Czytniki linii papilarnych ujawniają hasła użytkowników

dodał 28 sierpnia 2012 o 23:32 w kategorii Krypto, Top, Wpadki  z tagami:
Czytniki linii papilarnych ujawniają hasła użytkowników

Od kilku lat większość laptopów wyposażana jest w czytniki linii papilarnych. Pozwalają one użytkownikom na łatwe i proste logowanie do systemu operacyjnego. Okazuje się jednak, że pozwalają także na łatwe i przyjemne przeczytanie ich haseł.

Firma Elcomsoft słynie z wielu osiągnięć z zakresu łamania haseł. Ich oprogramowanie służące do odzyskiwania haseł dla pakietu Microsoft Office było jednym z czynników, które skłoniły Microsoft do wprowadzenia porządnego szyfrowania. Niedawno opisywaliśmy wyniki analizy aplikacji do zarządzania hasłami w systemie IOS, przygotowanej właśnie przez Elcomsoft. Tym razem eksperci tej rosyjskiej firmy przyjrzeli się nowemu tematowi – działaniu czytników linii papilarnych firmy UPEK.

Jak nie przechowywać haseł

UPEK jest praktycznie monopolistą na rynku czytników linii papilarnych montowanych w laptopach. W sprzęt i oprogramowanie tej firmy wyposażone są laptopy takich firm jak Acer, ASUS, Dell, Lenovo, MSI, NEC, Samsung, SONY czy Toshiba. Wraz z czytnikiem przez wiele lat było dostarczane oprogramowanie UPEK Protector Suite, działające pod kontrolą systemu Windows, odpowiedzialne za obsługę procesu autoryzacji użytkownika. Okazuje się, że oprogramowanie to w skandaliczny sposób przechowuje hasło użytkownika.

Działanie czytnika linii papilarnych polega na tym, że po prawidłowym zidentyfikowaniu użytkownika (i posiadacza palca) automatycznie loguje go do konta w systemie Windows. Jeśli posiadacie czytnik i oprogramowanie firmy UPEK i skorzystaliście z niego przynajmniej raz, podając swoje hasło, zostało ono zapisane w rejestrze Windows. I to zapisane w formie praktycznie jawnej – jak opisuje to Elcomsoft, jedynie zakodowane, bez użycia szyfrowania.

Takie działanie jest znacznym obniżeniem, jeśli nie prawie całkowitym zniszczeniem bezpieczeństwa oferowanego przez system Windows. System nigdy nie przechowuje hasła użytkownika w odwracalnej formie (pomijając już stare formy hashowania), chyba, że użyjemy „automatycznego logowania”, mocno odradzanego użytkownikom. Najczęściej polityki korporacyjne zabraniają wprowadzenia takiego ustawienia. Rzadko jednak kiedy polityka korporacyjna zabrania korzystania z czytników linii papilarnych.

Oczywiście, w razie gdy włamywacz uzyska kontrolę nad systemem, będzie miał również dostęp do wszystkich zapisanych w nim danych. Bez poznania hasła Windows nie uzyska jednak dostępu np. do plików zaszyfrowanych z użyciem mechanizmu EFS. Niestety, korzystanie z rozwiązań firmy UPEK sprawia, że również te pliki moga zostać odszyfrowane przez włamywacza.

Co robić, jak żyć

Dwa lata temu firma UPEK została zakupiona przez Authentec, a oryginalne oprogramowanie UPEK Protector Suite zastąpione innym produktem, który najwyraźniej pozbawiony jest błędów poprzednika. Jeśli Wasz laptop jest nowszy, prawdopodobnie możecie korzystać już z nowego oprogramowania. Niestety (lub na szczęście) Elcomsoft nie opublikował do tej pory szczegółów technicznych swojego odkrycia, zostały one jedynie przekazane producentowi oprogramowania, zatem użytkownikom starszych modeli pozostaje samodzielne przeszukanie rejestru Windows w poszukiwaniu podejrzanych kluczy.