gebruiker toegang heeft tot de computer? Lijkt me nogal wiedes dat de aanval dus ook alleen met fysieke toegang werkt.

Exact. Het bagatelliseren van het risico slaat nergens op. Als je dat wel doet, zeg je dat een druk op de Enter- of Escape knop (de Win95 methode) ook goed genoeg is om in te loggen: daar moet je immers ook fysiek voor aanwezig zijn.

Ik denk trouwens dat vingerafdrukscanners minder risico's opleveren, die zijn immers voor dat doel gemaakt.

Overigens is het Cyberark artikel lezenswaardig voor knutsel-tweakers, want er staat veel info in over USB (camera-) protocollen onder Windows.

the_shadow @bwerg • 19 juli 2021 10:08

[...]

Euhm, beveiliging via gezichtsherkenning is toch enkel van toepassing in gevallen waarin de gebruiker toegang heeft tot de computer? Lijkt me nogal wiedes dat de aanval dus ook alleen met fysieke toegang werkt.

Als een fysieke slot op de deur een ontwerpfout bevat waardoor die makkelijk te kraken is, dan zegt de zin "je hebt fysieke toegang nodig om de ontwerpfout te misbruiken" ook niet zoveel.

Niet noodzakelijk. Als het je zou lukken om malware te schrijven die zich voordoet als camera, dan zou je deze een datastroom naar Windows Hello toe kunnen laten sturen, en op die manier op afstand de beveiliging omzeilen/device unlocken. Vooruit, als je al zo diep in het systeem zit, dan heb je ook wel andere manieren om kwaad te doen, maar in theorie is het dus mogelijk.

Deze aanval gaat er eigenlijk vanuit dat je al het voorwerk (foto maken, USB device preppen et cetera) doet zonder dat je echt dicht in de buurt van het aan te vallen device hoeft te komen. Als je klaar bent, dan kan je op een onbewaakt moment de USB drive in het apparaat stoppen, snel inloggen, en files eraf halen. Device locken, USB drive eruit, en je bent weg zonder dat je een spoor achterlaat.

[Reactie gewijzigd door the_shadow op 23 juli 2024 08:19]

bwerg @the_shadow • 19 juli 2021 10:49

Het ging me meer om de zin "In de praktijk zal het ook lastig zijn om deze kwetsbaarheid op ongepatchte systemen uit te buiten, aangezien...". Dat suggereert dat de zwakte niet zo ernstig is omdat er fysieke toegang nodig is. Bij een beveiligingsmaatregel waarbij de gebruiker bij normaal gebruik altijd fysieke toegang heeft, is dat nogal een dooddoener.

Anders verwoord: als je aan mag nemen dat je aanvaller geen fysieke toegang heeft, dan is deze hele vorm van beveiliging waarschijnlijk overbodig. Ik ken de details niet, misschien is dit op een of andere manier nog wel voor remote login te gebruiken. Maar dat is bij een webcam typisch niet het geval.

Dat je met andere soorten aanvallen mogelijk alsnog op afstand een beveiligingssysteem kan omzeilen is natuurlijk helemaal waar maar was niet zo zeer mijn punt.

[Reactie gewijzigd door bwerg op 23 juli 2024 08:19]

Eagle Creek

19 juli 2021 09:51

De in het nieuwsbericht genoemde work-around voor het volledig uitschakelen van externe camera's is enigszins rigoreus, omdat deze de gebruikerservaring in de situatie "laptop dicht - externe monitor" tegenwerkt. Of je dit wilt, is een trade-off van gemak en beveiliging. Idealiter wil je de tussenmogelijkheid blijven houden waarbij gebruik van externe apparatuur mogelijk blijft, máar je deze apparatuur kunt vertrouwen. En dat is nog los van het feit dat de kwetsbaarheid in de praktijk sowieso lastig uit te buiten is, hoewel niet onmogelijk zoals beschreven.

