Nieuws
image

Europol: biometrische beveiliging te omzeilen en misbruiken door criminelen

dinsdag 8 april 2025, 12:01 door Redactie, 16 reacties

Criminelen kunnen biometrische beveiliging omzeilen om hier vervolgens misbruik van te maken en het is belangrijk dat opsporingsdiensten dit weten, zo stelt Europol in een nieuw rapport. "Door te herkennen hoe criminelen kwetsbaarheden kunnen misbruiken, kunnen autoriteiten de toename van misdrijven gefaciliteerd door biometrische presentatie-aanvallen beter tegengaan", aldus het rapport. Bij dit soort aanvallen presenteren aanvallers biometrische informatie aan een systeem om het zo te misleiden.

Het rapport beschrijft verschillende methodes waarop biometrische beveiligingssystemen zijn te omzeilen, zoals het namaken van vingerafdrukken, het gebruik van geprinte foto's van gezichten of afspelen van eerder opgenomen beelden, het dragen van 3d-maskers, face morphing-aanvallen voor paspoortfoto's, het aanbrengen van make-up om detectie te voorkomen en deep fakes.

Europol stelt in het rapport dat het belangrijk is voor opsporingsdiensten om deel te nemen aan initiatieven voor de ontwikkeling van biometrische technologieën, standaardisatie en het delen van informatie. "Door actief bij dergelijke initiatieven betrokken te zijn, kunnen opsporingsfunctionarissen bijdragen aan de ontwikkeling van robuuste frameworks en richtlijnen voor biometrische herkenningssystemen." Door bekend te zijn met de aanvallen die criminelen toepassen kan deze informatie weer worden gebruikt voor het verbeteren van systemen, gaat het rapport verder.

"Het is essentieel om met deze kwetsbaarheden bekend te zijn en de ontwikkeling van nieuwe methodes om ze te misleiden of omzeilen door criminelen te anticiperen", laat Europol weten. "Met deze kennis zijn opsporingsdiensten in een betere positie om hun onderzoeken uit te voeren en mogelijke gevallen van biometrische presentatie-aanvallen te identificeren en beoordelen."

Reacties (16)
Reageer met quote
08-04-2025, 12:17 door Anoniem
Misschien iets anders dan biometrie?
Reageer met quote
08-04-2025, 12:19 door Anoniem
GrapheneOS heeft de optie voor second-factor pin, dan moet je naast de vingerafdruk ook een pincode invoeren.
Reageer met quote
08-04-2025, 12:31 door Anoniem
Fijn joh dat al die info ergens in een database staan en dan ook nog bij een partij die er om bekend staan dat hun IT afdeling het wel eens af laat weten. Nee, ik slaap echt gerust dankzij deze berichten.
Reageer met quote
08-04-2025, 12:43 door Anoniem
Oh wacht....is dit bericht van Europol een opmaat naar een verplichte afgifte van ons DNA?
Is maar een vraagje hoor!
Reageer met quote
08-04-2025, 12:50 door Anoniem
Biometrische beveiliging. Zoals de foto en de vingerafdrukken op je ID kaart? Waarmee je ook bankzaken kan regelen zonder naar een kantoor van de bank te hoeven gaan? En om omzeilen te voorkomen moeten er meer biometrische initiatieven komen?

Stop met biometrie, tenminste als het niet een fysieke controle van een ID kaart met echtheidskenmerken betreft. Biometrie hoort niet op het internet thuis. Vooral niet met de opkomst van generatieve AI.
Reageer met quote
08-04-2025, 13:06 door Anoniem
Goh. Wie had dat gedacht. Biometrie-beveiliging die omzeild kan worden.
Met als lichtende voorbeelden: Hollywood en science fiction schrijvers.


Maar ... (Den Haag letten jullie eventjes goed op!), dan hebben veiligheidsdiensten zoals Interpol en Europol geen achterdeurtjes meer nodig om toegang tot encrypted data en communicatie te krijgen.
Ze kunnen ook gewoon de biometrie-beveiliging omzeilen.
Net zoals criminelen dat doen.


Dan zijn we meteen van die achterdeur-wens / encryptieverzwakking-wens af.
Die is dan overbodig geworden.

/s
Reageer met quote
08-04-2025, 13:11 door Named
Het rapport beschrijft verschillende methodes waarop biometrische beveiligingssystemen zijn te omzeilen, zoals het namaken van vingerafdrukken, het gebruik van geprinte foto's van gezichten of afspelen van eerder opgenomen beelden, het dragen van 3d-maskers, face morphing-aanvallen voor paspoortfoto's, het aanbrengen van make-up om detectie te voorkomen en deep fakes.
Ik heb dit eerder een keer genoemd dat biometrie onveilig is en kreeg toen de volgende reactie:
"Nee, dat zijn onrealistische aanvallen die niet in de praktijk werken. Jij kijkt gewoon te veel films!"
Fijn dat Europol mij nu gelijk geeft!
Reageer met quote
08-04-2025, 14:02 door Anoniem
Ik lees die methodes en denk meteen: dat werkt niet bij de huidige technieken.

