Microsoft Fingerprint Reader eenvoudig te kraken

Sinds september 2004 verkoopt Microsoft de zogenaamde Fingerprint Reader, een stukje hardware waarmee het mogelijk is om via een vingerafdruk te authenticeren bij Windows-software. Het apparaatje wordt door Microsoft verkocht met de mededeling dat het niet bedoeld is voor de beveiliging van computers en gevoelige data, maar juist om het inloggen bij websites en programma's te vergemakkelijken. De Finse onderzoeker Mikko Kiviharju vond het opvallend en interessant dat Microsoft deze disclaimer gebruikte en is op onderzoek gegaan naar de reden. Tijdens zijn onderzoek, zo vertelde hij tijdens een recente Black Hat Europe-conferentie, heeft hij ontdekt dat het mogelijk is gescande vingerafdrukken te 'sniffen', omdat ze niet versleuteld verstuurd worden van de Fingerprint Reader naar de pc.

De op deze manier verkregen afbeeldingen zijn van verbazingwekkend goede kwaliteit, aldus Kiviharju, en kunnen door aanvallers gebruikt worden om bijvoorbeeld toegang te verkrijgen tot een computer of een programma. Het is echter niet eenvoudig om een dergelijke 'replay attack' uit te voeren. Zo is het noodzakelijk dat er een fysieke verbinding gemaakt wordt met de aan te vallen computer. Als dat geregeld is, begint het eenvoudigste deel, namelijk het 'afspelen' van de afbeelding, zodat er ingelogd kan worden. Dit soort aanvallen tegengaan zou een stuk moeilijker zijn als Microsoft ervoor gekozen zou hebben om de data wel te versleutelen. De hardware ondersteunt dit, aldus fabrikant het Californische Digital Persona, maar Microsoft heeft om onbekende redenen ervoor gekozen dit uit te schakelen.

IT-banen

Reacties (33)

jqv 9 maart 2006 09:19

Het apparaatje wordt door Microsoft verkocht met de mededeling dat het niet bedoeld is voor de beveiliging van computers en gevoelige data, maar juist om het inloggen bij websites en programma's te vergemakkelijken.

een beetje persoon met hersenen (volgens mij iedereen van tweakers) zou kunnen lezen dat het niet is bedoelt om een computer te beveiligen.

Maar om je digitale leven makkelijker te maken.

Dus waarom onderzoeken of de code te kraken is terwijl er geen code op zit.
Is dit product veilig? Nee
Is het voor beveiligingsdoeleinden gemaakt? Volgens Microsofts handeleiding: Nee
Waarom dan wel zo behandelen: Leuk om MS te Flamen denk ik.

En inderdaad misschien komt er een Frimware update om dit wel mogelijk te maken.

Pozo 8 maart 2006 22:35

Dit soort aanvallen tegengaan zou een stuk moeilijker zijn als Microsoft ervoor gekozen zou hebben om de data wel te versleutelen.

Moeilijker -> makkelijker lijkt me?

McRubz @Patriot • 8 maart 2006 22:43

Dus een aanval tegengaan is makkelijker

ATS 8 maart 2006 22:21

Kop:

Microsoft Fingerprint Reader eenvoudig te kraken

Artikel:

Het is echter niet eenvoudig om een dergelijke 'replay attack' uit te voeren. Zo is het noodzakelijk dat er een fysieke verbinding gemaakt wordt met de aan te vallen computer.

Zakken we nu al af naar VNU niveau

TommyboyNL @ATS • 8 maart 2006 22:24

Dat de reader makkelijk te kraken is, wil nog niet zeggen dat de krakers er ook wat mee kunnen.
Zoiets als een kopie van een sleutel kunnen maken aan de hand van een foto, maar fysiek niet bij het slot kunnen.

Edit: W00t, mijn eerste +4

ATS @TommyboyNL • 8 maart 2006 22:34

Dat maakt de kraak dus uiteindelijk niet eenvoudig.

Pozo @ATS • 8 maart 2006 22:37

Ligt eraan wat je als 'kraak' definieerd. Opzich is het verkrijgen van de figerprint-code al een kraak en technisch goed haalbaar, dat je er dan nog niet veel mee kan is wat anders.

Aan de andere kant is het inderdaad in de praktijk nogal lastig omdat je een tapje tussen reader en het apparaat moet krijgen waar wel iets tegen gedaan word lijkt me.

