Názory k článku
Čtečku otisků prstů iPhone 5S lze oklamat
-
muf (neregistrovaný)
Je milé a nostalgické, že Chaos Computer Club i po tolika letech stále existuje :-)
Docela by mě zajímalo, co dělá dnes stará škola - např. Steffen Wernéry, který se v 80. letech proslavil průnikem do Bildschirmtextu. Nebo třeba Markus Hess, slavný průnikář do Unix strojů university v Berkeley, americké armády atd... Ten měl k CCC také blízko.
Zrovna nedávno jsem o nich zkoušel dolovat informace na Internetu a moc toho není :-(, spíš vůbec nic... -
nemo (neregistrovaný)
Sa divim ze to vobec niekoho prekvapuje. Prakticky vsetky biometricke scany sa daju oklamat, niektore jednoduchsie niektore tazsie ale v tom ani neni ich podstata. Podstata je ze by malo byt tazke ziskat samotny original, inak povedane nemalo by byt lahke ziskat otlacok, scan oka a podobne bez toho aby to majitel vedel. Otazne je ci sa da takto spravit funkcna kopia otlacku prstu povedzme z pohara ktory pred tym majitel drzal, cize ziadne idealne podmienky.A este podstatnejsie bude ci sa podari vytiahnut existujuce scany s iphonu, respektive ich digitalnu reprezentaciu. To bude vecsi pruser.
-
Nemo (neregistrovaný)
V zasade ano, kazde heslo alebo identifikator si treba chranit, ci uz je to hesli,grid karta, token alebo hocico ine.Myslienka biometriky je skor v tom ze si netreba nic pametat a nosit zo sebou.Co sa tyka otlackov tak su situacie kedy je asi tazsie cmajznut ten otlacok, v zime ked ludia nosia rukavice, v lete ak sa potia alebo pri vode a podobne. Skor problem bude v tom ze ludia to beru automaticky ako hi tech security, takze to bude bezpecne a nemusia sa o to vobec starat ale to je ten omyl. Kazdy autorozacny kluc treba chranit v zavyslosti od jeho dolezitosti.
-
Palo (neregistrovaný)
Alebo aby sa ti nespalo dobre:
A Fingerprint Scanner That Can Capture Prints From 20 Feet Away
http://www.popsci.com/technology/article/2012-06/fingerprint-scanner-captures-prints-20-feet-away -
j (neregistrovaný)
To je prave ten omyl ... trebas zmineny otisk prstu lze ziskat radove snaz (a zcela bez vedomi majitele) nez nejaky, byt velmi hloupy, heslo. Dokonce jej lze ziskat snaz, nez nejakou kartu (to si asi vsimne, kdyz mu bude chybet).
Obecne je zabezpeceni zalozeny na "neco vedet" a "neco mit", coz se ruzne kombinuje (napr mas pristupovou kartu a vis heslo).
Nevim jak ten ifoun, ale nekterym cteckam otisku staci i znacne nedokonaly vytisk na obycejnem papire (a na cene opravdu nesejde).
Vem si, ze do budoucna neni nerealny vypestovat tvuj vlastni klon = vsechny fyzicke ukazatele, vcetne DNA, budou shodne jako tvoje. Jediny rozdil bude v tom, co vis.
-
Sten (neregistrovaný)
Zfalšovat průsvit žilek v dlani nebo vyrobit umělou duhovku, která se při nasvícení stahuje, je o hodně řádů složitější než pomocí běžné inkoustové tiskárny a lepidla na dřevo vyrobit umělý otisk prstu. Stejně jako je mnohem složitější získat podklady k něčemu, co nezůstane na každém místě dotyku.
Nepotřebujete jeden dokonalý otisk. Stačí vám deset či dvacet rozmazaných otisků a trocha cviku s manipulací fotografií (ať již v počítači nebo v temné komoře). Proč je asi otisk prstu v kriminalistice stále nenahraditelný?
-
Nemo (neregistrovaný)
V nejakom clanku som cital ze jednak uzivatel pred samotnym scanovanim musi zadat aj pin, aby mal moznost dostat sa do telefonu ak nieco zblbne s citackou a tiez ze ak sa uzivatel neprihlasi/neodomkne telefon aspon raz za 48 hod tak automaticky sa vyziada ako prvy pin a nie scan.Neviem ci ta doba je pevna alebo je to nastavitelne.
