Gezichtsverlies

Wordt je paspoort gejat, dan komt daar geheid ellende van. Maar je kunt een nieuw exemplaar aanvragen. Hopelijk word je al doende niet het slachtoffer van identiteitsfraude: met de nasleep daarvan kun je nog jaren zoet zijn. Denk aan mobieltjes die op jouw naam zijn aangeschaft, onterechte bekeuringen, valselijk afgesloten leningen.

Met biometrische gegevens ligt het anders. Zijn je gezichtsscan of je vingerafdrukken in verkeerde handen beland, dan ben je voorgoed de pineut, je kunt geen andere facie of vingers aanvragen. Voor de rest van je leven kunnen jouw onuitwisbare kenmerken door derden worden misbruikt.

Daarom was de ontdekking van security-experts eerder deze maand zo onthutsend. Biostar 2, een biometrisch beveiligingssysteem waarin miljoenen gebruikers zijn opgeslagen, is zo lek als een mandje. De experts ontdekten onbeveiligde Biostar 2-servers, en zagen dat de gegevens van gebruikers er onversleuteld waren opgeslagen: namen, wachtwoorden, woonadressen, gezichtsscans, vingerafdrukken, rangen, toegangscodes – de hele rataplan. Het betrof ruim 27 miljoen records. De experts konden de data uitlezen, wissen, of veranderen. Ze konden zelfs valse gebruikers aanmaken, compleet met vingerafdrukken en gezichtsscan.

Biostar 2, eigendom van Suprema, is onderdeel van het beveiligingssysteem AEOS, dat door 5700 organisaties in 83 landen wordt gebruikt. Die organisaties variëren van sportclubs tot overheidsinstanties, van de Londense politie tot banken, van defensiebedrijven tot – o ironie – een identiteitspasjesfabrikant.

Nadat de security-experts Suprema waarschuwden, dichtte het bedrijf het gat op zijn servers. Maar Biostar slaat de gegevens nog immer onversleuteld op, zodat die nog altijd hoogst kwetsbaar zijn. En eigenlijk heeft een beveiligingsbedrijf dat zulke basale fouten maakt (‘Suprema: koploper in biometrie, beveiliging en identiteitscontroles’, pochen ze zelf), zichzelf volkomen gediskwalificeerd. Niemand zou nog zaken met ze moeten doen, en Suprema verdient een vette boete per blootgesteld record.

Zulke verhalen zijn reden tot grote zorg. Iemands gezichtsscan en vingerafdrukken zouden slechts bij hoge uitzondering mogen worden afgenomen, en uitsluitend onder stringente beveiliging worden opgeslagen, geraadpleegd of gedeeld. Elke fout die ermee wordt gemaakt is immers onherstelbaar, en levert levenslang risico’s op voor de benadeelden. Plus dat locaties er lek van worden: aangezien hackers nieuwe gebruikers konden aanmaken, kon feitelijk iedereen op die manier een met Biostar beveiligde locatie binnenlopen.

Misschien, zo opperen de security-experts, is betalen met je duimafdruk niet zo’n goed idee wanneer onze vingerafdrukken zo slecht beveiligd worden. Misschien moet je geen lid willen worden van een sportclub die een gezichtsscan wil als toegangscode. En misschien moeten we van overheden eisen dat ze biometrische gegevens zwaarder bewaken.


Deze column van Karin Spaink verscheen eerder in Het Parool
.

  1. 1

    OK, een oprechte vraag. Wat kan iemand met mijn biometrische gegevens? Ik dacht juist dat, door deze gegevens te koppelen aan je paspoort, het op geen enkele manier meer door derden gebruikt kan worden en zo fraude uitsluit. Hoe zit het echt?

  2. 3

    Misschien zijn er gewoon te weinig van deze lekken.
    Als deze data makkelijk te vinden is, verliest het z’n waarde en kan het dus ook niet meer tegen mensen gebruikt worden.

  3. 4

    @1: Goede vraag.
    Het wordt een ander verhaal als hackers gegevens kunnen wijzigen:
    Dan vullen ze bijvoorbeeld in dat Kwint Bonkhorst schoenmaat 47 heeft, en de andere gegevens worden overgenomen van het plaatje bij het artikel, en dan komt u op geen enkele luchthaven door de douane.

    @3: Dan werken de identiteitscontrôles ook niet meer.

  4. 6

    Ok. Dit is mijn vakgebied; ‘versleuteld opslaan’ (van data waar je in onversleutelde vorm weer bij moet kunnen in de toekomst, en ik neem even aan dat we het daar hier over hebben) is niet de panacea die men over het algemeen denkt dat het is. Tenzij het end-to-end gedaan wordt i.s.m. de gebruiker (gebruiker geeft een wachtwoord in, dat gebruikt wordt om het record tijdelijk te ontsleutelen). Tot die tijd geldt: als de computer bij de database kan, kan de hacker het ook – de server staat altijd aan. ‘Versleuteld opslaan’ is *wel* een goed idee als het gaat om wachtwoorden, maar alleen omdat de versleuteling daar een-wegs is (en het algoritme voor de een-weg-versleuteling (een hashing functie) niet terug te ‘rainbow tabelen’ valt).

