Een logische stap..

Al een poosje geleden is er op Discovery getoond hoe gemakkelijk je aan een
vingerafduk kunt komen. Dus de veiligheid van zoiets is gewoon nul komma
nul.

lol , ja dit was met mythbusters!!.

Ze hadden met een hele makkelijke manier en een moeilijke manier de
scanner gekraakt die nog nooit gekraakt was volgends de leverancier.

Was echt belachelijk simpel.

komt nog eens bij dat al regelmatig gedemonstreerd is dat
met enkele huis tuin en keuken spullen, vingerafdrukken
gemakkelijk te kopieeren zijn. Tot binnen 15 minuten.

een schitterend voorbeeld :

http://life.tweakers.net/nieuws/52684/chaos-computer-club-publiceert-
vingerafdruk-minister.html

nu nog de dna-structuren van Ministers en andere staatslui.

Biometrische systemen zijn op dit moment onveranderlijk gevoelig voor MITM
attacks, maar dat komt niet in de eerste plaats door manier waarop gemeten
wordt, maar door de manier waarop de metingen verwerkt worden.
Daarnaast heeft biometrische identificatie een inherent probleem op het
tijdstip van meting, maar dat wordt voor "normaal" gebruik wel eens
overtrokken.
De angst dat je vinger of je oog (voorbeelden, niet uitputtend) worden
geamputeerd om je identiteit te stelen is niet zo groot als sommige mensen
denken (dus je fysieke intregiteit loopt gewoonlijk niet zoveel risiso), en de
kans op vervalsing is net zo groot (ik denk zelfs kleiner) dan bij het gebruik van
passwords.
Je moet het gewoon niet als enige verdediging tegen id theft gebruiken.
Zelfs niet als Duitse minister.

Is het 1 april of zo?

Het is waar dat de laatste tijd steeds meer biometrische systemen zonder
encryptie en gevoelig voor replay attacks op de markt komen. Deze
ontwikkeling vindt voornamelijk plaats op het gebied van fysieke toegang en
weboplossingen. De markt van biometrie trekt aan en iedereen probeert een
graantje mee te pakken.
In die zin is de Biologger een welkome aanvulling. In de praktijk echter zal in
de traditionele kantooromgevingen de tool geen toegevoegde waarde
leveren. Veruit de meeste systemen zijn al jaren geleden bestand gemaakt
tegen dit soort aanvallen.
De nieuwkomers op de markt echter kunnen wellicht de Biologger gebruiken
om de kwetsbaarheden in hun eigen systemen op te sporen.

Reinier van der Drift

Ik zie een aantal reacties die ongenuanceerd zijn.

1) Ik ken geen biometrische oplossingen waarbij transport
van scan onversleuteld gebeurd, Dat er goedkope rommel op de
markt is die kennelijk wel zonder versleuteling tussen
cmos/ccd/IC werkt is mogelijk al een teken dat er
structureel al iets anders fout zit. (product selectie)

2) Replay attack preventie is niet iets wat je in de scanner
wilt afvangen. Het is uitgesloten dat binnen een bepaalde
periode dat de vinger op exact dezelfde wijze word
aangeboden. Dus als replay attack mogelijk is dan zit er
wederom iets anders structureel fout (product ontwerp)

3) Als je uberhaupt in de flow kunt komen tussen sensor en
verwerking, dan zit er wederom iets structureels fout,
namelijk fysiek toegangsbeveiliging.
Immers als je kennelijk al fysiek de tijd kunt nemen om het
op te zetten en te wachten tot dat iemand zijn finger
achterlaat, kun je beter gewoon meteen brute-force (b.v.
deur intrappen, of informatie systeem stelen) zodat je geen
tijd verspilt en elders op je gemak je buit kunt verwerken.

4) Bij mythbusters was het doel een specifieke deurslot te
openen, de fabrikant claimde een aantal dingen, zonder dat
wij als kijker dat kunnen controleren en mythbusters
presenteerde de marketing informatie voor waar.
Gezien de afmeting van het slot zal het niemand verbazing
dat er weinig computing power in zit, waardoor de algoritme
beperking kent, als ook dat de gebruikte templates afkomstig
zijn van low-res images. De meeste professionele scanners
gebruiken een resolutie vanaf 500 DPI dit levert al een
stream van tussen de 2 en 5 MB op per aanraking, om dit snel
genoeg te kunnen verwerken (versleutelen verkregen image,
transporteren image van censor naar verwerkingseenheid,
image digitaal omzetten, unieke punten vinden, templated
hashen, opslaan) kun je binnen 0.5 seconde maar wel op
minimaal een pentium 4. In dat slot zat geen pentium 4, dus
qua resolutie en andere technische belemmeringen was dat
slot uitgekleed.
Dus dat ze daarmee zover kwamen is geen wonder.
De scanners die ze gebruikte aan de laptop om hun zaken te
testen zijn allemaal goedkope rommel, die alleen voor
kleinschalige dingen geschikt zijn waarbij een misbruiker
geen tijd heeft om aan te kloten. (b.v. omdat er een bewaker
naast zit).

Het enige gevaar waar we wel rekening mee moeten houden is
dat indien tokens (rfid/smartcard pasjes) incombinatie met
biometrie als veilig worden beschouwd en daardoor
bovenstaande concessies voor lief nemen en b.v. geen
additionele toezichthouder (bewaker) bij deuren plaatsen.
Want als dan je pas + biometrisch kenmerk word misbruik zul
je eerst het systeem moeten kraken om aan te tonen dat jij
het niet was. (zelfde met DNA databank dat je uitleg moet
geven waarom jou DNA op een bepaalde plek is gevonden). Deze
omgekeerde bewijslast is een zeer kwaliijke ontwikkeling.

Je DNA is daar op die plek gevonden omdat we het er daar
wilden hebben.... (dader of OM) om de case rond te krijgen
of een ander erin laten lopen.
Je moet maar vertrouwen hebben in de werkmethodes om iemand
in de cel te krijgen.