Ik denk dan aan authenticatie via biometrie en dan zorgen die methodes er alleen maar voor dat de authenticatie mislukt.

Maar Europl denkt aan andere dingen. Namelijk massasurveillance. Jouw gezicht herkennen zodat ze weten dat je ergens rond loop. En dan werken die methodes natuurlijk wel om te voorkomen dat ze je gezicht herkennen.
Reageer met quote
08-04-2025, 15:45 door Anoniem
Door Named:
Het rapport beschrijft verschillende methodes waarop biometrische beveiligingssystemen zijn te omzeilen, zoals het namaken van vingerafdrukken, het gebruik van geprinte foto's van gezichten of afspelen van eerder opgenomen beelden, het dragen van 3d-maskers, face morphing-aanvallen voor paspoortfoto's, het aanbrengen van make-up om detectie te voorkomen en deep fakes.
Ik heb dit eerder een keer genoemd dat biometrie onveilig is en kreeg toen de volgende reactie:
"Nee, dat zijn onrealistische aanvallen die niet in de praktijk werken. Jij kijkt gewoon te veel films!"
Fijn dat Europol mij nu gelijk geeft!
Correct.

"Het is echter niet altijd nodig om om inbreuk te maken op de lichamelijke integriteit van de verdachte, schrijven de onderzoekers: "Wanneer vingerafdrukken van een verdachte zijn vastgelegd in een database van de politie, kunnen die in een mal worden geëtst, waarmee de vinger van de verdachte wordt nagebootst. In geval van beveiliging met een gezichts- of irisscan is het denkbaar dat de smartphone het desbetreffende gezicht herkent wanneer de smartphone ervoor wordt gehouden." Verdere technische details over deze methode worden niet gegeven."

Bron:
https://www.security.nl/posting/866837/%27Politie+gebruikt+vaak+dwang+om+biometrisch+beveiligde+telefoon+te+ontgrendelen%27
Reageer met quote
08-04-2025, 15:55 door Anoniem
Door Named:
Het rapport beschrijft verschillende methodes waarop biometrische beveiligingssystemen zijn te omzeilen, zoals het namaken van vingerafdrukken, het gebruik van geprinte foto's van gezichten of afspelen van eerder opgenomen beelden, het dragen van 3d-maskers, face morphing-aanvallen voor paspoortfoto's, het aanbrengen van make-up om detectie te voorkomen en deep fakes.
Ik heb dit eerder een keer genoemd dat biometrie onveilig is en kreeg toen de volgende reactie:
"Nee, dat zijn onrealistische aanvallen die niet in de praktijk werken. Jij kijkt gewoon te veel films!"
Fijn dat Europol mij nu gelijk geeft!

Of Europol heeft nu eindelijk ook die films een keer bekeken.
Het kost wat tijd, maar dan heb je ook wat.
LMAO
Reageer met quote
08-04-2025, 18:36 door Anoniem
Door Named:
Het rapport beschrijft verschillende methodes waarop biometrische beveiligingssystemen zijn te omzeilen, zoals het namaken van vingerafdrukken, het gebruik van geprinte foto's van gezichten of afspelen van eerder opgenomen beelden, het dragen van 3d-maskers, face morphing-aanvallen voor paspoortfoto's, het aanbrengen van make-up om detectie te voorkomen en deep fakes.
Ik heb dit eerder een keer genoemd dat biometrie onveilig is en kreeg toen de volgende reactie:
"Nee, dat zijn onrealistische aanvallen die niet in de praktijk werken. Jij kijkt gewoon te veel films!"
Fijn dat Europol mij nu gelijk geeft!

Je hebt zeker alleen de titel gelezen ?

Quote uit dat rapport

It should be understood that most of the vulnerabilities reported in
academia are still at the laboratory testing stage. The possibility of
the attacks detailed in this report, therefore, should not be taken to
mean that the systems are weak, but rather should be seen in the
light of a continued effort to pre-empt the possible exploitation of
such weaknesses and to raise awareness so that any attempts to
exploit them will be caught early on

Sommige potentiele zwakheden zijn al in de analoge tijd (poeder en inkt) bekend, voor echt voldoende gemotiveerde mensen
The
destruction and alteration of fingerprints can occur in various ways
such as cutting, rubbing or stitching the finger, using acids, or even
through fingerprint transplantations. In some cases, it is difficult to
assess whether fingerprint alterations are intentional or accidental,
as working conditions and accidents often alter fingertips.

