Microsoft vingerafdruklezer gehackt
Sinds eind 2004 biedt Microsoft een biometrische oplossing aan voor gebruikers die snel op hun systeem of websites willen inloggen. De "Fingerprint Reader" is volgens de softwaregigant geen security device, maar een tool voor het gebruiksgemak, aangezien gebruikers hun wachtwoord niet meer hoeven te onthouden. Een onderzoeker van het Finse leger heeft nu ontdekt waarom Microsoft waarschuwt om de vingerafdruklezer niet te gebruiken voor het beschermen van vertrouwelijke gegevens.
De afdruk van de vinger wordt namelijk onversleuteld van het apparaat naar de PC gestuurd, en kan zo door verschillende hardware en software sniffers worden achterhaald. "De kwaliteit van de vingerafdruk die gesnift kan worden is behoorlijk goed" aldus Mikko Kiviharju.
Heeft een aanvaller eenmaal de vingerafdruk bemachtigd, dan kan die via de Fingerprint Reader op het systeem of websites inloggen. Dit soort type aanval heet een "replay attack" omdat de scan van de vingerafdruk opnieuw aan de PC wordt getoond, en is een complexe manier om in te breken, aangezien de aanvaller een tweede PC aan de computer moet koppelen die wordt aangevallen. Ondanks de complexiteit van de aanvallen, wordt het een stuk eenvoudiger gemaakt doordat Microsoft de gegevens niet versleuteld, zoals beschreven in dit onderzoeksrapport.
koppelen die wordt aangevallen...
Dus de 2e pc moet gekoppeld worden dmv een andere manier dan
via een netwerk/ internet?
Ik denk dat de meeste 'hacks' plaatsvinden dmv een 2e
computer al dan niet via internet.
En eerlijk is eerlijk > heb het artikel niet volledig gelezen..
T
voor elke site een ander password gebruiken, en die eigenlijk ook
nog af en toe aanpassen. Wat doet Microsoft? Ze laten mensen
overal hetzelfde wachtwoord gebruiken (de vingerafdruk) wat
vervolgens ook nog eens niet aan te passen is (of hooguit 10x).
eenvoudiger gemaakt doordat Microsoft de gegevens niet versleutelt,
zoals beschreven in dit onderzoeksrapport.
Er zijn misschien twee pc's nodig voor een aanval, maar het moet vrij
eenvoudig zijn een embedded versie te maken, dus in een klein,
handzaam kastje.
maakt en zo langs de kant van de weg aanmoddert...Onbegrijpelijk! Een
onversleutelde verbinding....Ik begin zo langzamerhand te geloven dat
Klungel-Smurf in Redmond voor het zeggen heeft gekregen!
Volgens mij gaat er helemaal geen vingerafdruk informatie
over het net... en die info valt dus ook niet te sniffen.
Met de vingerafdruk reader wordt op de PC een database
aangelegd waar een username-wachtwoordcombi PER website
wordt opgeslagen MET de vingerafdruk. Op het moment dat je
moet inloggen op een bepaald webadres zal de
vingerafdruklezer ACCOUNT en PASSWORD naar de website
sturen net zoals het toetsenbord dat normaal doet.
Je kunt dus prima unieke naam-wachtwoord combi's per website
gebruiken, maar die - of allemaal door je browser laten
onthouden, waardoor je overal vanzelf inlogt - of door de
fingerprint-reader laten onthouden, waardoor je automatisch
NA invoeren fingerprint kunt inloggen.
Hoe is het in hemelsnaam mogelijk dat Microsoft een fingerprint device
maakt en zo langs de kant van de weg aanmoddert...Onbegrijpelijk! Een
onversleutelde verbinding....Ik begin zo langzamerhand te geloven dat
Klungel-Smurf in Redmond voor het zeggen heeft gekregen!
Eerst even goed lezen. Overigens heeft mijn keyboard ook geen beveiligde
verbinding met de PC als ik mijn wachtwoord type.
wat een onzin-artikel weer
Volgens mij gaat er helemaal geen vingerafdruk informatie
over het net... en die info valt dus ook niet te sniffen.
lees het rapport voor meer begrip, oordeel niet zo snel.
Hoe is het in hemelsnaam mogelijk dat Microsoft een fingerprint device
maakt en zo langs de kant van de weg aanmoddert...Onbegrijpelijk! Een
onversleutelde verbinding....Ik begin zo langzamerhand te geloven dat
Klungel-Smurf in Redmond voor het zeggen heeft gekregen!
Micrsoft maakt het device niet, digital persona maakt hem.
Op USB driver info, 1 bit (voor encryptie aan) en behuizing na is device
identiek aan uru 4000 sensor.
Mikko Kiviharju is verder een goede internetter die met gegevens waarop
anderen hebben gewezen (in dit geval was ik het) een presentatie geeft op
basis van informatie die hij niet zelf bij elkaar gesprokkelt heeft zonder
bron vermelding.
Verder heb ik hem er op gewezen dat replay attack bij geen enkele officiele
SDK kit die uru4000 of microsoft scanner ondersteunen. (er zijn een paar
niet door vendor goedgekeurde SDK kits die de scanners ondersteunen
maar waarvan dit onbekend is).
Verder moet je administrator access hebben om een usbsniffer te
installeren of je moet er fysiek bij kunnen (usb onpluggen kun je
detecteren) maar in beide gevallen heb je veel grotere problemen.
Los hiervan staat er letterlijk op de verpakking dat het geen security device
is en dat je hem hier ook niet voor kunt gebruiken.
Het is niets meer of minder dat een website password manager, maar als
jij al reeds administrator bent of fysiek toegang hebt, zul je wellicht niet
geïntresseerd zijn in een paar website passwords....
Hierop heb ik mijnheer Kiviharju ook op gewezen.
Verder heeft hij niets gehacked, hij heeft net als vele andere ontdekt dat
images onversleuteld worden verzonden.
Maar dat je met 1 bit de encryptie aan zet en dan de firmware identiek is
aan de uru4000 die standaard encryptie aan heeft staan, heeft hij van mij
te horen gekregen.
Verder is er maar slechts 1 echte hacker van het device, dat is een brit die
met ondersteuning van mij een device driver voor linux heeft geschreven.
Ten eerste maakt hij in de PDF van de presentatie duidelijk aan de hand
van de help tekst van Digital Persona password manager (dat
meegeleverd word) dat het geen security oplossing is, maar er is geen
verwijzing dat het op de doos op de buitenkant ook vermeld is.
Ten tweede hij vermeld wel de link naar de linux driver development project.
Niet volledige bron vermelding want ook hierop heb ik hem gewezen.
Ten derde hij heeft het over de Giaule SDK kit, deze is geen officiele kit
voor digital persona, sterker nog, men mag de Microsoft scanner als ook
de U.r.U 4000 niet gebruiken (volgens de licentie) met software die niet
met een goedgekeurde SDK is gemaakt. Officieel mag men de uru ook
niet eens los verkopen aan een afnemer indien men niet zeker weet of
men er volgens licentie voorwaarden gebruik van gaat maken.
Ten vierde volledige bron vermelding ontbreekt.
De kans dat er ooit een commercieële applicatie verkocht word met SDK
van Griaule is klein, immers men heeft geen enkele relatie met Digital
persona en schenden de licentie voorwaarden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.