แจ้งเตือนระบบความปลอดภัยของ เครื่องสแกนลายนิ้วมือ

ผู้ผลิต เครื่องสแกนนิ้วมือ ร้องทุกข์ การแจ้งเตือนความปลอดภัยของบริษัทรัสเซีย

ความปลอดภัยของ เครื่องสแกนลายนิ้วมือ fingerprint-scanner-scurity-wanning

เครื่องสแกนนิ้วมือ ถูกใช้กันอย่างกว้างขวางในแล็ปท็อปที่ขายจาก Dell หรือ Sony จะเปิดเผยพาสเวิร์ดของวินโดวส์หรือไม่คำตอบยังไม่ชัดเจน หลังจากที่ Authentec ( ผู้ผลิตเครื่องสแกนไบโอเมตริก) ปฏิเสธคำกล่าวอ้างจาก Russian security firm Elcomsoft ว่าโปรแกรมการจัดการมีช่องโหว่ความปลอดภัยที่อันตราย

Authentec ซึ่งผู้ผลิต เครื่องสแกนลายนิ้วมือ UPEK มากมาย กล่าวว่า ไม่พบหลักฐานสนับสนุนข้อกล่าวหาใดๆ ว่าโปรแกรมเก็บพาสเวิร์ดของวินโดวส์ไว้อย่างไม่ปลอดภัย หรือการเผยถึงความเป็นไปได้ในการแฮกค์ต่อผู้ใช้บริการ

การรายงานต่อ Nakded Security (ใน Melbourne ที่บริษัทความปลอดภัย Florida ) กล่าวว่าคำอ้างจาก Elcomsoft ว่าโปรแกรมการจัดการ(Protector Suite) เก็บพาสเวิร์ดของวินโดวส์ในรูปแบบที่เป็นระเบียบภายใน Windows registry นั้นไม่ถูกต้อง

ในวันที่ 28 สิงหาคม ประกาศหัวข้อว่า "UPEK Fingerprint Readers: ช่องโหว่ความปลอดภัยขนาดใหญ่" Olga Koksharova (ผู้อำนวยการฝ่ายการตลาดของ Elcomsoft) อธิบายในสิ่งที่กล่าวว่า ประเด็นความปลอดภัยที่อันตรายกับ ProtectorSuite นั้น แอพพลิเคชั่นของวินโดว์ซึ่งถูกใช้จัดการระหว่างเครื่องสแกนลายนิ้วมือUPEK นักวิจัยของบริษัท “พบว่า ... พาสเวิร์ดบัญชีของวินโดวส์ถูกเก็บไว้ใน Windows registry ซึ่งเกือบทั้งหมดเป็นข้อความธรรมดา ไม่มีการแย่งชิง แต่ไม่มีการเข้ารหัส(encrypted) การเข้าถึงทางกายภาพของแล็ปท็อปซึ่งควบคุมด้วย UPEK ProtectorSuite เราสามารถดึงพาสเวิร์ดของบัญชีทั้งหมดด้วยการเข้าสู่ระบบด้วยการเปิดทางลายนิ้วมือ”

Authentec ซึ่งผลิต UPEK Fingerrpint-scanner กับ PeerSec Networksในปี 2010 ฮาร์ดแวร์ทำให้ผู้ใช้งานสามารถแทนที่ด้วยการสแกนนิ้วมือสำหรับการเข้าสู่ระบบการเข้าถึงทางกายภาพของแล็ปท็อปที่ควบคุมด้วย ProtectorSuite นั้น Koksharova กล่าวว่า “เราสามารถดึงพาสเวิร์ดของบัญชีทั้งหมดด้วยการเข้าสู่ระบบด้วยการเปิดทางลายนิ้วมือ(fingerprint-enabled)” Koksharova เตือนว่า แม้รู้ว่าพาสเวิร์ดวินโดวส์ที่สัมพันธ์กับบัญชีที่ทำให้ใช้ได้ซึ่งการสแกนลายนิ้วมือ จะไม่อนุญาตผู้รุกราน เพื่อหลีกเลี่ยงการสแกนเข้าระบบ แต่อาจจะอนุญาตให้ผู้รุกรานเข้า hard drive เพื่อเห็นการเข้ารหัสในนั้น แต่ Brent Dietz ( ผู้อำนวยการการสื่อสารองค์กรที่ Authentec) กล่าวว่า บริษัทของเขาไม่พบหลักฐานใดๆสนับสนุนคำกล่าวอ้างนั้น และการสนทนาของ

