Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 33 reacties
Bron: PC World

Sinds september 2004 verkoopt Microsoft de zogenaamde Fingerprint Reader, een stukje hardware waarmee het mogelijk is om via een vingerafdruk te authenticeren bij Windows-software. Het apparaatje wordt door Microsoft verkocht met de mededeling dat het niet bedoeld is voor de beveiliging van computers en gevoelige data, maar juist om het inloggen bij websites en programma's te vergemakkelijken. De Finse onderzoeker Mikko Kiviharju vond het opvallend en interessant dat Microsoft deze disclaimer gebruikte en is op onderzoek gegaan naar de reden. Tijdens zijn onderzoek, zo vertelde hij tijdens een recente Black Hat Europe-conferentie, heeft hij ontdekt dat het mogelijk is gescande vingerafdrukken te 'sniffen', omdat ze niet versleuteld verstuurd worden van de Fingerprint Reader naar de pc.

De op deze manier verkregen afbeeldingen zijn van verbazingwekkend goede kwaliteit, aldus Kiviharju, en kunnen door aanvallers gebruikt worden om bijvoorbeeld toegang te verkrijgen tot een computer of een programma. Het is echter niet eenvoudig om een dergelijke 'replay attack' uit te voeren. Zo is het noodzakelijk dat er een fysieke verbinding gemaakt wordt met de aan te vallen computer. Als dat geregeld is, begint het eenvoudigste deel, namelijk het 'afspelen' van de afbeelding, zodat er ingelogd kan worden. Dit soort aanvallen tegengaan zou een stuk moeilijker zijn als Microsoft ervoor gekozen zou hebben om de data wel te versleutelen. De hardware ondersteunt dit, aldus fabrikant het Californische Digital Persona, maar Microsoft heeft om onbekende redenen ervoor gekozen dit uit te schakelen.

Microsoft Fingerprint Reader
Moderatie-faq Wijzig weergave

Reacties (33)

Het apparaatje wordt door Microsoft verkocht met de mededeling dat het niet bedoeld is voor de beveiliging van computers en gevoelige data, maar juist om het inloggen bij websites en programma's te vergemakkelijken.
een beetje persoon met hersenen (volgens mij iedereen van tweakers) zou kunnen lezen dat het niet is bedoelt om een computer te beveiligen.

Maar om je digitale leven makkelijker te maken.

Dus waarom onderzoeken of de code te kraken is terwijl er geen code op zit.
Is dit product veilig? Nee
Is het voor beveiligingsdoeleinden gemaakt? Volgens Microsofts handeleiding: Nee
Waarom dan wel zo behandelen: Leuk om MS te Flamen denk ik.

En inderdaad misschien komt er een Frimware update om dit wel mogelijk te maken.
Dit soort aanvallen tegengaan zou een stuk moeilijker zijn als Microsoft ervoor gekozen zou hebben om de data wel te versleutelen.
Moeilijker -> makkelijker lijkt me?
Dus een aanval tegengaan is makkelijker ;)
Kop:
Microsoft Fingerprint Reader eenvoudig te kraken
Artikel:
Het is echter niet eenvoudig om een dergelijke 'replay attack' uit te voeren. Zo is het noodzakelijk dat er een fysieke verbinding gemaakt wordt met de aan te vallen computer.
Zakken we nu al af naar VNU niveau :?
Dat de reader makkelijk te kraken is, wil nog niet zeggen dat de krakers er ook wat mee kunnen.
Zoiets als een kopie van een sleutel kunnen maken aan de hand van een foto, maar fysiek niet bij het slot kunnen.

Edit: W00t, mijn eerste +4 :D
Dat maakt de kraak dus uiteindelijk niet eenvoudig.
Ligt eraan wat je als 'kraak' definieerd. Opzich is het verkrijgen van de figerprint-code al een kraak en technisch goed haalbaar, dat je er dan nog niet veel mee kan is wat anders.

Aan de andere kant is het inderdaad in de praktijk nogal lastig omdat je een tapje tussen reader en het apparaat moet krijgen waar wel iets tegen gedaan word lijkt me.
Da's niet kraken, muggezifter.

Als jij mij zegt dat je kluis gekraakt is, verwacht ik dat ze leeggemaakt is of tenminste vanbinnen bekeken door kwaadwillenden, niet dat er iemand een rontgenfoto van de inhoud heeft gemaakt.
Da's niet kraken, muggezifter.
Als je dan toch bezig bent, tegenwoordig is het muggenzifter. :+
De VNU flame gaat populair worden :Y)
maar als een pc aan het internet hangt heeft eigenlijk iedereen een fysieke verbinding met de pc, er staat ook niet per se dat er een verbinding moet zijn met het apparaat
Biometrische devices moeten niet gebruikt worden als authenticatie maar als identificatie, maw: je hoeft geen username meer in te voeren maar nog wel een password.