-
Na telefonu je sice spousta (ne)kompletních otisků, ale útočník zpravidla netuší, který z deseti prstů je pro autentizaci vůbec použit, takže se mu může lehce stát, že s prvním úspěšně vyrobeným otiskem jeho práce zdaleka nekončí. Více vizte http://www.cleverandsmart.cz/ctecka-otisku-prstu-navzdory-svemu-prolomeni-zvysuje-bezpecnost-noveho-iphonu/.
-
Lael Ophir (neregistrovaný)
Myslím že malíček najdete použitý celkem zřídka jak pro autorizaci, tak napatlaný na telefonu :). Navíc to není větší komplikace. Prostě vyrobíte najednou kopii všech slušně vypadajících otisků prstů sebraných z telefonu.
U otisků prstů jsou problémy už v principu:
- Představte si, že používáte pro všechny služby jedno heslo, necháváte ho "napsané" ve snadno použitelné formě na všech sklenicích, klikách, na telefonu atd., a to heslo navíc doživotně nemůžete změnit. Připadá vám to bezpečné?
- Pokud někdo hodně stojí o váš otisk prstu a je líný sbírat otisky vašich prstů, stačí vás prostě odchytit a k "extrakci" otisku i s prstem použít jakékoliv větší štípačky. Osobně bych radši řekl PIN nebo vydal kartu, než bych přišel o prst. -
Problém je, že se stále mylně předpokládá, že útočník bude mít u telefonu, u kterého neví, komu patří, dostatečně silný motiv a čas k tomu, aby rekonstruoval všechny otisky, které na telefonu najde a bude se spoléhat na to, že jeden z nich je možné použit k odemčení telefonu. Nebude, provede reset a telefon prodá do bazaru, anebo zkontaktuje majitele a přijde si pro odměnu.
Otisky prstů nejsou problém z principu, ale v implementaci resp. v nevhodném nasazení této metody, např. pokud by bylo možné si z ATM vybrat peníze pouhým přiložením prstu. Pokud je ale biometrie použita např. při vstupu do sálu výpočetního střediska, který navíc snímá kamera nebo na iPhonu, který máte v kapse jen vy, není to problém.
Pokud by se jednalo o cílený útok, tak žádné řezání prstu není potřeba, prostě se oběti násilím otiskne prst na čtečku telefonu, který má u sebe, a pak se jí iPhone sebere, a ochrana se deaktivuje. Je to rychlejší a bezbolestnější, než když vás někdo nejdřív preventivně seřeže, abyste pochopil, že to myslí vážně a pak vás poprosí o sdělení hesla.
-
Pak to máte bohužel špatně implementováno a to včetně souvisejících procesů. Já, v takovém případě zjistím, že ke kameře přichází Santa Klaus, nese si žebřík, židli, nebo mu jeho sob dělá zeď, aby mohl kameru zrušit, neboť je umístěna tak, aby na ní nikdo nedosáhl a nedalo se s ní manipulovat, a v tu chvíli již startuje ochranka.
-
Lael Ophir (neregistrovaný)
To ovšem spoléháte na to, že ochranka monitory opravdu sleduje. To se 8 hodin v kuse, bez poklesu pozornosti, dělá fakt špatně. Navíc když ten člověk nebude mít masku Santa Clause, a jenom přiloží zkopírovaný otisk prstu na čtečku, tak ochranka nezjistí nic.
V datových centrech se běžně používají čipové karty, v některých případech v kombinaci s PIN padem. Když někdo pověřené osobě ukradne kartu, tak to ta osoba zjistí. U otisku prstu nezjistí nic. -
Takovou ochranku, co chrápe, kamerový systém, co nereaguje na pohyb, a optický snímač, který se nechá obalamutit zkopírovaným otiskem, radši vyhoďte, to je opravdu k ničemu. (Ale možná nejdřív zkuste prověřit, jestli to ten soft náhodou neumí a jaké hodnoty nabývá EER a jestli s tím nejde ještě něco udělat, přeci jen těch osob, co tam chodí, je jen pár).
Buď se jedná o hodně poruchové datové centrum, nebo teprve začínáte, a procesy ještě nemáte plně automatizované, když vám tam někdo pořád courá. Do těch špičkových DC se chodí minimálně, protože vše funguje a fyzický zásah není nutný, takže ochranka zpozorní až v okamžiku, když je před kamerou detekován nějaký pohyb. Kromě toho musí sledovat, co se tam děje, a přivolat pomoc, kdyby se někomu třeba udělalo špatně, když se ocitá na malý okamžik uzavřený mezi dvěma dveřmi, kde dojde i k jeho zvážení. Ochranku je nutné vytrénovat, aby startovala, už když na kameře vidí flašku s pitím anebo odcházíte a necháte tam krabice nebo jiné papíry, které tam rovněž nemají co dělat.