Koksharova แนะนำถึงคำเตือนของ Elcomsoft อาจเป็นการโอ้อวดเกินไป Dietz เขียนถึง Naked Security ในอีเมลล์ “Olga กล่าวเพียงว่า ‘มันเป็นการทดสอบเวอร์ชั่นเก่าของ ProtectorSuite  เมื่อครึ่งปีที่แล้ว ซึ่งเก็บการป้องกันพาสเวิร์ดกับการป้องกันลายนิ้วมือใน registry’ ปัญหาเท่าที่รู้ได้ถูกแก้ไขเมื่อการอัพเดตครั้งที่ผ่านมา”Elcomsoft ไม่แนะนำรายละเอียดใดๆอีกต่อ Authentec แต่บริษัทกล่าวว่า “ จะวิเคราะห์อย่างละเอียดในสิ่งที่ได้รับจาก Olga or the Elcomsoft team ”
Dietz กล่าวว่า ProtectorSuite ใช้การเข้ารหัส AES เพื่อป้องกันการเก็บพาสเวิร์ด และบริษัทจะไม่นำพาสเวิร์ดออกในรูปแบบที่ยังไม่ได้เข้ารหัสในโปรแกรมทั้งในอดีตและ

ปัจจุบัน บริษัทควรหาหลักฐานสนับสนุนคำกล่าวอ้างของ Elcomsoft เพื่อพยายามแก้ไขต่อผู้ใช้บริการโดยทันทีถ้าคำกล่าวอ้างของ Elcomsoft ได้รับการหนุน มันอาจเป็นปัญหาร้ายแรงสำหรับองค์กรที่อาศัย เครื่องสแกนนิ้วมือ ในการเข้าแล็ปท็อปหรือระบบเดสก์ท็อป เครื่องสแกน UPEK และโปรแกรม Protector Suite ที่ถูกขายให้กับหลายๆบริษัท ดังนั้นความเสียหายของอุปกรณ์หรือโปรแกรมใดๆ ก็จะเสียหายในวงกว้าง

Elcomsoft  ตั้งอยู่ที่ Moscow ใน Russia ทำสินค้าความปลอดภัย รวมถึงการตรวจสอบความปลอดภัยแบบไร้สาย หรือเครื่องมือการกู้คืนพาสเวิร์ดและชุดเครื่องมือทางกฎหมายสำหรับอุปกรณ์ที่ควบคุมด้วยโปรแกรม Apple’s iOS ที่โดดเด่าคือการเผยเครื่องมือสำหรับการแคร็กพาสเวิร์ดในอุปกรณ์ RIM Blackberry และ iPhone ในปี 2001 นั้นเป็นกลุ่มนำไปสู่ high profile criminal case (ซึ่งนำมาจาก กระทรวงการยุติธรรมสหรัฐฯ) บริษัทและลูกจ้างถูกกล่าวหาว่าฝ่าผืนรัฐบัญญัติลิขสิทธิ์แห่งสหัสวรรษดิจิทัลสหรัฐฯ( the U.S. Digital Millennium Copyright Act) เมื่อผลิตโปรแกรมแคร็กรูปแบบไฟล์อีบุ๊คของระบบ Adobeลูกจ้างของ Elcomsoft และพลเมืองรัสเซีย Dmitry Sklyarov ได้ถูกจับและขังในสหรัฐฯ ซึ่งเป็นที่โต้แย้งเพราะการสร้างเครื่องมือในรัสเซียไม่เป็นความผิดอาชญากรรม


ที่มา : nakedsecurity.sophos.com

Tags: finger scan, เครื่องสแกนลายนิ้วมือ, เครื่องสแกนนิ้ว, fingerscan

 Print  Email