identifiering av personer med ledning av deras fingeravtryck och med användning av datorprogram. Fingeravtrycksigenkänning förutsätter att personernas fingeravtryck först har registrerats under kontrollerade omständigheter, så att man vet att rätt identitet har kopplats till varje fingeravtryck. De enklaste verktygen för fingeravtrycksigenkänning är lätta att lura, till exempel med kopior på papper av fingeravtryck, och därför används helst redskap med högre säkerhet:
– För att bedragare inte ska kunna använda en bild av ett fingeravtryck används teknik som känner av fingeravtryckets åsar och dalar;
– För att bedragare inte ska kunna använda avskurna fingrar används en funktion som känner av pulsen;
– För att bedragare inte ska komma över filer med lagrade fingeravtryck lagras fingeravtrycken ofta inte i en central databas, utan bara på ett passerkort eller en smart mobil som innehas av fingeravtryckets ägare. Fingeravtrycksläsaren jämför personens fingeravtryck med fingeravtrycket på kortet eller telefonen;
– Dessutom lagrar man helst inte en avbild av hela fingeravtrycket, utan ett urval mindre punkter. Det gör det omöjligt att med användning av den lagrade informationen tillverka en falsk fingertopp för att trä över ett finger.
– En utförlig artikel från 2002 om fingeravtryck och fingeravtrycksigenkänning av Marcus Henriksson finns på denna länk. – På engelska: fingerprint recognition. – Se också igenkänning.
ett system för inloggning utan lösenord. – FIDO2 lanserades i april 2018 av FIDO Alliance i samarbete med webbens ledningsorgan W3C. – FIDO2 använder en kombination av FIDO Alliances Client to authenticator protocol (CTAP – se länk) och W3C:s WebAuthn(länk). Det bygger till stor del på FIDO Alliances U2F. – FIDO2 förutsätter att användaren först – en enda gång – autentiserar sig med användarnamn och lösenord. När FIDO2 sedan har aktiverats räcker det i fortsättningen med PIN, fingeravtryck, ansiktsigenkänning eller en säkerhetsnyckel som YubiKey. Inga användbara lösenord skickas över nätet. – FIDO2 har stöd av många ledande it- och säkerhetsföretag – se under inloggningsnyckel. – Se FIDO Alliances webbsidor.
Efter. Hänglåset i adressraden visar att SSL / TLS används. Men namnet på webbplatsens innehavare visas inte längre.Före. Här fick besökaren grönt på vitt på att det var DigiCert som var innehavare av DigiCerts webbplats.
Extended validation certificate, EV certificate – på webben: en oftast borttagen funktion som visade namnet på innehavaren av en säker webbplats i webbläsarens adressfönster, intill en liten bild av ett hänglås. – Med ”säker webbplats” menas här en webbplat som skyddar kommunikationen mellan webbservern och webbläsaren genom kryptering med SSL / TLS. EV‑certifikatet, som utfärdas av en certifikatutfärdare, ingår sedan 2007 i SSL / TLS, men under 2019 har de flesta webbläsare slutat att använda funktionen. Det anses att bilden av hänglåset räcker för att visa att SSL / TLS används: den som vill veta mer om webbplatsen kan klicka på hänglåsikonen så visas information om webbplatsen. Hanteringen av EV‑certifikat krånglar dessutom till kommunikationen. Chrome, Firefox och Safari har i de senaste versionerna av respektive webbläsare slutat att använda EV‑certifikat eller kommer snart att sluta göra det (augusti 2019). Webbläsare för mobiltelefoner har aldrig använt EV‑certifikat.
(CISA) – en amerikansk federal myndighet med ansvar för USA:s it‑säkerhet. – CISA bildades i november 2018 genom sammanslagning av bland annat US‑CERT och ICS‑CERT (som ansvarade för industriell it‑säkerhet. CISA ingår i Department of homeland security, DHS (dhs.gov).
Amazon Rekognition – ett system för ansiktsigenkänning från Amazon, uppmärksammat för att det förväxlar politiker med brottslingar. – Rekognition presenterades 2017. Systemet har använts av amerikansk polis för att spana efter efterlysta brottslingar i folkmassor, men i juli 2019 visade medborgarrättsorganisationen ACLU(aclu.org) att Rekognition pekade ut 26 av 120 delstatspolitiker från Kalifornen som brottslingar. Rekognition hade jämfört foton av de 120 politikerna med foton av häktade brottslingar. Ett liknande experiment gjordes 2018 med foton av federala kongressledamöter (länk). – En av de utpekade politikerna, Phil Ting(länk) från San Francisco, har lagt fram ett lagförslag i Kalifornien om att förbjuda polisen att använda ansiktsigenkänning. – Pressmeddelande från ACLU: länk. – Amazons webbsidor om Rekognition – länk.
en databas med biometriska data tillhörande det sydkoreanska företaget Suprema(supremainc.com). – Suprema hanterar biometriska uppgifter åt många kunder i hela världen. I augusti 2019 avslöjades att stora mängder data från Biostar 2 hade läckt. Uppgifterna – fingeravtryck och data för ansiktsigenkänning gällande över en miljon människor – hade lagrats okrypterade i en databas av typ Elasticsearch. Informationen används av många företag för inpasseringskontroll och identifiering. Bristen på kryptering innebär att angripare kan ta bort, lägga till, kopiera och ändra uppgifter. – Intrånget, som avslöjades av de israeliska forskarna Noam Rotem och Ran Locar (se denna rapport), publicerades först i den brittiska tidningen The Guardian(länk).
”krälbar” – om sårbarheter: som ger skadeprogram möjlighet att sprida sig från dator till dator. Om en dator med en sådan sårbarhet infekteras av ett skadeprogram kan skadeprogrammet automatiskt sprida sig till andra datorer med samma sårbarhet. – Ordet wormable har använts i den betydelsen sedan åtminstone 2017. Det har inte direkt att göra med den typ av skadeprogram som kallas för maskar(worms).
användning av enkortsdator, skickad i paket, för attack mot företagsnätverk. – Enkortsdatorn, som här kallas för warship, har wi‑fi och batteri och kan kommunicera med angriparen genom mobilnätet. Målet för angriparen är att, med hjälp av den fjärrstyrda enkortsdatorn, knäcka lösenord till den angripna organisationens trådlösa nätverk. Poängen med metoden är att paket vanligtvis tas in i företagets lokaler utan kontroll, och de kan bli liggande oöppnade i flera dagar. Innan innehållet upptäcks kan angriparen arbeta ostört. – Warshipping är en term som myntats av säkerhetsforskare på IBM. De demonstrerade warshipping 2019 – se mediacenter.ibm.com…. Det är okänt om metoden har använts i praktiken.
tactics, techniques and procedures – i it-säkerhet: en angripares tillvägagångssätt. – Tactics – taktik – är en beskrivning i breda termer av hur angreppet genomförs. Techniques – teknik, metoder – är en mer detaljerad beskrivning av de program som används och andra verktyg. Procedures – procedurer – är en ingående beskrivning av hur angreppet genomförs steg för steg.
