Hakiranje

Zatvori

Prijenosnici s biometrijskim logiranjem su ranjivi

Istražitelji upozoravaju na ranjivost uređaja zaštićenih biometrijskim sustavom s otiskom prsta.

Ruska tvrtka ElcomSoft koja proizvodi softver za povrat izgubljenih ili zaboravljenih passworda, te se bavi pronalaskom i "krpanjem" sigurnosnih rupa u zaštićenim mrežama, napravila je analizu poznatog UPEK sustava za skeniranje otisaka prstiju, koji se nalazi u prijenosnicima mnogih proizvođača, uključujući Acer, Asus, Dell, Gateway, Lenovo, MSI, NEC, Samsung, Sony, i Toshibu.

"Nakon analize velikog broja prijenosnika opremljenih UPEK skenerima s UPEK Protector Suite softverom, istražitelji su otkrili da su Windows passwordi, pohranjeni u Windows registryu kao običan (plain) tekst, djelomično prikriveni, ali ne i enkriptirani", piše Olga Koksharova, direktorica marketinga u ElcomSoftu, na blogu tvrtke.

Kako bi se smanjila mogućnost da vam netko iskoristi tu ranjivost, Koksharova preporuča da je postavka "Windows logon feature" u softveru isključena za sve račune na računalu, što bi trebalo izbrisati sve pohranjene passworde.

O toj sigurnosnoj rupi ElcomSoft je obavijestio i tvrtku AuthenTec koja je od 2010. godine zaradila 18 milijuna dolara licenciranjem svojeg UPEK sustava, no kažu kako od njih nisu dobili nikakav odgovor.

Koksharova kaže kako je bug u UPEK softveru prilično opasan jer drastično umanjuje kvalitetu sigurnosnog biometrijskog sustava koji bi trebao predstavljati značajno poboljšanje u odnosu na klasični sustav logiranja znakovnim passwordima.

"Pohranjivanje passworda Windows računa u običnom tekstu je loša praksa koja uništava čitav smisao sustava za naprednu biometrijsku zaštitu", kaže Koksharova, dodavši kako je napadačima dobivanje Windows passworda preduvjet za dekriptiranje svih datoteka koje se nalaze na uređaju enkriptiranih EFS-om.

"EFS enkripcija je ekstremno snažna i nemoguća za probijanje ukoliko napadaču nije poznat password za račun Windowsa", tvrdi Koksharova.

Zanimljivo je kako će AuthenTecov biometrijski hardver i softver uskoro postati vlasništvo Applea. Prošli mjesec Apple je za preuzimanje te tvrtke platio iznos od 365 milijuna dolara, pa bi se AuthenTecov biometrijski sustav zaštite uskoro mogao naći u iPhoneovima i iPadovima, posebice stoga što Apple uskoro ulazi na tržište elektronskog plaćanja svojim Passbook softverom. Prije tog preuzimanja AuthenTec je sklopio višegodišnji ugovor sa Samsungom u uvođenju svojih sigurnosnih sustava u njihovu tehnologiju.