Hoewel de in het nieuwsbericht genoemde kwetsbaarheid inderdaad een risico vormt voor de accountbescherming, moet ook de optie tot Windows Hello Enhanced Sign-in Security niet worden vergeten.

Enhanced Sign-in Security maakt gebruikt van beveiligng op basis van virtualisatie (VBS) om onderscheid te maken tussen het reguliere OS en de delen die gebruik worden voor (biometrische) beveiliging. Het sterkte punt in relatie tot het nieuwsbericht is de controle op de aanwezigheid van een geldige certificaatketen van de apparatuur.

Sensors that support Enhanced Sign-in Security have a certificate embedded during manufacturing. This certificate can be validated by the Windows biometric components running in VBS and is used to establish a secure session with the sensor. The sensor and Windows biometric components use this session to communicate enrollment operations and match results securely.

Hoewel we onlangs ook hebben gezien dat ook dat proces niet onfeilbaar is (nieuws: Microsoft bevestigt dat het een rootkit-driver ondertekende), is het weer een extra sterke drempel bovenop de standaardconfiguratie. Wanneer je de externe apparatuur kunt vertrouwen en dat cryptografisch kunt afzekeren, kun je deze mogelijkheid weer ter beschikking geven aan eindgebruikers.

--------
Tot slot nog een zijstraat: overigens is de eerdergenoemde VBS-beveiliging ook precies een van de redenen dat Windows 11 van die "bizare" minimum systeemeisen stelt.

Security. Windows 11 raises the bar for security by requiring hardware that can enable protections like Windows Hello, Device Encryption, virtualization-based security (VBS), hypervisor-protected code integrity (HVCI) and Secure Boot. The combination of these features has been shown to reduce malware by 60% on tested devices. To meet the principle, all Windows 11 supported CPUs have an embedded TPM, support secure boot, and support VBS and specific VBS capabilities.

https://blogs.windows.com...imum-system-requirements/

Hoewel dit dus ook bij Windows 10 al kan, kent de Windows 10-gebruikerspopulatie een geschiedenis van rijp en rot qua ingeschakelde beveiliging en hardwaremogelijkheden. Maar als je als serieuze IT-er of beveiliger de mogelijkheid hebt, schakel die configuratie nú al in op Windows 10 en weet dat je systeem er echt een slag veiliger van wordt.

[Reactie gewijzigd door Eagle Creek op 23 juli 2024 08:19]

86ul @Eagle Creek • 19 juli 2021 10:05

Helaas kan het al mogelijks worden geemuleert en voila

codeneos 19 juli 2021 10:27

Toch wel een behoorlijk gat in de security, Windows zou op het inlogscherm eigenlijk geen nieuwe hardware mogen toestaan voor biometrische authenticatie. En ik vraag me gelijk af of dit ook werkt met bijvoorbeeld een vingerafdrukscanner.

batjes

Besturingssystemen
Microsoft Windows
Microsoft

@codeneos • 20 juli 2021 10:43

Probleem is wel dat Windows Hello met een heel arsenaal aan usb apparaten werkt en een aantal hiervan ook losse USB apparaten zijn.

Sluit je de laptop aan op een replicator, wil je natuurlijk wel dat ie dan ook de camera van de werkplek pakt.

Lastig, op zich is een eerste keer via de webcam op de laptop inloggen voordat het hardware ID geregistreerd is bv. Maar die USB hardware ID's zijn ook appeltje eitje te dupliceren of ontwijken, dus het is eigenlijk alleen maar extra schijnveiligheid in ruil voor meer gebruikersongemak. Dit kan je in een zakelijke omgeving nu ook al opvangen door niet geaccepteerde USB apparaten gewoon te weigeren.

codeneos @batjes • 20 juli 2021 13:13

Je zou wel kunnen vereisen dat de biometrische gegevens voor authenticatie op hetzelfde device gevalideerd moeten worden als waarop ze gecaptured zijn. Dit gaat uiteraard ten koste van gebruikers gemak, maar uiteindelijk gebruik je bij normaal gebruik vrijwel altijd dezelfde hardware voor biometrische authenticatie.

