Security.nl lanceert een nieuw onderdeel waar elke week een andere professional, expert, onderzoeker of lezer een security tip geeft. Persoonlijke tips, varierend van het veilig configureren van Windows, een handige security tool of het juist instellen van een firewall, waarmee de tipgever zijn systeem, applicatie of netwerk veiliger maakt.
Heb jij ook een leuke, originele, maar bovenal goede security tip die niet mag ontbreken, stuur dan een mail naar redactie@security.nl.
Deze week de tip van Martijn Schoemaker
Een beetje paranoia toch niet altijd slecht?
Ik werk als beveiligingsspecialist bij een groot bedrijf en beheer daar de firewalls en externe verbindingen. Ik sta daar inmiddels bekend als 'Mr. Paranoia' omdat ik, misschien soms een beetje te veel, nadenk over beveiligingsaspecten voor alles waar ik mee bezig ben.
Wat ik onder andere standaard doe is de webcam op mijn laptop afplakken. Dit doe ik omdat, terwijl ik zeer voorzichtig ben, ik nooit zeker weet of iemand heeft ingebroken en toegang tot mijn hardware heeft. Dit lijkt voor veel mensen, gezien de reacties die ze geven als ze dit zien, erg paranoïde gedrag. In dit onderstaande geval blijkt dit toch geen overbodige luxe.
'Your face are belong to us ...'
Ik zag laatst in de firewall logging behoorlijke hoeveelheden 'bizar' verkeer geblokkeerd worden van één van de interne clients. Omdat ik wilde weten wie dit was, en vanaf wat voor een device dit gebeurde, liet ik even een NMAP lopen met fingerprinting. Het resultaat was dat het om een Windows 7 machine zou gaan met bijkomend toeval: de RDP poort (3389) stond open. Omdat dit een makkelijke manier is om de systeemnaam te achterhalen (en zo uit te vinden wie erachter zat) verbond ik met mijn Linux rdesktop client aan de machine.
Zoals verwacht kreeg ik netjes een logon scherm van Windows 7. Er stond ook een optie "Face" beschikbaar. Als Linuxman kende ik dit niet en klikte op het icoon. Tot mijn verbazing opende het scherm met een live feed van de webcam. En ja hoor, de gebruiker zat daar netjes achter te werken. Nog voordat ik door had wat er nu gebeurde greep de gezichtsherkenning software in, want deze herkende de persoon in kwestie (groen kadertje om het gezicht), verbrak de sessie en logte mij in op dezelfde draaiende sessie! De "Face" optie was dus duidelijk een add-on om m.b.v. gezichtsherkenning in te loggen!
De realisatie
Uiteraard lachte ik voluit, maar toen begon het inderdaad door te dringen dat dit toch wel een ernstig gebrek is in, in dit geval, gezichtsherkenning software in combinatie met authenticatie over RDP.
Uiteraard is dit niet het enige probleem. Natuurlijk moet je nooit zomaar rdesktop open hebben staan en moet je minimaal een firewall aanhebben. Natuurlijk moet je überhaupt nog niet vertrouwen op de huidige biometrische methodes voor authenticatie. Daarnaast zit er natuurlijk een grandioze fout in de implementatie van authenticatie over RDP. Hoe kan het toch dat voor de authenticatie van een remote verbinding de lokale resources, in dit geval de webcam, gebruikt worden? Twijfelachtig is natuurlijk of dit inherent van RDP is, of dat de additionele herkenningssoftware.
In de praktijk maakt dit niet veel uit. Hoeveel mensen zullen hierover nadenken? In het tijdperk dat mensen op links in brakke en nauwelijks Nederlands klinkende e-mails klikken en vervolgens naast de inloggegevens en wachtwoorden ook nog even de eerst volgende 10 TAN codes invullen? Inloggen en passwords onthouden is toch al zo lastig, dus dit is toch een uitkomst?
Dus toch niet ZO paranoia
In dit geval zal het afdekken van de webcam het euvel ook voorkomen. Ik waarschuw al geruime tijd mensen in mijn kennissen en vrienden kring om zelf, maar vooral bij de kinderen in de kamer de webcam af te dekken of zelfs los te halen als deze niet gebruikt wordt. Het is namelijk al meerdere malen voorgekomen dat iemand op een pc of Laptop inbreekt en zo een 'oog' krijgt in de kamer van een kind.
Met foto's van de webcam op 'gênante momenten' worden de kinderen vervolgens afgeperst. Ik kreeg in bovenstaand geval geen kans om te testen zonder de gebruiker achter de machine, dus wie weet hoe lang de gezichtsherkenning mij een blik geeft via de webcam voordat het besluit dat er niets te herkennen valt? Zo kan ik toch 'gratis' mee gluren in de ruimte waar deze laptop zich bevindt.
De redding nabij?
Gelukkig zie ik tegenwoordig steeds vaker op webcams een schuifje zitten waarmee de webcam open of dicht gezet kan worden. Blijft natuurlijk de vraag of de gebruikers bewust genoeg zijn om dat schuifje dan ook te sluiten wanneer de webcam niet gebruikt wordt. Maar zoals we inmiddels weten zijn privacy en veiligheid natuurlijk zo sterk als de zwakste schakel.
Op laptops, telefoons, etc. heb ik dit soort schuifjes persoonlijk nog niet gezien. Tot die tijd plak ik mijn camera's af, en mag iedereen mij Mr. Paranoia noemen ...
Martijn Schoemaker is een ZZP-er en werkt onder de bedrijfsnaam Ficture IT vooral in het gebied van beveiliging, unix en netwerken.
Dit artikel is geschreven op persoonlijke titel van de auteur en reflecteert niet noodzakelijk de zienswijze van Security.NL.
Deze posting is gelocked. Reageren is niet meer mogelijk.