Zo op het eerste gezicht natuurlijk niet, daarin heb je zeker gelijk. Maar dat kan veranderen door biometrie te gebruiken om in te loggen bijvoorbeeld.

Een mooi voorbeeld had ik met de aanvraag van een Creditcard. Is de aanvrager wel de houder van de bankrekening? Goeie vraag natuurlijk!

Ik moest niet alleen mijn paspoort scannen (om de gegevens digitaal uit te lezen van de chip), maar ik moest ook een foto van mijzelf maken EN een fotoscan van het paspoort zelf en de QR-code. Dezen moesten worden opgestuurd via een beveiligde lijn en werden met elkaar vergeleken en juist bevonden. Dit zijn maar een paar mogelijkheden die je hebt om vast te stellen dat iemand werkelijk de persoon is die de aanvraag doet.

Daarnaast wordt de Creditcard standaard geblokkeerd verstuurd naar je huisadres. Weet je hier dus niets van, dan kan je de bank laten weten dat je geen aanvraag hebt gedaan (en dat iemand anders de aanvraag digitaal heeft uitgevoerd bijvoorbeeld). Verder moet je de Creditcard ook nog valideren door een kleine betaling te doen met door jouw gekozen pincode bij de aanvraag. De echte persoon die de Card ontvangt kan geen betaling doen met de Card, aangezien een vals persoon een eigen pincode heeft ingevuld. Dan is de Card niet te valideren.

Bovendien wordt via het opgegeven e-mailadres van jou de gegevens gestuurd, zodat de echte bankrekeninghouder gewaarschuwd wordt dat de Card er aankomt. Weet je hier niets van, dan komt de bank er zelf heel snel achter dat er gesjoemeld is. Al met al zijn de mogelijkheden tegenwoordig enorm om vast te stellen of je inderdaad met de juiste persoon praat.

Wat de paspoorten betreft: sommige gemeenten leggen extra controles op om vast te stellen of er inderdaad met de eigenaar van het paspoort wordt gecommuniceerd. Zij moeten dan een gezichtsscan laten doen, en die wordt weer vergeleken met de info over de echte aanvrager. Hiermee voorkomt men makkelijker dat lookalikes een paspoort afhalen.
https://www.security.nl/posting/833863/Gemeenten+willen+gezichtsscan+tegen+identiteitsfraude+gaan+inzetten

Maar of dat systeem echt waterdicht is, dat zal de toekomst moeten gaan uitmaken.

Dat heb ik nog nooit meegemaakt!!!
Hoe moet dat dan werken? Bij online betalingen gebruik je de pincode niet, die mag je alleen invoeren op een geschikte terminal.
Ik weet de pincode van mijn creditcard niet eens... heb jarenlang altijd gevraagd om een "kaart zonder pincode" en die kreeg ik dan, tot dat niet meer kon. Toen kreeg ik er een "met pincode" maar de pincode envelop heb ik ongelezen verbrand.

Als ik een nieuwe kaart krijg dan moet ik die valideren via de online bank omgeving en mijn offline 2nd factor scanner, verder niets.

Wat Cash is Koning beschrijft is ook niet een generiek proces voor elke Creditcard.

Creditcards worden vanwege veiligheidsoverwegingen geblokkeerd verzonden. Het activeren (deblokkeren) van de creditcard heft de blokkade op, zodat je ermee kunt betalen.

Hoe je jouw creditcard precies activeert, hangt af van je creditcardaanbieder en je type kaart: Visa, Mastercard of American Express. In de meeste gevallen kun je de creditcard online activeren door in te loggen op de beveiligde omgeving van de creditcarduitgever, bijvoorbeeld bij de ING, Rabobank of International Card Services (ICS). In deze online omgeving zul je enkele gegevens moeten invullen waarmee je identiteit wordt gecontroleerd.

Vaak is ook een verificatie vereist, bijvoorbeeld met je bankpasreader of een SMS-code die je op je telefoon ontvangt.

Hoe de activatie van je creditcard precies werkt, staat beschreven in de begeleidende brief die je ontvangt na het aanvragen van je creditcard.

https://www.creditcard.nl/faq/activeren

Dat laatste is m.i. een non-issue : gegeven de identificatieplicht kun je aannemen dat ongeveer IEDEREEN het een of andere ID / rijbewijs op zak heeft dat je zonodig kunt roven.
Ik zie niet wat er speciaal is om dat aan het afhaal loket te doen (zal wel in het licht en camera hangen), of dat je iemand drie weken later in een achteraf steeg berooft of zakkenrolt.

ITSME gebruikt volgens mij cryptografische bescherming waarmee, wanneer zowel client als service de goede checks uitvoeren, eea op die manier gegarandeerd moeten zijn waarmee dat voorzetscherm (a la MitM) zou moeten worden voorkomen.

We zie ik op https://www.itsme-id.com/nl-BE/why-itsme/security dat in tegenstelling tot hoe de Europese identiteit wordt beoogd, dat opslag van de SPI data niet op je device zelf plaatsvindt maar ergens op een centrale plaats. Wat mij betreft een reden om het niet te gebruiken (overigens ga ik de EU iD ook niet gebruiken). Het lijkt (zo vanaf een afstand snel bekeken) meer op een soort van federatieve login via een app op je telefoon gebruik makend van een vertrouwde IdP.