(foto van handen met getransplanteerde vingerafdrukken erbij .)

Zoals ongeveer altijd - niks is helemaal perfect , en als het nut/waarde heeft ontstaat er een wapenwedloop tussen aanval en verdediging.

Het rapport ziet er eruit als een vrij nette collectie van 'risico's om bekend mee te zijn' qua mogelijke zwakheden/beperkingen van allerlei soorten biometrie systemen.
Nuttig voor wie al te graag wil geloven dat er helemaal NUL problemen meer resteren zijn als je maar iets biometrisch doet .

Maar het is totaal geen kapstok voor "biometrie is totaal zinloos/kansloos/onveilig/wordt overal omzeild" , als je dat als mening wilt geven.
Reageer met quote
08-04-2025, 19:13 door Anoniem
Door Anoniem:
Door Named:
Het rapport beschrijft verschillende methodes waarop biometrische beveiligingssystemen zijn te omzeilen, zoals het namaken van vingerafdrukken, het gebruik van geprinte foto's van gezichten of afspelen van eerder opgenomen beelden, het dragen van 3d-maskers, face morphing-aanvallen voor paspoortfoto's, het aanbrengen van make-up om detectie te voorkomen en deep fakes.
Ik heb dit eerder een keer genoemd dat biometrie onveilig is en kreeg toen de volgende reactie:
"Nee, dat zijn onrealistische aanvallen die niet in de praktijk werken. Jij kijkt gewoon te veel films!"
Fijn dat Europol mij nu gelijk geeft!
Correct.

"Het is echter niet altijd nodig om om inbreuk te maken op de lichamelijke integriteit van de verdachte, schrijven de onderzoekers: "Wanneer vingerafdrukken van een verdachte zijn vastgelegd in een database van de politie, kunnen die in een mal worden geëtst, waarmee de vinger van de verdachte wordt nagebootst. In geval van beveiliging met een gezichts- of irisscan is het denkbaar dat de smartphone het desbetreffende gezicht herkent wanneer de smartphone ervoor wordt gehouden." Verdere technische details over deze methode worden niet gegeven."

Bron:
https://www.security.nl/posting/866837/%27Politie+gebruikt+vaak+dwang+om+biometrisch+beveiligde+telefoon+te+ontgrendelen%27
Of je neemt gewoon een vingerafdruk van een glas...
Jaren geleden al gedaan door de ccc en door mythbusters ....
Reageer met quote
09-04-2025, 13:32 door Anoniem
Door Anoniem: Fijn joh dat al die info ergens in een database staan en dan ook nog bij een partij die er om bekend staan dat hun IT afdeling het wel eens af laat weten. Nee, ik slaap echt gerust dankzij deze berichten.

Help mij even.

Welke database?
Welke partij die er om bekend staat?
Reageer met quote
09-04-2025, 14:56 door Anoniem
Masterprints? Al in 2018 een ding (https://engineering.nyu.edu/news/machine-learning-masters-fingerprint-fool-biometric-systems): Zat onderzoeken over te vinden. Een paar generieke prints die zo alle biometrie kunnen foppen. Wil je veiligheid dan is biometrie niet het antwoord.
Reageer met quote
09-04-2025, 18:57 door Anoniem
Als biometrie niet makkelijk te misbruiken valt door criminelen, dan zouden ze er niet eens aan beginnen.
Net zoals hackers een andere occupatie zouden vinden als het niet zo laagdrempelig was voor ze om er genoeg succes uit te halen. Ook voor criminelen geldt: kosten/baten analyse.
Reageer met quote
10-04-2025, 16:40 door Anoniem
artificial fingerprint attacks

"Authenticatie op basis van vingerafdrukken is nog steeds een sterke manier om een apparaat of systeem te beschermen, maar op dit moment verifiëren de meeste systemen niet of een vingerafdruk of andere biometrische gegevens afkomstig zijn van een echt persoon of een replica,” aldus Philip Bontrager. "Deze experimenten tonen de noodzaak aan van multi-factor authenticatie en zouden fabrikanten van apparaten wakker moeten schudden over de mogelijkheid van kunstmatige vingerafdrukaanvallen."

https://engineering.nyu.edu/news/machine-learning-masters-fingerprint-fool-biometric-systems

DeepMasterPrints: Generating MasterPrints for Dictionary Attacks via Latent Variable Evolution. Philip Bontrager, Aditi Roy, Julian Togelius, et al. 2018 IEEE 9th International Conference on Biometrics Theory, Applications and Systems
https://arxiv.org/pdf/1705.07386
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure