vrijdag 31 januari 2020

Anti-biometrie


Er bestaat een extensie voor de Chrome-browser om biometrische herkenning aan de hand van je typgedrag tegen te gaan.

Wablief? Oké, ik ga ‘m even voor je ontleden. Webbrowsers van bijvoorbeeld Google (Chrome), Mozilla (Firefox) en Apple (Safari) bieden de mogelijkheid aan derden om extra functionaliteit aan de browser te geven. De programma’s, die deze extra functionaliteit bevatten, heten extensies of add-ons; uitbreidingen of toevoegingen in normaal Nederlands. Daar zijn er duizenden van en ze willen je helpen om bijvoorbeeld je bladwijzers te organiseren, het shoppen te vergemakkelijken (prijzen vergelijken, kortingscodes zoeken) of advertenties buiten de deur te houden (ad blockers). De categorie privacy en beveiliging van Firefox bevat op dit moment 2.174 extensies. Eén daarvan is de experimentele add-on behavioral-Keyboard-Privacy van onderzoeker Paul Moore. De add-on is drie jaar geleden voor het laatst bijgewerkt en heeft slechts 199 gebruikers. Maar daar gaat het niet om. Het gaat erom dat een dergelijke add-on überhaupt bestáát. Wat zit daar achter?

Vanuit de gedachte, dat wachtwoorden onvoldoende beveiliging bieden, of in ieder geval het gebruik van wachtwoorden als enig middel voor authenticatie, wordt er gezocht naar aanvullende of plaatsvervangende middelen. Dat zijn vaak biometrische middelen, zoals de vingerafdrukscanner en de gezichtsherkenning op je smartphone. Deze technologie is handiger en – mits goed geïmplementeerd – veiliger dan wachtwoorden, omdat zij gebruik maakt van unieke kenmerken van een persoon en niet afhankelijk is van diens intelligentie en beveiligingsbewustzijn.

Biometrie (Van Dale: het vast­stel­len van tel-, weeg- of meet­ba­re ei­gen­schap­pen van le­ven­de we­zens) heeft ook een schaduwkant. Je kunt er gebruik van maken om mensen te herkennen en zo hun gedrag en bewegingen te volgen. China hangt vol met camera’s met gezichtsherkenning. De weg oversteken bij rood licht levert je daardoor een boete op en je gezicht verschijnt op een groot scherm bij het kruispunt, bij wijze van naming & shaming.

Als je weet of denkt dat je wachtwoord is uitgelekt, dan wijzig je het. Daar zit ‘m het probleem bij biometrie: dat gaat daar niet. Vooruit, misschien kun je met een mesje of een rasp iets aan je vingerafdrukken doen, en je gezicht laten verbouwen is ook heel gangbaar – zij het meestal om esthetische redenen en niet omwille van je privacy. Bovendien is er voor de meeste mensen een grens aan het aantal keren dat ze een dergelijke behandeling willen ondergaan. Er zijn echter tal van biometrische technieken die niet kijken naar lichaamskenmerken, maar naar gedragskenmerken. En die kun je veel moeilijker ‘verbouwen’. Zo ben je bijvoorbeeld te herkennen aan de manier waarop je loopt, en aan je postuur. En aan je geur (honden zijn daar erg goed in). En aan de manier waarop je typt.

Op dat laatste haakt die add-on in. Herkenning op basis van typgedrag kijkt onder andere naar hoe lang je een toets indrukt, hoeveel tijd er tussen twee aanslagen in zit en hoe lang het duurt om bepaalde woorden te typen. En dat werkt verbazingwekkend snel en goed: het Zweedse bedrijf BehavioSec ontwikkelde een systeem dat na slechts 44 aanslagen bijna 100% herkenning gaf, met een betrouwbaarheid van 80%. Zo’n systeem kun je gebruiken voor nobele doelen, zoals het veilig laten inloggen van bankklanten, maar je kunt het ook gebruiken om mensen stiekem te herkennen. Om dat laatste tegen te gaan, verandert de add-on enkele kenmerken. De demo-website van BehavioSec scoort opeens maar nog 0,07% en het systeem heeft er 79% vertrouwen in dat de persoon achter het toetsenbord niet degene is die hij zegt te zijn, ondanks het juiste wachtwoord.

Er lijkt nog niet echt een markt te zijn voor dit soort biometrie-frustrerende middelen, maar ik verwacht dat dit een hoge vlucht zal nemen als meer mensen beseffen welke middelen er allemaal bestaan om hen te volgen. Vooral kwetsbare groepen, zoals mensenrechtenactivisten in totalitaire staten, zullen gebruik willen maken van dergelijke technologieën. Ad-blockers zijn nu al redelijk gemeengoed in de strijd tegen opdringerige adverteerders. Wellicht gaan we straks ook allemaal aan de anti-biometrie.

En in de grote boze buitenwereld …


... zet ook Moskou in op gezichtsherkenning.
https://www.destentor.nl/tech/moskou-lanceert-grootste-systeem-voor-live-gezichtsherkenning~ad5f75dd

… kun je ook last hebben van de Citrix-kwetsbaarheid als je zelf helemaal geen Citrix hebt.
https://www.lochemsnieuws.nl/2020/01/24/gemeente-lochem-geen-citrix-maar-wel-weer-problemen/

... hebben onderzoekers nieuwe technologie voor optische encryptie ontwikkeld.
https://www.helpnetsecurity.com/2020/01/31/optical-stealth-encryption/

... moet je aan gebruikers van je gastennetwerk redelijk concreet vertellen hoe ze gemonitord worden.
https://blog.iusmentis.com/2020/01/31/moet-ik-bezoekers-ons-securitybeleid-onthullen-van-de-avg/

... geeft deze site inzicht in boetes die onder de AVG zijn opgelegd.
https://www.privacyaffairs.com/gdpr-fines/

... is het niet handig als een beveiligingsbedrijf klantgegevens doorverkoopt. Anti-virusproducent Avast deed het toch maar wist niet hoe gauw ze ermee moesten stoppen toen het uitkwam.
·         Over Avast: https://arstechnica.com/tech-policy/2020/01/avast-kills-off-jumpshot-the-subsidiary-that-sold-all-your-web-data/
·         Van Avast: https://blog.avast.com/a-message-from-ceo-ondrej-vlcek

... deelt ook je deurbel meer informatie dan je lief is.
https://www.eff.org/deeplinks/2020/01/ring-doorbell-app-packed-third-party-trackers

... kun je veel geld verdienen met het opsporen van kwetsbaarheden.
·         https://www.grahamcluley.com/win-1-5-million-hacking-an-android-phone/
·         https://tweakers.net/nieuws/162948/microsoft-start-xbox-bugbountyprogramma-met-beloningen-tot-20000-dollar.html

... omarmt Google het FIDO-protocol voor security keys en helpt daarmee tweefactorauthenticatie (2FA) een stap vooruit.
https://security.googleblog.com/2020/01/say-hello-to-opensk-fully-open-source.html

... gingen cybercriminelen ervandoor met de betaling voor een miljoenenschilderij.
https://nos.nl/l/2320990

... moet je bij het organiseren van een groot evenement ook rekening houden met cybersecurity.
https://www.ncsc.gov.uk/guidance/cyber-security-for-major-events

... moest een met ransomware besmet Canadees verzekeringsbedrijf bijna een miljoen dollar losgeld betalen. Gelukkig waren ze verzekerd.
https://www.cbc.ca/news/technology/unnamed-insurance-company-cyberattack-1.5445326

... waarschuwt een gratis webdienst bedrijven als een van hun medewerkers een phishing-mailtje heeft ontvangen.
https://www.zdnet.com/article/new-web-service-can-notify-companies-when-their-employees-get-phished/

... is Schiphol een van de weinige grote luchthavens die hun cybersecurity op orde hebben.
https://www.grahamcluley.com/airport-cybersecurity-study/

... houdt de Amerikaanse overheid haar Chinese drones aan de grond, uit angst voor spionage.
https://tweakers.net/nieuws/162882/vs-verbiedt-overheidsinstanties-te-vliegen-met-dji-drones.html

... hoef je geen geld uit te geven voor een goede virusscanner: het standaard met Windows meegeleverde Windows Defender komt in deze test als topper naar voren (en dat is niet voor het eerst).
https://www.av-test.org/en/antivirus/home-windows/


Gepost door op
Labels: , , , ,

Geen opmerkingen:

Een reactie posten

Abonneren op: Reacties posten (Atom)