Biometrie je pak použita skutečně až při vstupu na samotný sál, ale nejprve je nutné projít dveřmi, které jsou chráněny čtečkou čipových karet a PINem (bez zónování si to ani nedovedu představit). Dobře, že zmiňujete PIN, protože ten je velice důležitý, protože tím, že se tam nechodí zase až tak často, tak by si operátor nemusel hned všimnout, že mu tu kartu někdo ukradl nebo si ji vypůjčil. A to už nemluvím o tom, že do samotné budovy, kde se DC nachází, je nutné projít přes recepci. Takže nakonec dospějeme k závěru, že jedině zaměstnanec, který tam má stejně přístup, by mohl na snímač přiložit otisk svého kolegy, který si předtím pořídil a vyrobil. Jenomže informace jdou do SIEM, kde se to koreluje a vzhledem k tomu, že to nebude sedět - autentizace karta+PIN bude někoho jiného, než kdo přiložil otisk, tak to vygeneruje alarm. Útočník by tedy musel zcizit, kartu znát PIN a pořídit si ještě otisk (3 faktory), jenomže bez masky Santa Klause se zase z kamerového záznamu snadno pozná, i když pravda ne hned, kdo tam opravdu byl.
-
Sten (neregistrovaný)
Na autorizaci u iPhonu budete nejspíš používat palec (vzhledem k umístění senzoru) a ten samý palec bude mnohokrát otisknut na displeji (kvůli ovládání) a na spodku přední strany (odkládací plocha). Ale samozřejmě o vaše data případný zloděj nejspíš zájem mít nebude, ale to nemusíte tu čtečku používat vůbec ;-)
Biometrie na vstup do sálu výpočetního střediska se většinou nespoléhá na otisk jednoho prstu, ale vyžaduje celou dlaň a neměří jen otisky.
-
A proč zrovna palec? A levý nebo pravý?
No proti cílenému útoku to ochrana asi nebude, spíš když to někde necháte chvíli ležet, třeba v práci na stole. Odpozorovat PIN kolegy asi bude jednodušší, pokud tam vůbec nějaký má. Má? Otisk si asi vyrábět nebudete, nebo ano?
Některá DC používají i celou ruku, a měří se její geometrie. Tu je vyrobit ještě obtížnější, ale odpůrci biometrie jistě namítnou, že by o tu ruku neradi přišli.
-
Sten (neregistrovaný)
Protože naprostá většina uživatelů mačká to tlačítko palcem a také palcem šmatá po displeji, protože ostatními prsty ten telefon drží. Pravý nebo levý záleží na tom, jestli je pravák nebo levák.
Odpozorovat PIN není zase tak snadné, pokud se ta čísla nezobrazují na displeji, odpozorovat složitější obrazec (á la Cyanogenmod) a hlavně jej správně a včas reprodukovat (např. jej nemůžete porovnávat s předlohou nakreslenou vedle) je ještě těžší.
Jak nás učí kvantová kryptografie, existuje poměrně zásadní rozdíl mezi odposlechnutím hesla (= vyrobení kopie) a ukradením hesla (nebo roky). Nakonec každé zabezpečení jde v případě potřeby obejít pomocí gumové hadice nebo thiopentalu sodného :-)
-
A nebylo by právě z toho důvodu lepší pro odemčení používat malíček, protože dalším používáním se ten otisk setře a nikde na telefonu pak nejspíš nebude? Ale ono je to stejně jedno, protože svůj účel ta ochrana splní i tak. Ten kdo doposud telefon odemykal tažením, bude nyní přikládat prst, takže už mu v tom telefonu nebude moci každý šmejdit a používat ho.
Odpozorovat PIN je snadné:
http://www.cleverandsmart.cz/chytre-telefony-a-shoulder-surfing-attack/
prolomit o něco těžší:
http://www.cleverandsmart.cz/apple-ios-jak-prolomit-heslo-do-iphonu/
A podobné je to i s prolomením gesta:
http://www.cleverandsmart.cz/je-android-pattern-lock-bezpecny/
pokud není na první pohled vidět:
http://www.cleverandsmart.cz/chytre-telefony-a-smudge-attack/Jinak s rubber-hose cryptanalysis máte pravdu.