Verwijderd @TommyboyNL • 8 maart 2006 23:12

Da's niet kraken, muggezifter.

Als jij mij zegt dat je kluis gekraakt is, verwacht ik dat ze leeggemaakt is of tenminste vanbinnen bekeken door kwaadwillenden, niet dat er iemand een rontgenfoto van de inhoud heeft gemaakt.

tERRiON @Verwijderd • 9 maart 2006 10:27

Da's niet kraken, muggezifter.

Als je dan toch bezig bent, tegenwoordig is het muggenzifter.

Drogo @ATS • 8 maart 2006 23:09

De VNU flame gaat populair worden

p0p0 @ATS • 8 maart 2006 23:11

maar als een pc aan het internet hangt heeft eigenlijk iedereen een fysieke verbinding met de pc, er staat ook niet per se dat er een verbinding moet zijn met het apparaat

Verwijderd 9 maart 2006 01:27

Biometrische devices moeten niet gebruikt worden als authenticatie maar als identificatie, maw: je hoeft geen username meer in te voeren maar nog wel een password.

Ik ben tegenstander van biometrische apparatuur, als admin kan ik iemand wel een nieuwe username geven maar vingers of ogen heb ik niet op voorraad.

Verwijderd @Verwijderd • 9 maart 2006 07:44

De user heeft er zelf 10 en 2 op voorraad!

crowke @Verwijderd • 9 maart 2006 10:42

Net zoals je nu voor elke toepassing een verschillend wachtwoord zou moeten hebben, kan je je binnenkort misschien afvragen of je nu je linker- of rechter-ringvinger nodig had voor GoT.

dasiro 8 maart 2006 23:10

dan lijkt het me makkelijker om een keylogger remote op een machine te installeren dan fysiek erbij te raken.

zo kan je ook zeggen dat elke computer te kraken is omdat de data van het toetsenbord en de muis ook onversleuteld wordt doorgestuurd. lijkt me een heel kromme vergelijking om het een "kraak" te noemen

Guru Evi 9 maart 2006 01:07

Dat spreekt zichzelf toch tegen:

dat het niet bedoeld is voor de beveiliging van computers en gevoelige data, maar juist om het inloggen bij websites en programma's te vergemakkelijken

Dus het is niet bedoeld om in te loggen maar wel om in te loggen.

Ik heb anders maar weinig websites of programma's waar ik wel moet inloggen omdat er geen gevoelige data staat. En ja, mijn echte naam/e-mail/echt adres/wat ik laatste keer besteld heb is voor mij wel gevoelige data.

LauPro 9 maart 2006 09:22

Deze man heeft dus zijn huiswerk niet gedaan. Als hij even wat verder had gekeken dan was hij dit project tegen gekomen: http://dpfp.berlios.de/

De man achter deze driver is bezig met de reverse engineering van dit apparaat. Hij is echter tot de conclusie gekomen dat dit model van Microsoft een omgekat product van een ander merk is. En meest fraaie is wel dat encrypte van het USB dataverkeer in de firmware in en uit te schakelen is!

En de constatering dat het USB-signaal kan worden afgeluisterd is natuurlijk al helemaal een lachertje. Heeft deze man wel eens gehoord van Keyloggers, en dan hardwarematig wel te verstaan

. Volgens mij menig systeembeheerder al ingetuimeld hor.

Aan dit soort onderzoeken heb ik een broertje dood. Ik zie de tendens dat de laatste tijd steeds meer oppervlakkerige onderzoeken worden gedaan in plaats van in de diepte. Ik bespeur ook een zekere tunnelvisie bij Mikko Kiviharju, genaamd Microsoft bashing.

Daimanta 8 maart 2006 22:13

De hardware ondersteunt dit, aldus fabrikant het Californische Digital Persona, maar Microsoft heeft om onbekende redenen ervoor gekozen dit uit te schakelen.

Nou vraag ik me af hoe ze dat voor elkaar hebben gekregen.

SiliconError @Daimanta • 8 maart 2006 22:17

't is een complot!

Maar meer waarschijnlijk; een bezuiniging.
Of een stilgehouden deal met Digital Persona, zodat die hun eigen apparaatje nog aan de pro's kunnen verkopen.