Er bestaat een extensie voor de Chrome-browser om biometrische
herkenning aan de hand van je typgedrag tegen te gaan.
Wablief? Oké, ik ga ‘m even voor je ontleden. Webbrowsers van
bijvoorbeeld Google (Chrome), Mozilla (Firefox) en Apple (Safari) bieden de
mogelijkheid aan derden om extra functionaliteit aan de browser te geven. De
programma’s, die deze extra functionaliteit bevatten, heten extensies of
add-ons; uitbreidingen of toevoegingen in normaal Nederlands. Daar zijn er
duizenden van en ze willen je helpen om bijvoorbeeld je bladwijzers te
organiseren, het shoppen te vergemakkelijken (prijzen vergelijken,
kortingscodes zoeken) of advertenties buiten de deur te houden (ad blockers).
De categorie privacy en beveiliging van Firefox bevat op dit moment 2.174
extensies. Eén daarvan is de experimentele add-on behavioral-Keyboard-Privacy van onderzoeker Paul Moore. De add-on
is drie jaar geleden voor het laatst bijgewerkt en heeft slechts 199
gebruikers. Maar daar gaat het niet om. Het gaat erom dat een dergelijke add-on
überhaupt bestáát. Wat zit daar achter?
Vanuit de gedachte, dat wachtwoorden onvoldoende beveiliging bieden, of
in ieder geval het gebruik van wachtwoorden als enig middel voor authenticatie,
wordt er gezocht naar aanvullende of plaatsvervangende middelen. Dat zijn vaak
biometrische middelen, zoals de vingerafdrukscanner en de gezichtsherkenning op
je smartphone. Deze technologie is handiger en – mits goed geïmplementeerd –
veiliger dan wachtwoorden, omdat zij gebruik maakt van unieke kenmerken van een
persoon en niet afhankelijk is van diens intelligentie en beveiligingsbewustzijn.
Biometrie (Van Dale: het vaststellen van tel-, weeg- of meetbare eigenschappen
van levende wezens) heeft ook een schaduwkant. Je kunt er gebruik van maken
om mensen te herkennen en zo hun gedrag en bewegingen te volgen. China hangt vol
met camera’s met gezichtsherkenning. De weg oversteken bij rood licht levert je
daardoor een boete op en je gezicht verschijnt op een groot scherm bij het
kruispunt, bij wijze van naming &
shaming.
Als je weet of denkt dat je wachtwoord is uitgelekt, dan wijzig je het.
Daar zit ‘m het probleem bij biometrie: dat gaat daar niet. Vooruit, misschien
kun je met een mesje of een rasp iets aan je vingerafdrukken doen, en je
gezicht laten verbouwen is ook heel gangbaar – zij het meestal om esthetische
redenen en niet omwille van je privacy. Bovendien is er voor de meeste mensen
een grens aan het aantal keren dat ze een dergelijke behandeling willen
ondergaan. Er zijn echter tal van biometrische technieken die niet kijken naar
lichaamskenmerken, maar naar gedragskenmerken. En die kun je veel moeilijker
‘verbouwen’. Zo ben je bijvoorbeeld te herkennen aan de manier waarop je loopt,
en aan je postuur. En aan je geur (honden zijn daar erg goed in). En aan de
manier waarop je typt.
Op dat laatste haakt die add-on in. Herkenning op basis van typgedrag
kijkt onder andere naar hoe lang je een toets indrukt, hoeveel tijd er tussen
twee aanslagen in zit en hoe lang het duurt om bepaalde woorden te typen. En
dat werkt verbazingwekkend snel en goed: het Zweedse bedrijf BehavioSec
ontwikkelde een systeem dat na slechts 44 aanslagen bijna 100% herkenning gaf, met
een betrouwbaarheid van 80%. Zo’n systeem kun je gebruiken voor nobele doelen,
zoals het veilig laten inloggen van bankklanten, maar je kunt het ook gebruiken
om mensen stiekem te herkennen. Om dat laatste tegen te gaan, verandert de
add-on enkele kenmerken. De demo-website van BehavioSec scoort opeens maar nog
0,07% en het systeem heeft er 79% vertrouwen in dat de persoon achter het
toetsenbord niet degene is die hij zegt te zijn, ondanks het juiste
wachtwoord.
Er lijkt nog niet echt een markt te zijn voor dit soort
biometrie-frustrerende middelen, maar ik verwacht dat dit een hoge vlucht zal
nemen als meer mensen beseffen welke middelen er allemaal bestaan om hen te
volgen. Vooral kwetsbare groepen, zoals mensenrechtenactivisten in totalitaire
staten, zullen gebruik willen maken van dergelijke technologieën. Ad-blockers
zijn nu al redelijk gemeengoed in de strijd tegen opdringerige adverteerders. Wellicht
gaan we straks ook allemaal aan de anti-biometrie.
En in de grote boze buitenwereld …
... zet ook Moskou in op gezichtsherkenning.
https://www.destentor.nl/tech/moskou-lanceert-grootste-systeem-voor-live-gezichtsherkenning~ad5f75dd
… kun je ook last hebben van de Citrix-kwetsbaarheid als je zelf
helemaal geen Citrix hebt.
... hebben onderzoekers nieuwe technologie voor optische encryptie
ontwikkeld.
... moet je aan gebruikers van je gastennetwerk redelijk concreet
vertellen hoe ze gemonitord worden.
... geeft deze site inzicht in boetes die onder de AVG zijn opgelegd.
... is het niet handig als een beveiligingsbedrijf klantgegevens
doorverkoopt. Anti-virusproducent Avast deed het toch maar wist niet hoe gauw
ze ermee moesten stoppen toen het uitkwam.
·
Over Avast: https://arstechnica.com/tech-policy/2020/01/avast-kills-off-jumpshot-the-subsidiary-that-sold-all-your-web-data/
... deelt ook je deurbel meer informatie dan je lief is.
... kun je veel geld verdienen met het opsporen van kwetsbaarheden.
... omarmt Google het FIDO-protocol voor security keys en helpt daarmee
tweefactorauthenticatie (2FA) een stap vooruit.
... gingen cybercriminelen ervandoor met de betaling voor een
miljoenenschilderij.
... moet je bij het organiseren van een groot evenement ook rekening
houden met cybersecurity.
... moest een met ransomware besmet Canadees verzekeringsbedrijf bijna
een miljoen dollar losgeld betalen. Gelukkig waren ze verzekerd.
... waarschuwt een gratis webdienst bedrijven als een van hun
medewerkers een phishing-mailtje heeft ontvangen.
https://www.zdnet.com/article/new-web-service-can-notify-companies-when-their-employees-get-phished/
... is Schiphol een van de weinige grote luchthavens die hun
cybersecurity op orde hebben.
... houdt de Amerikaanse overheid haar Chinese drones aan de grond, uit
angst voor spionage.
... hoef je geen geld uit te geven voor een goede virusscanner: het
standaard met Windows meegeleverde Windows Defender komt in deze test als
topper naar voren (en dat is niet voor het eerst).