*
 
AfterDawn: IT-alan uutiset

Hakkeri kopioi puolustusministerin sormenjäljen

Kirjoittaja Manu Pitkänen (Google+) @ 30.12.2014 16:47 Kommentteja (3)

Hakkeri kopioi puolustusministerin sormenjäljen Chaos Computer Club -hakkeriryhmän (CCC) Jan "Starbug" Krisller esitteli 31C3-tapahtumassa menetelmää, jolla saadaan pelkkien julkisessa tilassa otettujen valokuvien avulla luotua kopioita vaikkapa poliitikkojen sormenjäljistä. Kopioiden avulla voitaisiin ohittaa esimerkiksi biometrisitä tunnistautumista hyödyntäviä suojauksia.
Krisllerin esittelemä menetelmä on olennaisesti samanlainen kuin vuosi sitten iPhone 5s:n Touch ID:n ohittamiseen käytetty tapa. Kehittyneemmässä versiossa sormenjäljen digitaalista versiota ei vain skannata fyysiseltä pinnalta, vaan kuva otetaan hyvällä optiikalla ja tarkalla kennolla varustetulla kameralla. Krissler kertoo kopioineensa valokuvien avulla Saksan puolustusministeri Ursula von der Leyenin sormenjäljen.

Valokuvat otettiin ministerin lehdistötilaisuuden aikana. Varmanpäälle pelaavien poliitikkojen Krisller arvelee esiintyvän jatkossa hansikkaat kädessä.

Esittelyssä ei kuitenkaan osoitettu menetelmän toimivuutta loppuun saakka, eli von der Leyenin kopioidun sormenjäljen toimivuutta ei osoitettu käytännössä. On kuitenkin vähän syitä epäillä menetelmän toimivuutta.

Sormenjälkeen perustuva tunnistautuminen ei ole aukoton, mutta on salasanatunnistautumisessakin omat ongelmansa. Salasana voidaan aina urkkia, selvittää tai arvata.

Edellinen Seuraava  

3 kommenttia

130.12.2014 19:43
Leemee
Vahvistamaton

Sormenjälkeen perustuva tunnistautuminen ei ole aukoton, mutta on salasanatunnistautumisessakin omat ongelmansa. Salasana voidaan aina urkkia, selvittää tai arvata.

Mutta salasanan voi vaihtaa, sormen jäljen vaihtaminen on vähän hankalampaa. Edelleenkin sormenjälki soveltuu käyttäjätunnukseksi, ja salasana on sitten erikseen.

231.12.2014 7:07

Lainaus, alkuperäisen viestin kirjoitti Leemee:
Sormenjälkeen perustuva tunnistautuminen ei ole aukoton, mutta on salasanatunnistautumisessakin omat ongelmansa. Salasana voidaan aina urkkia, selvittää tai arvata.

Mutta salasanan voi vaihtaa, sormen jäljen vaihtaminen on vähän hankalampaa. Edelleenkin sormenjälki soveltuu käyttäjätunnukseksi, ja salasana on sitten erikseen.
Polta sormenpäät niin saat uudet sormenjäljet

31.1.2015 12:46

Minkä tahansa digitaalisen asian voi arvata jos järjestelmä antaa yrittää loputtomiin. Salasana ei eroa sormenjäljestä tai verkkokalvosta oikeastaan mitenkään tässä muodossa, koska se murto harvoin kohdistuu itse ihmiseen. Yleensä ihmiseen kohdistuva murto tapahtuu täysin eri tietoturvatasolla kuin missä me kuluttajat olemme.

Me kuluttajat olemme liian laiskoja käyttääkseen mitään kunnollista tunnistusta. Kuinka monella meillä on tietokoneessa pääsy jonnekin "Tallenna salasana" varassa. Tällöin digitaalinen pääsy on tallennettu tietokoneiden kiintolevylle tai selainten keksiin. Koko tietoturva on tällöin juuri niin hyvä kuin pääsy sinne järjestelmään, ei siinä mitään ihmistä tarvitse murtaa. Usein se järjestelmä on se heikoin lenkki.

Nykyään ei ole kyse siitä kuinka monimutkainen asia on vaan että se asia on tallennettu digitaalisesti johonkin järjestelmään, oli se salasana, sormenjälki, verkkokalvo jne.. Jos ihmiset tallentaa asian vastaavuuden (pääsyn) digitaalisesti niin se on digitaalisesti saatavilla myös niille joille se ei ole tarkoitettu. Kun on varastanut digitaalisen jäljen siitä voi tehdä sen oikean pääsyn järjestelmään.