Hier aan moet wel ten grondslag liggen dat apparaten die voor biometrische authenticatie gebruikt worden een uniek id hebben welke je niet gemakkelijk kunt achterhalen, de device is lijkt me daar niet direct geschikt voor.

batjes

Besturingssystemen
Microsoft Windows
Microsoft

@codeneos • 20 juli 2021 13:26

Je kan nu al randapparatuur weigeren die je niet ondersteund of herkent op Windows

Die veiligheid zit er dus al in.

Maar dat is allemaal in principe op basis van het hardwareID. De opzet van USB is dusdanig brak dat dat allemaal te faken is en je eigenlijk een schijnveiligheid toevoegt op basis van security through obscurity. Want als je je eigen chips kan maken, kan je elk USB apparaat in de wereld faken.

Het is meer een nadeel van USB dan van Windows, want ook de interne hardware van laptops zoals webcams zijn veelal gewoon via USB verbonden..

t_captain 19 juli 2021 11:07

De fout is dat een onbekende "webcam" als trusted component wordt geaccepteerd.

PrinsPace 19 juli 2021 11:32

Een goede manier om dit te omzeilen is misschien dat de gebruiker altijd eerst een nieuwe camera moet goedkeuren, voordat deze gebruik kan worden voor identificatie. Dit zou dan moeten door te verifiëren middels de camera die eerder gebruikt werd, pincode, of volledig 2FA.

feuniks 19 juli 2021 10:00

Wat ik me hier afvraag is hoe precies? Ja, ik geloof meteen dat als je iets kunt bouwen wat Windows als een goedgekeurde webcam voor Hello ziet, dat je zo Windows kunt voeden met dezelfde informatie die een echte camera ook zou uitsturen. Wat betekent zoiets echter in de praktijk (nog buiten het feit dat Microsoft zegt dat ze dit probleem hebben gepatched.
- Hoe kom je aan de beelden? Je moet toch op de een of andere manier aan het infrarood patroon komen dat ook in Windows is opgeslagen.
- Hoe krijg je de camera aan het werk? Normaal gesproken moet je ingelogd zijn om dit soort apparaten te kunnen installeren.

michaelkamen

@feuniks • 19 juli 2021 10:07

De beelden verkrijg je door het slachtoffer te filmen. (wellicht op straat, in de bus)
De camera is een custom USB apparaat wat zich voordoet als plug & play webcam.
Die kun je gewoon inpluggen op het loginscherm.

Septillion Moderator Duurzame Energie & Domotica 19 juli 2021 10:01

Tuurlijk, Hello (alleen) is niet geschikt als het echt veilig moet. Maar wat me niet duidelijk wordt uit het artikel is of Windows zomaar een nieuwe camera accepteert, zeker als deze gelockt is. Lijkt me een aardige om zomaar externe devices te gaan lopen vertrouwen...

batjes

Besturingssystemen
Microsoft Windows
Microsoft

@Septillion • 20 juli 2021 10:45

Tot een gebruiker zijn of haar laptop op een replicator aansluit en op die werkplek net een wat ander type of revisie van de webcam gebruikt wordt.

Windows heeft al ingebakken mogelijkheden om niet vertrouwde USB apparaten te weigeren. Die policies zijn natuurlijk ook actief op het login scherm.

Septillion Moderator Duurzame Energie & Domotica @batjes • 20 juli 2021 11:37

Binnen een bedrijfsomgeving zou ik überhaupt Hello weigeren... Tenzij het als MFA onderdeel dient. Maar goed, dan is het weer aan het bedrijf om alle benodigde hardware op een white list te zetten lijkt me of gewoon alleen de ingebouwde hardware accepteren.

Op dit item kan niet meer gereageerd worden.

Onderzoekers omzeilen Windows Hello-authenticatie met nepcamera en ir-beelden

Lees meer

Reacties (125)

Sorteer op:

Weergave: