De vingertruc met de rode verf (afb : CCC)

Met een tv en rode waterverf kun je je vrij simpel voor een ander uitgeven. Videoidentificering, die moet bewijzen dat de persoon is wie die is in contact met dienstaanbieders op internet blijkt allesbehalve waterdicht, zo heeft onderzoek van de ComputerChaosClub aangetoond. CCC beveelt aan die methode niet meer te gebruiken voor de bescherming van gevoelige informatie zoals patiëntendossiers.
Om digitaal aan te tonen dat je bent wie je voorgeeft te zijn, zijn in de loop der tijden allerlei beveiligingsprocedures ontwikkeld, die de neiging hebben steeds ingewikkelder te worden. Aan de andere kant moeten die procedures het ook niet problematisch maken om allerlei transacties via het web af te handelen. Zo is er een procedure bedacht om je via een beeldverbinding te identificeren (videoidentificering), maar Martin Tschirsich en collega’s van CCC hebben aangetoond dat deze vorm van beveiliging ernstige kwetsbaarheden bevat.
Ze kregen het voor elkaar zich bij verschillende aanbieders met een valse identiteit aan te melden en bemachtigden het patiëntendossier van een proefpersoon (die uiteraard van de proef op de hoogte was) via die kwetsbaarheden in de videoidentificering. Op grond van dat CCC-onderzoek heeft Gematik, het digitale portaal voor de Duitse gezondheidszorg, toegang via Video-Ident geblokkeerd. Zorgverzekeringsmaatschappijen zouden dat ook moet doen, is het advies.
Om valse persoonsbewijzen te achterhalen wordt de klant/patiënt gevraagd de id-kaart onder verschillende hoeken voor de camera te houden en/of een deel van de kaart met de vinger(s) af te dekken. Het systeem controleert, onder meer, het hologram op de id-kaart.

De onderzoekers fotografeerden eerst een authentiek persoonsbewijs onder verschillende hoeken. Vervolgens vervalsten ze het document door de naam, het adres en/of de foto te vervangen. Dat vervalste bewijs werd gebruikt om zich te identificeren. De aanvaller filmt simpelweg een in de handel verkrijgbare televisie, waarop de gemanipuleerde video wordt afgespeeld. Door de beperkte beeldkwaliteit van de mobiele telefooncamera’s konden de medewerkers van de video-identificatiedienst niet zien dat de aanvaller niet direct voor de mobiele telefoon of computer zat.
De truc met de vinger op de kaart bleek ook op te lossen door die eerst rood te kleuren zodat de computer die makkelijker kon onderscheiden en later de normale kleur terug te geven.

Ook leken

Waar misbruik van sommige kwetsbaarheden nogal wat technische en andere vaardigheden vragen, zouden deze ook door mindere vaardige aanvallers misbruikt kunnen worden, denken de CCC-onderzoekers. De voor videotechnieken benodigde manipulatiemiddelen zijn inmiddels bijna overal voor iedereen beschikbaar.
De CCC-ers hebben hun methode toegepast bij zes aanbieders. Die accepteerden de vervalste persoonsbewijzen, terwijl in een geval ook gegevens van andere klanten beschikbaar kwamen via dat vervalste bewijs.
Om te bewijzen hoe lek dit systeem was vroegen de onderzoekers aan de aanbieders ook het opgeslagen beeldmateriaal op van het videoidentificatieprocédé. Daarin namen ze onvolkomenheden waar, maar die waren door de ‘andere kant’ niet gezien. Ook zou die andere kant niet gecontroleerd hebben of de echtheidskenmerken in het hologram overeenkwamen met de andere informatie op het persoonsbewijs. Ik vraag me hier af als dat wel gebeurd zou zijn hoe succesrijk de CCC-onderzoekers dan zouden zijn geweest.

Eindconclusie van CCC: videoidentificering is een totale mislukking. Die methode zou dan ook iet gebruikt mogen worden voor toepassingen waarvan misbruik kan leiden tot onherstelbare schade. De onderzoekers stellen ook dat kunstmatige intelligentie niet zal helpen om deze beveiligingswijze te verbeteren. Ze vinden dat ontwerpers van dit soort systemen moeten bewijzen dat hun systemen veilig zijn en niet, zoals nu, zonder degelijke toetsing in het diepe gegooid worden.

Bron: der Spiegel