Tarkoitan tällä kaikella että ongelma on se kuinka turvassa se digitaalinen versio asiasta on, missä järjestelmässä se siten onkin tallennettu. Koska kun tuo järjestelmän tietoturva vaarantuu niin kaikki "pääsyt" vaarantuvat. Älkää uskoko satupuheita miten Teille luodaa turvallisuutta, kun se järjestelmä itse on se heikoin lenkki, ette Te.

Miettikää hieman mitä näette uutisissa nykyään. Se ja se paikka oli murrettu ja salasanat varastettu. Ei niitä ihmisiltä varastettu vaan siitä paikasta mihin se digitaalinen vastine oli tallennettu. Järjestelmä siis murrettiin ennen kuin "salasanat" varastettiin.

Ajatelkaa pankkiautomaattia siinä on vain nelinumeroinen koodi. Miksi ei parempaa? Koska ongelma ei ole koodin monimutkaisuudessa vaan miten pääsee järjestelmään tai pääsee käsiksi siihen koodiin/korttiin. Koodin monimutkaisuus ei vaikuta tilanteeseen jos jompi kumpi noista edellä mainituista asioista murtuu.

Kun kuluttajalle luodaan mielikuvia että älykännykässä sormenjälki tunnistus parantaa turvallisuutta niin tapahtuuko oikeasti näin, vai tapahtuuko päinvastoin. Eli sormenjäljen tunnistustieto on tämän jälkeen digitaallisesti saatavilla paikassa josta on jopa internet yhteys.

Viestiä on muokattu sen lähettämisen jälkeen. Viestiä on muokattu viimeksi 1.1.2015 @ 20:31

Tämän uutisen kommentointi ei ole enää mahdollista.

Tuoreimmat uutiset

Google Talk poistuu kokonaan, uudistuksia Androidin viestisovelluksiin Google Talk poistuu kokonaan, uudistuksia Androidin viestisovelluksiin (25.3.2017 18:56)
Google Talk tuli monille tunnetuksi mm. Gmailin lisäominaisuutena, josta käytettiin usein mm. nimeä Gchat. Jo yli kymmenen vuotta vanhan sovelluksen käyttäjiä on yritetty siirtää uuteen Hangouts-alustaan ....
Ensimmäinen koeajo Teslan Model 3:n julkaisuehdokkaalla Ensimmäinen koeajo Teslan Model 3:n julkaisuehdokkaalla (25.3.2017 17:17)
Teslan perustaja ja toimitusjohtaja Elon Musk on julkaissut Twitterissä videon, jossa esitellään ensimmäistä koeajoa tulevan Model 3 -mallin myöhäisellä testiversiolla, niin kutsutulla julkaisuehdokkaalla ....
Tässä ovat yli 100 uudistunutta emojia: vampyyri, parsakaali ja saunoja Tässä ovat yli 100 uudistunutta emojia: vampyyri, parsakaali ja saunoja (25.3.2017 16:56)
Unicode Consortium on julkaissut tulevat uudet ja uudistuneet emojit. Omia tunnereaktioita voi lähettää pian entistä paremmin älylaitteilla, kun uudet kuvat saapuvat Emoji 5.0 -paketissa. ....
Kevään hittielokuva uhattiin vuotaa nettiin – Kiristäjälle kävi köpelösti Kevään hittielokuva uhattiin vuotaa nettiin – Kiristäjälle kävi köpelösti (24.3.2017 18:51)
Apple ei ole ainoa bitcoin-kiristyksen kohteeksi joutunut suuryritys, sillä myös 20th Century Foxilta ja Dreamworksilta on yritetty lypsää rahaa virtuaalivaluutan muodossa. Elokuvajättien ....
1 kommentti
Operaattori saa jatkossa myydä käyttäjien selailuhistorian mainostajille Operaattori saa jatkossa myydä käyttäjien selailuhistorian mainostajille (24.3.2017 13:06)
Republikaanienemmistöinen senaatti on ehdottanut muutosta lainsäädäntöön, joka sallisi operaattorien myydä käyttäjistään keräämää selailuhistoriaa ja muuta dataa suoraan mainostajille.
8 kommenttia

Uutisarkisto