Total Security - totalsecurity.com.br
Segurança
Terça - 07 de Março de 2006 às 13:49
Por: escritor

    Imprimir


Segundo Mikko Kiviharju, acessório doméstico permite o acesso a dados sigilosos pelo roubo da impressão digital da vítima.Esqueça seu medo de hackers roubarem sua senha. Um pesquisador de segurança militar da Finlândia demonstrou como foi possível roubar a impressão digital do usuário, se aproveitando de uma omissão no Fingerprint Reader, um acessório para autenticação do PC lançado pela Microsoft em 2004.

Ainda que o Fingerprint Reader possa prevenir pessoas não autorizadas de acessar seu PC, a Microsoft não alegou que se trata de um aparelho de segurança, mas sim uma ferramenta de conveniência para usuários domésticos que querem se cadastrar em páginas online sem ter que lembrar de seus nomes ou senhas. Na verdade, o site da Microsoft avisa que o Fingerprint Reader não deve ser usado para guardar dados sigilosos.

Na tentativa de entender por que a Microsoft incluiu o alerta sobre informações confidenciais, o pesquisador finlandês, Mikko Kiviharju, resolveu analisar o produto. Em um documento apresentado durante a conferência Black Hat européia na semana passada, Kiviharju informou que, como a imagem registrada pelo scanner não é encriptografada, ela pode ser roubada por hackers e usada para permitir acessos não autorizados em um computador. A análise do pesquisador pode ser encontrada no site.

Como a imagem da impressão digital é transferida sem encriptação do FingerPrint Reader para o PC, ela pode ser roubada usando diferentes tecnologias de software e hardware, chamadas "sniffer", que monitoram o tráfico, segundo Kiviharju, membro das Forças de Defesa Finlandesas. "A impressão digital que pode ser roubada é de ótima qualidade e resolução" alegou.

O registro da impressão digital pode ser usado para invadir um PC ou simplesmente ser roubada, uma violação na privacidade do usuário.

Uma vez que o registro foi roubado, pode ser usado por hackers para que pareça que a vítima está se autenticando em um PC ou página Web usando o Fingerprint Reader, revelou Kiviharju. Mas esse tipo de ataque, chamado de "ataque de replay" por apenas replicar o registro em futuras aplicações, é complexo. Para que o ataque ocorra, é necessário que o hacker conecte fisicamente um segundo PC ao micro que está sob a ação maliciosa.

Está é, provavelmente, a parte mais interessante de toda a questão levantada , já que, de acordo com o pesquisador, parece que a Microsoft poderia encriptar os registros de impressões digitais com pequenas mudanças no firmware da máquina. "Isso surpreendeu alguns dos experts com que falei. O Fingerprint Reader é um produto decente, mas a Microsoft conseguiu piorá-lo".

A companhia licenciada pela Microsoft para prover a tecnologia do equipamento chama-se Digital Persona, responsável também por outro equipamento similar que usa encriptação em registros de impressões digitais.

Executivos da Microsoft não foram encontrados para comentar a história, e uma porta-voz da empresa não soube informar se a encriptação era suportada ou não no Fingerprint Reader.

Ao criar uma versão do produto não focada em segurança, a Microsoft e a Digital Persona podem estar assegurando que os equipamentos de ambas as companhias não competirão entre si, alega Russ Cooper, analista de segurança da CyberTrust.

Independente da razão da Microsoft, o roubo de impressões digitais não é uma grande preocupação de privacidade, diz Cooper. "Estou mais preocupado com câmeras em vestiários do que roubarem minha impressão digital. As pessoas já desistiram de muitas partes de sua privacidade. Apenas leia o contrato do seu cartão de crédito e veja com o que você concordou".




Fonte: IDG Now!

Comentários

Deixe seu Comentário

URL Fonte: https://totalsecurity.com.br/noticia/1312/visualizar/