Ik ben tegenstander van biometrische apparatuur, als admin kan ik iemand wel een nieuwe username geven maar vingers of ogen heb ik niet op voorraad.
De user heeft er zelf 10 en 2 op voorraad! :Y)
Net zoals je nu voor elke toepassing een verschillend wachtwoord zou moeten hebben, kan je je binnenkort misschien afvragen of je nu je linker- of rechter-ringvinger nodig had voor GoT.
dan lijkt het me makkelijker om een keylogger remote op een machine te installeren dan fysiek erbij te raken.

zo kan je ook zeggen dat elke computer te kraken is omdat de data van het toetsenbord en de muis ook onversleuteld wordt doorgestuurd. lijkt me een heel kromme vergelijking om het een "kraak" te noemen
Dat spreekt zichzelf toch tegen:

dat het niet bedoeld is voor de beveiliging van computers en gevoelige data, maar juist om het inloggen bij websites en programma's te vergemakkelijken

Dus het is niet bedoeld om in te loggen maar wel om in te loggen.

Ik heb anders maar weinig websites of programma's waar ik wel moet inloggen omdat er geen gevoelige data staat. En ja, mijn echte naam/e-mail/echt adres/wat ik laatste keer besteld heb is voor mij wel gevoelige data.
[Beetje OT]
Beetje los hiervan, stel dat dit soort dingen vooral gebruikt gaat worden voor authenticatie. Hoe zal dit of een ander apparaat je wijsvinger nog kunnen aflezen als die verminkt word?
[/Beetje OT]
Bij hudige toepassingen zoals mijn T43p-laptopje wordt dit gedaan door ofwel een password-fallback te hebben ofwel door alle vingers in te scannen zodanig dat een van de vingers genoeg is.
Deze man heeft dus zijn huiswerk niet gedaan. Als hij even wat verder had gekeken dan was hij dit project tegen gekomen: http://dpfp.berlios.de/

De man achter deze driver is bezig met de reverse engineering van dit apparaat. Hij is echter tot de conclusie gekomen dat dit model van Microsoft een omgekat product van een ander merk is. En meest fraaie is wel dat encrypte van het USB dataverkeer in de firmware in en uit te schakelen is!

En de constatering dat het USB-signaal kan worden afgeluisterd is natuurlijk al helemaal een lachertje. Heeft deze man wel eens gehoord van Keyloggers, en dan hardwarematig wel te verstaan (8> . Volgens mij menig systeembeheerder al ingetuimeld hor.

Aan dit soort onderzoeken heb ik een broertje dood. Ik zie de tendens dat de laatste tijd steeds meer oppervlakkerige onderzoeken worden gedaan in plaats van in de diepte. Ik bespeur ook een zekere tunnelvisie bij Mikko Kiviharju, genaamd Microsoft bashing.
De hardware ondersteunt dit, aldus fabrikant het Californische Digital Persona, maar Microsoft heeft om onbekende redenen ervoor gekozen dit uit te schakelen.
Nou vraag ik me af hoe ze dat voor elkaar hebben gekregen.
't is een complot! :P

Maar meer waarschijnlijk; een bezuiniging.
Of een stilgehouden deal met Digital Persona, zodat die hun eigen apparaatje nog aan de pro's kunnen verkopen.
Dit soort aanvallen tegengaan zou een stuk moeilijker zijn als Microsoft ervoor gekozen zou hebben om de data wel te versleutelen.
Grote onzin, of je het nu wel of niet versleuteld. Alleen met een wisselende sleutel zou het echt goed werken. Wanneer je een algorithme gebruikt met een vaste sleutel kan je gewoon een recorder-replay uitvoeren.
Het is echter niet eenvoudig om een dergelijke 'replay attack' uit te voeren.
Dit is inherent aan alle man-in-the-middle attacks. Je moet tussen de lijn komen. Dan kan je zelfs hele complexe versleutelingen omzeilen als je maar in de lijn zit en het algorithme kent. Dat geldt voor alle communicatie, zelfs voor zeer complexe IPSec, VPN's en dergelijke.
Waarom? Het blijft een hash, dus een niet makkelijk omkeerbaar procedee (en collisions creeren gaat niet echt met deze niet-algebraische inputmethode). En het versleutelalgoritme onderscheppen door de input te varieren gaat ook al niet om die reden.

Verder staat er nergens dat de hardware versleutelen ondersteunt maar enkel met een vaste sleutel; dat valt nog te checken.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True