Hakkeri kopioi puolustusministerin sormenjäljen
Chaos Computer Club -hakkeriryhmän (CCC) Jan "Starbug" Krisller esitteli 31C3-tapahtumassa menetelmää, jolla saadaan pelkkien julkisessa tilassa otettujen valokuvien avulla luotua kopioita vaikkapa poliitikkojen sormenjäljistä. Kopioiden avulla voitaisiin ohittaa esimerkiksi biometrisitä tunnistautumista hyödyntäviä suojauksia.
Krisllerin esittelemä menetelmä on olennaisesti samanlainen kuin vuosi sitten iPhone 5s:n Touch ID:n ohittamiseen käytetty tapa. Kehittyneemmässä versiossa sormenjäljen digitaalista versiota ei vain skannata fyysiseltä pinnalta, vaan kuva otetaan hyvällä optiikalla ja tarkalla kennolla varustetulla kameralla. Krissler kertoo kopioineensa valokuvien avulla Saksan puolustusministeri Ursula von der Leyenin sormenjäljen.
Valokuvat otettiin ministerin lehdistötilaisuuden aikana. Varmanpäälle pelaavien poliitikkojen Krisller arvelee esiintyvän jatkossa hansikkaat kädessä.
Esittelyssä ei kuitenkaan osoitettu menetelmän toimivuutta loppuun saakka, eli von der Leyenin kopioidun sormenjäljen toimivuutta ei osoitettu käytännössä. On kuitenkin vähän syitä epäillä menetelmän toimivuutta.
Sormenjälkeen perustuva tunnistautuminen ei ole aukoton, mutta on salasanatunnistautumisessakin omat ongelmansa. Salasana voidaan aina urkkia, selvittää tai arvata.
3 KOMMENTTIA
Leemee (vahvistamaton)1/3
Sormenjälkeen perustuva tunnistautuminen ei ole aukoton, mutta on salasanatunnistautumisessakin omat ongelmansa. Salasana voidaan aina urkkia, selvittää tai arvata.
Mutta salasanan voi vaihtaa, sormen jäljen vaihtaminen on vähän hankalampaa. Edelleenkin sormenjälki soveltuu käyttäjätunnukseksi, ja salasana on sitten erikseen.
MattiMies2/3
Polta sormenpäät niin saat uudet sormenjäljet
Lumikki3/3
Minkä tahansa digitaalisen asian voi arvata jos järjestelmä antaa yrittää loputtomiin. Salasana ei eroa sormenjäljestä tai verkkokalvosta oikeastaan mitenkään tässä muodossa, koska se murto harvoin kohdistuu itse ihmiseen. Yleensä ihmiseen kohdistuva murto tapahtuu täysin eri tietoturvatasolla kuin missä me kuluttajat olemme.
Me kuluttajat olemme liian laiskoja käyttääkseen mitään kunnollista tunnistusta. Kuinka monella meillä on tietokoneessa pääsy jonnekin "Tallenna salasana" varassa. Tällöin digitaalinen pääsy on tallennettu tietokoneiden kiintolevylle tai selainten keksiin. Koko tietoturva on tällöin juuri niin hyvä kuin pääsy sinne järjestelmään, ei siinä mitään ihmistä tarvitse murtaa. Usein se järjestelmä on se heikoin lenkki.
Nykyään ei ole kyse siitä kuinka monimutkainen asia on vaan että se asia on tallennettu digitaalisesti johonkin järjestelmään, oli se salasana, sormenjälki, verkkokalvo jne.. Jos ihmiset tallentaa asian vastaavuuden (pääsyn) digitaalisesti niin se on digitaalisesti saatavilla myös niille joille se ei ole tarkoitettu. Kun on varastanut digitaalisen jäljen siitä voi tehdä sen oikean pääsyn järjestelmään.
Tarkoitan tällä kaikella että ongelma on se kuinka turvassa se digitaalinen versio asiasta on, missä järjestelmässä se siten onkin tallennettu. Koska kun tuo järjestelmän tietoturva vaarantuu niin kaikki "pääsyt" vaarantuvat. Älkää uskoko satupuheita miten Teille luodaa turvallisuutta, kun se järjestelmä itse on se heikoin lenkki, ette Te.
Miettikää hieman mitä näette uutisissa nykyään. Se ja se paikka oli murrettu ja salasanat varastettu. Ei niitä ihmisiltä varastettu vaan siitä paikasta mihin se digitaalinen vastine oli tallennettu. Järjestelmä siis murrettiin ennen kuin "salasanat" varastettiin.
Ajatelkaa pankkiautomaattia siinä on vain nelinumeroinen koodi. Miksi ei parempaa? Koska ongelma ei ole koodin monimutkaisuudessa vaan miten pääsee järjestelmään tai pääsee käsiksi siihen koodiin/korttiin. Koodin monimutkaisuus ei vaikuta tilanteeseen jos jompi kumpi noista edellä mainituista asioista murtuu.
Kun kuluttajalle luodaan mielikuvia että älykännykässä sormenjälki tunnistus parantaa turvallisuutta niin tapahtuuko oikeasti näin, vai tapahtuuko päinvastoin. Eli sormenjäljen tunnistustieto on tämän jälkeen digitaallisesti saatavilla paikassa josta on jopa internet yhteys.
TÄMÄN UUTISEN KOMMENTOINTI ON PÄÄTTYNYT