Wat betreft het issue: is het de juiste persoon die het ID bewijs afhaalt, gaat men (ik denk ten onrechte) uit (zoals al dit soort systemen doen) dat degene die de telefoon gebruikt ook altijd de eigenaar is en dat die persoon de telefoon niet uitleent (ik ken genoeg mensen die samen doen met 1 telefoon), deze niet is gecompromitteerd etc (alsof het een onlosmakelijk verlengstuk van jezelf is). Daar gaan al dit soort systemen mank. Goede identificatie van de persoon is gewoon op al dit soort manieren niet mogelijk, het is altijd te compromitteren.

Vooral vervelend dat het laatste beetje menselijk contact tussen de overheid en bewoners op deze manier ook nog wordt weggeautomatiseerd.

Wat doen we dan in al die "vrije tijd" die dan ontstaat? Die vullen we met eindeloze digitale, privacy aantastende controleprocessen omdat niemand niemand meer vertrouwt.

Ik ga liever een keer naar het gemeentehuis en lig daarna aan het strand in mijn ECHTE vrije tijd.

Als dat apparaat aan enige biometrische identificatie doet zal het waarschijnlijk beter zijn in het controleren van de identiteit van de vaststeller dan degene achter de balie op het stadskantoor. Ook als zelfrijdende auto's 1000 keer veiliger zijn dan menselijke bestuurders zullen mensen het idee nog steeds "Doodeng" vinden. Maar is dat terecht?

Lijkt me inderdaad een belangrijke overweging. Ik verwacht wel dat dit soort kiosken minder wijdverspreid zullen zijn dan bijvoorbeeld PIN automaten. Dus goede fysieke beveiliging op alle kiosken zou te regelen kunnen zijn.

Tsja, als iemand het op andermans identiteitspapieren heeft voorzien, en daarvoor geweld bereid is te gebruiken, moet die dan echt wachten op een ophaalmoment, terwijl vrijwel iedereen die papieren gewoon op zak heeft? In combinatie met het vorige punt, waar de Kiosken goede fysieke beveiliging vereisen, zou het ophaalmoment waarschijnlijk juist een van de slechtste momenten zijn!

Daarnaast, zou eigenlijk een identiteitsbewijs van een ander op zich waardeloos moeten zijn. Dat zit meer bij organisaties, maar als ik een (afgeschermde) kopie van mijn identiteitsbewijs toe moet sturen om mijn identiteit te controleren, dan vertrouw ik die organisatie niet. Een identiteitsbewijs werkt niet zo dat als ik andermans identiteitsbewijs bezit, ik daarmee dus die persoon ben. Bij controle van identiteit d.m.v. een identiteitsbewijs vergelijk je altijd de kenmerken op het identiteitsbewijs met de aanbieder daarvan!

Als je straks je ID uit de muur trekt zonder dat je een kogelwerend vest aan hebt, dan is dat "grove nalatigheid" van jouw kant, en dus eigenlijk "fraude" waarvoor je een boete kan krijgen. Het wordt je dan aangepraat dat een kogelwerend vest zoiets is als een fietshelm, die je ook zelf moet aanschaffen. Allemaal om het voor de maatschappij "efficiënter" en "goedkoper" te maken.

Nou, dat stond toch echt in de beschrijving van de Creditcard hoor.

Er moet bij gezegd worden dat de veiligheidsnormen danig zijn opgeschroefd. Zo wordt bijvoorbeeld je financiële doopceel gelicht en wordt in de eerste 8 jaar gekeken of je geen betalingsachterstand hebt opgelopen. Ook wordt er gecontroleerd of je geen negatieve BKR aantekening hebt. Voldoe je niet aan deze voorwaarden, dan krijg je de Creditcard gewoon niet toegestuurd.

En je wilt die creditcard dan nog steeds? De beschreven procedure lijkt bijna op een phishing achtige actie dan op de procedure van een regulier bedrijf. In mijn geval zou ik de procedure niet eens kunnen uitvoeren (paspoort heeft bijvoorbeeld geen QR code, chip op paspoort werkt niet, geen werkende selfie camera op telefoon/laptop etc) laat staan willen) en op zoek gaan naar een andere leverancier (als ik al een creditcard zou willen hebben).

Wat weerhoudt een aanvaller, om gewoon een plofkraak uit te voeren?
Hen je in een keer meer paspoorten, rijbewijzen etc. Digene die je niet kan gebruik, kan je daarna verpatsen.
ID bewijzen in de teroristische kringen zijn een hoop waard.

Die doet me meer denken aan automaten die apotheken gebruiken om klanten medicijnen aan te bieden dan aan een automatiek van een snackbar. Die van apotheken werken met pincodes die per keer dat een kluisje wordt geopend veranderen.

De manier waarop we tegenwoordig naar absolute perfectie streven in beveiliging is noodzakelijk geworden toen we alles aan alles gingen hangen via het internet. Daardoor staan er inmiddels meer dan 5 miljard mensen vlak voor je voordeur, zonder dat je ze ziet, en ga er maar vanuit dat dat inclusief een forse menigte is die indrukwekkend veel intelligenter en vaardiger is dan jij. Daarom hebben we die overdonderend sterke encryptie en andere overdonderend sterke maatregelen nodig. Toen alles nog niet via digitale netwerken aan elkaar hing konden we met minder toe. Niet dat er dan nooit iets fout ging, maar het liep niet zo gierend uit de hand als met de hedendaagse techniek wel makkelijk gebeurt.

Dit is een toepassing waar fysiek iets moet worden afgehaald. Dan staan meteen niet meer al die vijf miljard mensen voor de deur. En als het toch misgaat kan na een melding ervan een uitgegeven document de status "gestolen" krijgen. Dat lost niet alles op, het beperkt wel meteen de mogelijkheden van wat je met dat paspoort kan. Een paspoortcontrole doorkomen op een vliegveld gaat de dief niet lukken, vermoedelijk.

Nog iets wat dit anders maakt is dat dit vermoedelijk niet de eenvoudigste manier is om een paspoort of rijbewijs te jatten. Een zakkenroller komt ook een heel eind.

Wil dat allemaal meteen zeggen dat er niets aan de hand is? Nee, zover wil ik niet gaan, maar dat het om een fysiek ding gaat maakt de situatie wel wezenlijk anders, zelfs als computers en netwerken deel uitmaken van de afhandeling, het ding waar het om gaat krijgt men niet te pakken zonder er fysiek naar toe te gaan, en volgens mij maakt dat wel een serieus verschil. En als dit kwetsbaarder is dan men had ingeschat is kan men er weer mee stoppen, met schade die niet nul is maar wel beperkt.

De automatiek wordt handmatig gevuld met paspoorten. Dat schept natuurlijk mogelijkheden om zo'n digitale identificatie app 'want veilig' te omzeilen. Maar hoe krijg je het juiste valse paspoort bij de juiste persoon? Dat soort netwerken opbouwen, is als het verzet tijdens WOII, en niet zonder gevaar.

Phishing ACHTIG is nog een phishing.

Waarschijnlijker zal dan een mes danwel pistool i.c.m. het kind van de houder zijn.
Dan zal de ouder zich ogenschijnlijk in vrijheid bewegen.

Wel omslachtig en allemaal, en erg gevaarlijk, en daarom onrealistisch.
Zeker als je al ambtenaren hebt die echte paspoorten voor familiebedrijf T. maken.
https://www.omroepwest.nl/nieuws/4658574/taghi-had-vals-paspoort-dankzij-verstandelijk-beperkte-man-functioneert-als-4-jarige

Enerzijds snap ik de wens om mens door machine te vervangen.
"wellicht als A.I. zover is"...
Dat zal wel lang zijn nadat de "paperless office" werkelijk papierloos is.

Dank voor jouw uitgebreide reactie! Niet bedoeld als kritiek maar om mijn kennis te delen (negeer het gerust als je het onzin vindt).

Biometrie gebruiken voor dit doel is erg lastig. Als je bijv. een vingerafdrukscanner of camera met gezichtsherkenning in zo'n automaat plaatst, moeten jouw bijpassende biometrische gegevens (of één-weg afgeleiden daarvan {1}) bekend zijn in de automaat. Dat maakt het risico op uitlekken daarvan m.i. onacceptabel groot.

{1} Men kan hier géén cryptografische hash voor gebruiken, omdat biometrische gegevens zelden of nooit voor 100% reproduceren. Het moet "fuzzy", gebruikmakend van waarschijnlijkheid/statistiek. En dus met valspositieven en valsnegatieven als gevolg. Als je minder boze mensen wilt die geen paspoort "uit de automatiek kunnen trekken" moet je voor minder valsnegatieven kiezen, -onvermijdelijk- resulterend in meer valspositieven (en wellicht nog veel bozere mensen).

In de foto (https://images.vrt.be/w1280hx/2024/08/26/fb31dfcd-1575-4d47-8eb2-6e0930f5b0b2.jpg) zie ik rechts van het scherm iets dat een slotje zou kunnen zijn om het paneel met scherm te kunnen opnenen. Wie hebben de passende sleutel? Heeft elke automaat een uniek slot? Hoe "lockpicking-proof" is zo'n slot?

Sowieso lijkt de hele automaat niet op een kluis, maar ziet er uitermate kwetsbaar uit (met een beetje monstertruck, zoals een RAM 1500, rijd je dat hele ding waarschijnlijk zo van z'n sokkel. Dan scoor je niet alleen de zich daarin bevindende identiteitsbewijzen en andere "waardepapieren", maar mogelijk ook biometrische gegevens.

Ook ziet het apparaat er niet erg breekijzer-proof uit. Als een kwaadwillende (als een soort "evil maid") zich toegang verschaft tot de binnenzijde van automaat, is een "voorzetscherm" wellicht niet eens nodig: aangepaste firmware en een 4G/5G of LoRa modem kunnen al een slachtoffer-makende AitM vormen. Een foute onderhoudsmedewerker kan dat natuurlijk ook (vooral alleen opererende mensen, zonder toezicht/4-ogen-principe, kunnen eenvoudig hun boekje te buiten gaan; zie https://www.security.nl/posting/855452/OM+eist+voorwaardelijke+celstraf+voor+uitgeven+van+valse+paspoorten).

Ik weet niet wat je met een "beveiligde lijn" bedoelt, maar veel mensen zijn slachtoffer geworden van fraude met hun bunq-bankrekening nadat zij precies moesten doen wat jij beschrijft - met een andere aanleiding, nl. een bericht (e-mail of SMS) waarin staat dat, in het kader van de Wwft, opnieuw moeten authenticeren bij hun bank (een verzoek dat je ook écht kunt krijgen van jouw eigen bank).

In zo'n bericht zit een link naar een website (met een https verbinding) die lijkt op die van bunq, of van een bedrijf dat, zogenaamd, namens bunq de identiteit van creditcard-aanvragers zou vaststellen.

Zo'n website is echter van oplichters. Zij sturen de noodzakelijke authenticerende gegevens door naar de echte bunq website (of naar een daadwerkelijk door bunq ingehuurd bedrijf dat checkt of jij bent wie je zegt dat jij bent). En jij bent het echt.

Helaas stuurt de AitM (Attacker in the Middle), de oplichter en tevens eigenaar van de nepsite, als afleveradres voor de creditcard niet jouw adres door, maar vervangt dit door een adres van een "geldezel", van iemand met een eenvoudig "hengelbare" brievenbus of door een postbusnummer.

Nee, die creditcard wordt naar een ander adres gestuurd. En vanaf het moment dat de AitM zich met succes als jou heeft voorgedaan richting de bank, kan die bank jou en de AitM niet meer uit elkaar houden. Sterker, de AitM kan de suggestie wekken dat jij een nieuwe smartphone (met bank-app daarop) wilt gaan gebruiken, en dat jij de app op jouw "oude" smartphone wilt ontkoppelen.

Gevolg: alleen de AitM kan nog in jouw account - jij dus niet meer.

Jouw e-mailadres, en andere contactgegevens van jou, zijn dan allang -door de AitM- gewijzigd in diens contactgegevens.

Klik op de link (naar mijn sarcastische posting) in diezelfde pagina:
https://security.nl/posting/833863/Gemeenten+gezichtsscan#posting833884. Gezichtsscans zijn niet 100% betrouwbaar. En als jouw referentiebeeld al van een bedrieger is, schiet je er sowieso niks mee op.

Hopelijk was ik hierboven weer eens te negatief...

Reacties op andere postings geef ik ASAP.

Ik heb hier geen heel sterke argumenten tegen:

• Als je op straat iemand berooft weet je niet of het slachtoffer een identiteitsbewijs bij zich draagt, en vooral niet welk type (en ook niet hoe oud het is). Bij zo'n automaat kan een dief op een afstandje kijken of het om het document gaat dat zij of hij wil hebben.

• Uit de automaat komen waarschijnlijk de nieuwste types identiteitsbewijzen, ongetwijfeld met chip - die een dief aan diens smartphone kan koppelen (voor zoiets als DigiD en t.z.t. de European Digital Identity Wallet).

Als "het systeem" zou afdwingen dat je de zo'n paspoort aan slechts één smartphone tegelijkertijd gekoppeld kunt hebben, zou het een voordeel voor een dief kunnen betekenen als je het paspoort steelt voordat het ooit aan een smartphone is gekoppeld. Maar dat lijkt mij niet logisch: er moet ook een oplossing bestaan voor de situatie dat jouw smartphone gestolen wordt of defect raakt, en je er geen toegang meer tot hebt om de koppeling op dat toestel zelf op te heffen - zodat je een koppeling op een nieuw toestel kunt maken.

En sowieso kan een berover ook in de wachtruimte van een gemeentehuis een geschikt slachtoffer uitzoeken en die persoon volgen zodra deze met een nieuw paspoort naar buiten loopt - en vervolgens daar beroven. De kans dat zo'n dief7 door meer mensen wordt gezien is dan wel groter dan dat zij of hij om 03:00 iemand bij de automaat berooft.

Je hebt gelijk dat dit waarschijnlijk niet een groot nieuw risico betekent!

Erger dan een automatiek is dat itsme vrolijk allemaal gegevens met Google deelt:

De app: https://reports.exodus-privacy.eu.org/en/reports/be.bmid.itsme/latest/
De website: https://themarkup.org/blacklight?url=https%3A%2F%2Fwww.itsme-id.com%2Fen-NL&device=desktop&location=eu&force=false

Waar ze met geen woord over reppen in de privacy policy. (die je volgens hen accepteert door alleen al de website te bezoeken) Hebben ze in België geen toezichthouder of zo?

De automaat is, voor de paspoort-afhaler, een server die noodzakelijkerwijs door de afhaler zal moeten worden vertrouwd (zie ook -lang- https://infosec.exchange/@ErikvanStraten/113031344934186250 - een write-up die ik mogelijk binnenkort op deze site publiceer).

In hoeverre vormt de fysieke locatie van zo'n automaat een bewijs van diens authenticiteit (echtheid) en integriteit?

Aanvulling 12:39: {
Hoeveel zouden de risico's, in de eerste plaats voor burgers, worden verlaagd indien dat soort automaten uitsluitend binnen gemeentehuizen zouden worden geplaatst, én burgers er pro-actief + uitdrukkelijk voor zouden worden gewaarschuwd om nooit zo'n automaat buiten een gemeentehuis te vertrouwen? (Hoeveel weegt 24x7 op tegen het grotere risico?)
}

M.a.w. hoe moeilijk is het voor aanvallers om ergens een identiek lijkende automaat te plaatsen? Eentje die, als AitM - in combinatie met een oplichter die voor de echte automaat staat waar het paspoort uitrolt, te laten fungeren?

Oftewel, hoe sterk is de authenticatie (plaatsvindend zonder dat de meeste mensen zich dit, en het belang daarvan, realiseren) indien impersonatie (van de automaat) eenvoudiger is dan wordt gesuggereerd?

Ik kan het niet bewijzen, maar dat AitM's onmogelijk zouden zijn, geloof ik simpelweg niet. Het bewijst niks maar is wel een aanwijzing: in het scherm op de foto van de automaat zie ik een QR-code met een lage resolutie.

Nb. Ik probeer dit voor elke lezer begrijpelijk te maken.

"AitM" staat voor Attacker in the Middle (ook bekend als MitM, de eerste 'M' voor "Man").

In essentie wordt, bij een AitM-aanval, informatie tussen twee eindpunten ongeautoriseerd (zonder toestemming, met kwaadaardige bedoelingen) "ergens onderweg" afgeluisterd, en/of (deels) gewijzigd, en/of geheel vervangen of (deels) geblokkeerd.

Vaak vinden AitM-aanvallen plaats middels impersonatie, waarbij de aanvaller zich richting één van de, of zelfs beide, partijen voordoet als de andere partij:


Als partij 1 de paspoortafhaler is, dan is partij 2 in bovenstaand "plaatje" de uiteindelijk verantwoordelijke voor het authenticatiesysteem.

AitM aanvallen kunnen, in principe, overal tussen de feitelijke eindpunten plaatsvinden (op elk "thing" in "Internet of Things"), zelfs binnen het door één van de eindpunten gebruikte apparaat (zoals een smartphone of een PC):

(In mijn definitie is een IoT een apparaat met minstens één netwerkaansluiting (kan ook draadloos) en minstens één IP-adres. Nb. Ik ga niet reageren op commentaar hierop).

Men kan een AitM tussen twee of meer IoT's (uitgezonderd de eindpunten zelf!) in de praktijk onmogelijk maken, in elk geval door gebruik te maken van TLS (en dus ook https). Doch uitsluitend indien aan een aantal essentiële voorwaarden wordt voldaan, waaronder:

1) Betrouwbare server-authenticatie
De server (aan het einde van het kanaal) bewijst naar de client dat hij is wie hij claimt te zijn, meestal op basis van een door een derde partij uitgegeven servercertificaat, gecombineerd met het (elke sessie opnieuw) bewijzen van het bezit van een private key (passend bij de public key in het certificaat, en zonder die private key zelf ooit prijs te geven);

2) E2EE (End-to-End-Encryption)
Er komt een versleutelde verbinding tot stand vanuit de client richting de server en vice versa (dit sluit een AitM "onderweg" nog niet uit);

3) Bewijs van géén AitM "onderweg"
De client en de server genereren, vereenvoudigd, zeer grote random getallen die, aanvankelijk, alleen zij kunnen kennen. Vervolgens en wisselen zij deze (of afgeleiden daarvan) -asymmetrisch versleuteld- met elkaar uit en bewijzen daarmee aan elkaar dat zij die getallen hebben gegenereerd. Dit is nogal technisch, zie ietsje verderop voor een vereenvoudigde toelichting;

4) De client authenticeert
Nadat de (gebruiker van de) client zeker weet dat er een niet-afluisterbare én niet-wijzigbare verbinding met de bedoelde server bestaat, authenticeert de client ("logt in") waardoor de server weet dat de client is wie deze claimt te zijn.

Nb. de eerste twee stappen worden omgewisseld sinds TLS v1.3.

De kracht zit hem in stap 3. Ter vergelijking, indien telefoonnummers niet gespoofd (vervalst) zouden kunnen worden, zou je dit mechanisme kunnen vergelijken met dat beide bellers elkaars telefoonnummer in het scherm van hun telefoons zien, en dat elk van hen exact weet van wie het in hun telefoonscherm getoonde nummer "van de andere kant" is (en dat de verbinding, End-to-End, versleuteld zou zijn).

Stap 3 is in de praktijk onmogelijk zonder betrouwbare asymmetrische cryptografie, waarbij zulke grote getallen moeten worden uitgewisseld dat het "verkeer" nauwelijks of niet in een QR-code past, laat staan door mensen (foutloos) kan worden "overgetikt".

Denkbaar is wel dat de afhaler, met diens smartphone, een draadloze verbinding moet opzetten met een zend/ontvanger (radiogolven) in de automaat.

Maar dat leidt weer tot een nieuw probleem: hoe weet je zeker dat jouw smartphone met de bedoelde transceiver (zend/ontvanger) in de automaat communiceert?

Dat is in elk geval een risico als er nog niet opgeloste (of bij de leverancier nog onbekende bugs in "hun systeem" zitten), maar hoeft niet persé te betekenen dat een AitM-aanval op ItsMe dan mogelijk is. Immers, er kan een TLS-tunnel tussen de ItsMe app op jouw smartphone en de ItsMe-server zijn opgezet. Echter, alle interactie met het scherm van de automaat kan dan géén gebruikmaken van die tunnel.

Dus: welke informatie precies wordt er met de automaat zelf uitgewisseld als deze niet gehacked is, en, indien de automaat wél gecompromitteerd is, welke informatie zou er dan met de afhaler kunnen worden uitgewisseld zodanig dat die afhaler op het verkeerde been wordt gezet en/of waardedocumenten aan een bedrieger worden uitgegeven?

Los daarvan loop je sowieso risico's als je verbinding maakt met een potentieel ongetrouwbaar "access point" (denk o.a. aan kwetsbaarheden in de Bluetooth, NFC of WiFi chipset(s)/firmware in jouw smartphone, of pogingen van apps op jouw smartphone om via zo'n verbinding op onveilige wijze updates te downloaden).

In die pagina viel mij meteen het volgende op:
Dat laatste is op z'n minst suggestief onjuist. Niet alleen jij moet de pincode kennen, de app moet dat ook (*).

(*) Of een één-weg afgeleide daarvan, maar die is altijd te reversen - doordat een 5-cijferige code slechts 100.000 mogelijke cijfercombinaties kent(en wellicht minder, zie "De verboden reeksen van Satya Nadella" in https://security.nl/posting/853298).

Leugentjes om bestwil? Wat is er nog meer gewoon niet waar?

Exact! AitM "malware" (zoals AnyDesk) op jouw smartphone en niks helpt nog.

Dat bedoelde ik met goede inrichting en checks op cryptografisch niveau. Het onboarding proces van de ITSME app gaat op basis van een authenticatiecertificaat dat zich op het ID-bewijs van de gebruiker bevindt. Op grond hiervan zal er waarschijnlijk of een token (of een certificaat) worden uitgedeeld waarmee de app zich vervolgens bij de aangesloten servers kan identificeren (eventueel via een IdP). Dit token zal gesigned moeten zijn. De server kant zal zich identificeren met zijn certificaat naar de app toe, waarbij de app alleen certificaten van en eigen vertrouwde CA mag accepteren (elk ander certificaat bestempelt de server meteen als onbetrouwbaar). De app identificeert zich bij de server dmv het token, waarbij de server weer de signature moet verfiieren. Op die manier creeer je een tweezijdige authenticatie, waarbij alleen certificaten van een eigen verttrouwde CA worden geaccepteerd. Een MitM wordt dan toch wel lastig cq onmogelijk met de middelen die een gemiddelde (niet statelijke) actor tot zijn beschikking heeft (aangezien het nep-certificaat van de MitM server niet zal worden geaccepteerd door de app). Verder dicht te timmeren door niet een willekeurige URL van een server te vertrouwen maar enkel white-listed servers.

De zorg die dan overblijft is compromitatie van de client side waarbij de aanvaller zich als een legitieme app met legitieme gebruiker kan voordoen door bijvoorbeeld een legitiem token buit te maken en deze te gebruiken voor zijn doel. Dit staat of valt met de mechanismes hoe een token wordt uitgedeeld en opgeslagen. Verstrekking lijkt te gebeuren op basis van het certificaat op het ID-bewijs (en verlenging neem ik aan op basis van het huidige legitieme token). De opslag van het certificaat is dan nog een dingetje en zelfs als een TPM/secure enclave zou worden gebruikt voor versleuteling van het token, dan nog is het bij compromitatie van het device zelf (of het de gebruiker dwingen om zijn telefoon te ontgrendelen oid) niet 100% veilig te krijgen. De vraag is dan of dit een acceptabel risico is of niet.

Stap 3 uit mijn laatse reactie (https://security.nl/posting/855557) kan inderdaad ook worden geïmplementeerd gebruikmakend van TLS-ondersteuning voor clientcertificaten, en/of door de app server-certificate pinning te laten gebruiken.

Echter, álle protocollen die ongewenste AitM's nagenoeg onmogelijk maken, stuiten in de praktijk op het (wellicht onderschatte) probleem dat dan ook "legitieme" AitM's onmogelijk zijn. Denk aan alles dat TLS, met toestemming, "openbreekt" en waarvoor je een speciaal rootcertificaat moet installeren, zoals sommige virusscanners en "UTM" (Universal Threat Management) firewalls vereisen.

Ik heb echter geen idee hoe ItsMe dit aanpakt.

Die zorg klopt, maar is m.i. allesbehalve de enige die overblijft.

Naast wat ik al schreef (#1: interactie met het scherm van de automaat kan dan geen deel uitmaken van de veilige tunnel) zou het punt dat ik hierboven noemde (#2) een rol kunnen spelen.

Bovendien, naast een AitM op de client, kun je ook een BGP-hijack of DNS-record-hijack (richting server, #3) niet uitsluiten. Waarna, steeds vaker, onterecht (DV-) certificaten worden uitgegeven (diensten zoals ItsMe worden een steeds interessanter doelwit voor cybercriminelen naarmate er, via identiteitsfraude daarmee, meer te "verdienen" valt).

Beide soorten aanvallen zijn geen groot probleem (wel onbeschikbaarheid, geen identiteitsfraude) indien de ItsMe app van certificate pinning (of public key pinning) gebruikmaakt. Maar, zoals gezegd: ik heb geen idee of dat gebeurt.

Last but not least is een aanval met een fysieke nep-automaat (#4) denkbaar. Zelfs als er van een superveilige tunnel gebruik gemaakt wordt -waarbij de nep-automaat de buitenkant van de (TLS-) tunnel ziet, maakt de fysieke afgifte van het waardedocument géén onderdeel uit van die tunnel, en dus kan dat waardedocument in ontvangst worden genomen door een crimineel die voor de échte automaat staat.

In aanvulling op wat ik gisteren om 22:22 schreef (in https://security.nl/posting/855482):

De, zeg maar "Hit him with this $5 wrench"-aanpak (https://xkcd.com/538/), is waarschijnlijk een groter risico dan ik gisteravond kon bedenken (#).

Indien een berover (bijv. om 03:00) aanvalt op het moment dat het slachtoffer, staande vóór de automaat, diens smartphone heeft ontgrendeld én tegen ItsMe is geauthenticeerd, kon diens smartphone -in die toestand- wel eens veel waardevoller zijn voor een slimme berover (@) dan het document dat vervolgens, al dan niet, in de uitgiftelade valt.

(@): Diefstal van iPhone na afkijken van ontgrendelpincode: https://youtu.be/QUYODQB_2wQ (follow-up: https://youtu.be/tCfb9Wizq9Q). Apple heeft daar later "een oplossing" voor geïmplementeerd - die standaard uit staat, waardoor ik betwijfel of veel iPhone-eigenaren dit hebben aangezet. Daarbij, is dit wellicht vooral een maatregel om Apple tegen rechtszaakaanspanners te beschermen ("had je maar...")? Bovendien heb ik grote twijfels over de effectiviteit indien je de deze "bescherming" inschakelt. Waarbij ik het extra risico op lockout van je iPhone en iCloud ook niet goed kan inschatten.

Dat is een generieke probleem bij naar verluidt goed doordacht veilige systemen: de kunst is het (voor pentesters, alsmede blue-en red teamers) om aanvalsscenario's te bedenken die de ontwerpers, bouwers en plaatsers van dit soort automaten over het hoofd hebben gezien of nog steeds zien. In mijn ervaring zijn er altijd concessies gedaan in het voordeel van gebruiksvriendelijkheid, en is er altijd sprake van onderschatte en/of zelfs geheel onvoorziene risico's. Hoewel ik altijd veel beren op de weg zie :-) ben ik helaas niet zo inventief als veel (cyber-) criminelen.

In elk geval is het verstandig om tevens lastig volledig te inventariseren- en/of potentieel onderschatte- risico's, bij voorbaat, zoveel als mogelijk te mitigeren.

Daarom zou ik zo'n automaat altijd binnen zetten - in een nauwelijks te faken gebouw. En dat in een ruimte waar veel mensen komen, ambtenaren toezicht houden (of, onvoorspelbaar af en toe, houden - alleen dat kan al afschrikken), en waar je extreem opvalt met een hoodie plus mondkapje (en, bij voorkeur, meteen eruit geschopt wordt). En waar altijd voldoende licht is om camera's fatsoenlijke beelden te laten opnemen - ook als het buiten heel donker is, hard regent, mist, vogels de lens hebben volgescheten of iemand kans kan ziet om, zelf ongezien, een vuilniszak over de camera(s) te trekken (of deze op andere wijze onklaar te maken).

Zie bijvoorbeeld ook https://nos.nl/artikel/2530726-franse-glasvezelnetwerken-gesaboteerd; zelfs in "publieke ruimtes" bieden muren extra bescherming.

Sorry maar ik geloof niet dat het contact met een gemeenteambtenaar bij het afhalen van een paspoort zoveel zoden aan de dijk zet dat je daarom zo'n 24x7 automaat buiten niet zou moeten willen.

Inderdaad.

Ik had nog niet eens gedacht aan het op afstand hacken van zo'n automaat. Maar het grootste gevaar lijkt hier niet mogelijk vanaf de andere kant van de wereld hackbare ICT te zijn, maar aanvallen die fysieke aanwezigheid op locatie vereisen (hoewel dat wel weer in opdracht van, en gecoördineerd door, iemand aan de andere kant van de wereld zou kunnen plaatsvinden).

Zo'n DoS-aanval ligt inderdaad niet voor de hand, maar één crimineel kan mogelijk een hoop schade aanrichten.

Beslist niet, want er bestaat in Nederland, voor zover ik weet, geen publiek toegankelijk online register van ingetrokken paspoorten, rijbewijzen, ID-kaarten, verblijfsvergunningen en dergelijke. De KMAR en notarissen hebben wel toegang tot zo'n register, maar bijv. autoverhuurbedrijven -voor zover ik weet- niet.

Zodra de noodzaak bestaat om dit terug te draaien, zijn er (naast dat er waarschijnlijk onnodige slachtoffers van identiteitsfraude zijn), flinke investeringen gedaan en is er vermoedelijk al personeel van functie veranderd of ontslagen.

Verantwoordelijken zijn er berucht om dat zij niet houden van het toegeven van fouten, en indien onvermijdelijk, dat zo lang mogelijk uitstellen - om erbij te zeggen dat het "een leerproces was". Oftewel, ik heb m'n hersens niet gebruikt en/of ben door een vriendje met een ICT-bedrijf uitsluitend op de voordelen gewezen - bezuinigen en blije gadgetfreaks die 24x7 hun paspoort kunnen ophalen. Alsjeblieft, zeg.

Ik denk dat je een denkfout maakt en de app vergelijkt met een reguliere browser. Dat is niet het geval (mag ik hopen).

Ook legitieme AiTMs (reverse proxies) zijn eenvoudig te implementeren. De proxy doet zich voor als de applicatie en maakt een HTTPS connectie naar de achterliggende applicatie. Allebei gebruik makend van tweezijdige authenticatie met certificaten van een eigen CA, geen publieke CA!

De app moet niet, zoals bij een browser, een rits aan publieke CA's vertrouwen. Op het moment dat je dat doet is het einde zoek en zijn MitM's eenvoudig mogelijk.

Forward proxies, waarbij de proxy on the fly een certificaat genereert zijn niet mogelijk als je het device dat de connectie maakt niet onder controle hebt, maar dat speelt hier niet.

Nee dat weet ik ook niet en lees ik niet op de website. Ik heb echter geen tijd om hier onderzoek naar te doen.

Nee, dat doe ik niet.

Maar als er ergens tussen die app en de server een "legitieme" TLS-MitM zit, dan weet die MitM niet of de verbinding naar een server met TCP port 443 afkomstig is van een browser of een andere app.

Onder Android kan dat zelfs lokaal; een "VPN-achtige" app is gewoon een soort proxy, en die kun je (in elk geval in theorie) TLS laten "openbreken" (splitten in twee verbindingen).

Tap tap tap... kennelijk bestaat zoiets ook echt: https://medium.com/@williamxyz/monitoring-network-on-android-with-mitmproxy-bfb8722191ee - met tevens een verwijzing naar "Charles Proxy".

Je zou, uit veiligheidsoverwegingen, ook een VPN naar "thuis" kunnen hebben en daar iets als mitmproxy kunnen draaien. Ik heb ooit gelezen dat er hotels zouden zijn die je verplichten om een rootcert te installeren als je hun WiFi wilt gebruiken (tip aan iedereen: NOOIT doen).

Of er (in Europa) mobiele providers zijn die dit verplichten, weet ik niet.

Ik ook niet :-)

Het concept op zich heb ik niet veel tegen. Deze specifieke implementatie kunnen we grotendeels alleen over speculeren (al zie ik op de foto dat deze automaat op straat staat en dat lijkt me een flinke no-no). Hieronder ga ik op een aantal zaken in die deels besproken worden

Alles valt en staat met de fysieke beveiliging. Zo'n automaat moet niet buiten staan, maar binnen op beheerde locaties. Alle locaties moeten publiek bekend zijn. Hiermee los je een boel mogelijke bezwaren op. Plofkraken, 'skimming' (bijv. een vals scherm) of lezer, de 5$ wrench methode. Zo'n ding hoeft niet 24 uur per dag bruikbaar te zijn.

Hoe regel je de authenticatie? Ik zou toch zeggen, biometrisch. Maar niet met een database in die automaat die de biometrische gegevens bevat. De biometrische gegevens waarmee vergeleken wordt wordt moeten deel zijn van het op te halen document. In veel gevallen (id-bewijs, paspoort) is dat al zo. Andere documenten zou je ook zo'n chip onderdeel van het af te halen pakket kunnen maken. Dit biedt voordelen. Je kan de chip na authenticatie maar voor uitgifte wissen. En de automaat geeft nooit per ongeluk het verkeerde document mee omdat die in het verkeerde hokje gestopt is.

Kent biometrische identificatie false positives en negatives? Zeker. Meer dan het alternatief - een mens? Volgens mij is de technologie wel op het punt dat een computer beter is in zelfs gezichtsherkenning dan mensen.

Het is een bijzonder gegeven dat de mens zoveel hogere eisen stelt aan technologie dan aan andere mensen. Als je een mens vervangt voor een machine die 10x zo weinig fouten maakt, zijn de fouten die nog wel voorkomen ineens minder acceptabel geworden.

Dit is een niet-kloppende vergelijking. Het gaat niet om "technisch apparaat" versus "mens", maar om "behandeling van een mens door een technisch apparaat" versus "ontmoeting tussen een mens en een mens".

Het gaat niet om de twee "actoren" op zichzelf, maar om de situatie, de gebeurtenis en de verdere maatschappelijke context waarin die twee actoren met elkaar interacteren. Een ontmoeting van twee levende mensen geeft enorm veel mogelijkheden om authenticiteit te checken.

Het afhalen van een administratief document, bijvoorbeeld een paspoort, is altijd ook meer dan alleen de overdracht van een fysiek object. Het heeft altijd ook een maatschappelijke betekenis.

Vergelijk dit met stemlokalen waar mensen achter een tafel zitten en de stemmers aanspreken. Als daar alleen een rij automaten stond opgesteld, zou "stemmen" een heel ander soort procedure worden, met een andere betekenis. Alsof je dan een nieuw blik politici uit de automaat trok.

Vergelijk het ook eens met supermarkten die menselijke kassamedewerkers vervangen door automaten. Pogingen tot diefstal nemen dan toe, tenzij er allerlei surveillance-maatregelen worden genomen, inclusief ook nog eens de inzet van extra menselijke bewakers, die dan "service-medewerkers" worden genoemd. De verhouding tussen de winkel en de klanten verandert dan van een gelijkwaardige in een verhouding tussen een controleur en een verdachte.

Een technisch apparaat kan alleen bepaalde, beperkte aspecten van een transactie tussen twee mensen vervangen. Doen alsof het technische apparaat alles vervangt, is misleidend. Het verdwijnen van bepaalde voordelen of verworvenheden wordt dan geëxternaliseerd en daarmee genegeerd en ontkend. Dat leverte menselijke en maatschappelijke schade op.

Aalter en Vlaanderen experimenteren met verdere technocratisering en dehumanisering. Dat het pilotproject "positief is geëvalueerd", zegt niet zoveel. Een heleboel effecten, met name ook op de langere termijn, zullen niet mee-geëvalueerd zijn. Kortzichtigheid en opportunisme vieren hoogtij.

M.J.

Ik ben het in grote lijnen eens met M.J., maar ik mis een belangrijk punt: als het foutgaat, wie is er dan verantwoordelijk?

We leven in een steeds grotere afschuifcultuur (van verantwoordelijkheden). Als bedrijf Y (*) een bedrijf Z inhuurt voor bepaalde taken, en Z wordt gehacked, roept Y om het hardst dat zij daar "natuurlijk" niets aan kunnen doen. BS: Y heeft Z als leverancier gekozen. Als ik mij niet vergis is Y dan primair verantwoordelijk. Vergelijkbaar met dat als je een in een fabriek gemaakt product in een winkel koopt, de winkelier de garantie moet afhandelen; je bent immers een koopovereenkomst met de winkelier aangegaan.

(*) Absurd dat een malloot de letter 'X' kan confisceren.

Is de "eigenaar" van een autonoom apparaat verantwoordelijk als jouw nieuwe paspoort uit die kast gestolen wordt? Wat als dat apparaat gehuurd/geleased wordt? Hoe zit het met de persoon die stelde dat zo'n kast prima buiten kan staan? Van welke partijen zijn de risico's afgewogen, met welk gewicht en door wie?

Ik zie hetzelfde als het gaat om bijvoorbeeld zelfrijdende auto’s. Ik vind de verklaring van Erik (die ik zelf meer zie als: mensen willen met de vinger kunnen wijzen”) waarschijnlijker.