    De oplossing hier is dus of *wel* versleuteld opslaan (in individueel vercijferde records die *dus* (mede) door de gebruiker (de persoon die moet worden geïdentificeerd) moeten worden ontsleuteld (met een wachtwoord). Dit zal wel niet kunnen; mensen zijn notoir slecht met wachtwoorden. Bovendien: zie jij jezelf al een PINnetje intypen bij de scanner op Schiphol? Ik ook niet. Mensen gaan vluchten missen en rechtszaken zullen volgen. Deze techniek is overigens wel bruikbaar bij bedrijven, bijvoorbeeld.

    Een andere oplossing zou kunnen zijn: biometrische data *zelf* een-wegs versleutelen (omdat het gegeven exact is, en door een sterke hash functie heen kan – a la een wachtwoord). Maar dat zal ook wel niet kunnen, aangezien biometrische ‘matches’ op statistische wijze tot stand komen (je vingerafdruk komt voor 90% overeen met die, die wij opgeslagen hebben).

    M.a.w. er is gewoon nog geen goede manier hier (voor grote massa’s).

  5. 7

    Nou pfoehh, heb ergens geen woorden aan vuilmaken, maar niemand komt ermee om te voorkomen voor elk ID-fraude. Wanneer dan wel?

    Allemaal griezelig! Doet me denken aan misdaadserie Homeland. CIA-agenten kunnen iemand eerst drogeren en dan zijn ID- pas afpakken en zijn ogen laten scannen om via CIA computer weten te ontfutselen naar zijn geschiedenis. Oogscan voor elk pas komt eraan!!!

    Hier heb ik afgelopen Januari nieuwe rijbewijs al: vingerscan voor transparant vingerafdruk in het pas vastzetten, zie transparant cirkel heel goed. Wist al dat het ergens onbetrouwbaar gewekt zou zijn.

  6. 8

    @6 duidelijk NIET je kennisgebied. (n.a.w. wel je vakgebied, dat verklaart ook dat er zoveel onversleutelde databases zijn).

    Tuurlijk kan een hacker er bij als de computer er bij kan.. Dat is niet het issue.

    De hacker hoeft nu alleen de database te kopieren/uit te lezen en weet wat er staat. Bij encryptie wordt er een extra drempel opgeworpen voor je de data kan lezen.

    Vergelijk het met een Word document…. als het in het Nederlands is kan jij het lezen na openen. Als het geschreven is in spijkerschrift is het toch lastiger voor je om het te lezen.

    Daarnaast is je hele betoog met een pincode op schiphol onzin. Als je goede encryptie inricht, dan heeft de hacker de sleutel niet, en komt hij ook niet zomaar binnen. Gebruik een goede AES-256 encryptie en je data is beter beveiligd (mist je alles degelijk inricht….)

    https://nl.wikipedia.org/wiki/Advanced_Encryption_Standard

    Waar een wil is, is een weg, ook voor hackers. Wil nog niet zeggen dat je de snelweg alvast aan hoeft te leggen.

    Maar goed, als ik je reacties op Sargasso lees, dan zijn het eigenlijk altijd tegen-reacties op de berichten. Beetje alsof je altijd het beter wil weten en laatste woord wil hebben. Nu ook weer. Heel verhaal, maar eigenlijk geen boodschap anders dan: Het is toch niet goed genoeg, dus laat maar zitten.

    Nou met die houding komen we echt verder.

  7. 9

    @8: Dude… Ik zal onmiddellijk mijn ontslag gaan indienen, nu ik zo de les ben gelezen over encryptie. En tegen mijn klanten vertellen dat mijn peer-reviewed en gecertificeerde crypto oplossingen waardeloos zijn. Want ‘Imgikke’ heeft mij doorzien.

    A propos. Precies welke cipher mode of operation stel jij voor bij het gebruik van deze ‘AES’ standaard? (Moeilijk hoor. Nooit van gehoord ook). En nu we toch bezig zijn – Als je CTR mode voorstelt, hoe dwing je dan de uniciteit van het IV af? Gebruik je cryptografische integriteits-checking en zo ja – welke methode stel je voor? Ik dacht zelf aan een SHA256 gebaseerde HMAC (allemaal moeilijke standaarden waar ik vandaag pas voor het eerst over gelezen heb natuurlijk).

    De hacker hoeft nu alleen de database te kopieren/uit te lezen en weet wat er staat. Bij encryptie wordt er een extra drempel opgeworpen voor je de data kan lezen.

    Vergelijk het met een Word document…. als het in het Nederlands is kan jij het lezen na openen. Als het geschreven is in spijkerschrift is het toch lastiger voor je om het te lezen.

    Even serieus nu. Voor mensen die weten wat ze doen, is dit niet een relevante drempel. Database encryptie is snake-oil. Careful here.

    Als je goede encryptie inricht, dan heeft de hacker de sleutel niet, en komt hij ook niet zomaar binnen.

    De sleutel is in het systeem, lieverd. Dat is voldoende. Nee echt, het gevaar zit in ‘m mensen zoals jij. Half-affe adviezen die een systeem in schijn-veiligheid achterlaten. En wij mogen de shit opruimen als het te laat is.