Τον Μάιο, η Microsoft άρχισε να ρυθμίζει νέους λογαριασμούς ώστε να μην χρειάζονται κωδικό πρόσβασης από προεπιλογή . Αντί για κωδικούς πρόσβασης, η εταιρεία ώθησε τους χρήστες σε επιλογές όπως κλειδιά πρόσβασης και το Windows Hello.
Τώρα, οι Γερμανοί ερευνητές Tillmann Osswald και Dr. Baptiste David αποκάλυψαν στο φετινό συνέδριο Black Hat στο Λας Βέγκας πώς μπορεί να παραβιαστεί η επιχειρηματική έκδοση των Windows Hello.
Κατά τη διάρκεια της ζωντανής επίδειξής τους, ο Όσβαλντ και ο Ντέιβιντ έδειξαν πόσο κακό είναι. Αφού ο Ντέιβιντ συνδέθηκε στο μηχάνημά του χρησιμοποιώντας το δικό του πρόσωπο, ο Όσβαλντ, ενεργώντας ως ο εισβολέας με τοπική πρόσβαση διαχειριστή, απλώς εκτέλεσε μερικές γραμμές κώδικα. Στη συνέχεια, εισήγαγε τη δική του σάρωση προσώπου, που καταγράφηκε σε διαφορετικό υπολογιστή, στη βιομετρική βάση δεδομένων του μηχανήματος-στόχου. Δευτερόλεπτα αργότερα, έσκυψε και ο υπολογιστής δεν πρόβαλε αντίσταση και ξεκλείδωσε αμέσως για αυτόν, αποδεχόμενος το πρόσωπό του σαν να ήταν του Ντέιβιντ εξαρχής.
Για να κατανοήσετε πώς λειτουργεί αυτό, πρέπει να εξετάσετε τα εσωτερικά. Ο τρόπος με τον οποίο λειτουργεί το Windows Hello σε ένα επιχειρηματικό περιβάλλον είναι ότι κατά την αρχική παροχή, δημιουργείται ένα ζεύγος δημόσιου/ιδιωτικού κλειδιού. Αυτό το δημόσιο κλειδί καταχωρείται στη συνέχεια στον πάροχο αναγνωριστικού του οργανισμού, όπως το Entra ID.
Ωστόσο, τα ίδια τα βιομετρικά δεδομένα αποθηκεύονται σε μια βάση δεδομένων που διαχειρίζεται η Βιομετρική Υπηρεσία των Windows (WBS) και αυτή η βάση δεδομένων είναι κρυπτογραφημένη. Στη συνέχεια, μετά τον έλεγχο ταυτότητας, το σύστημα αντιστοιχίζει τη ζωντανή σάρωση με το αποθηκευμένο πρότυπο.
Το πρόβλημα είναι ότι σε ορισμένες εφαρμογές, η κρυπτογράφηση που προστατεύει αυτήν τη βάση δεδομένων δεν μπορεί να σταματήσει έναν εισβολέα που έχει ήδη αποκτήσει τοπικά δικαιώματα διαχειριστή, επιτρέποντάς του να αποκρυπτογραφήσει τα βιομετρικά δεδομένα.
Εισέλθετε στην Ενισχυμένη Ασφάλεια Σύνδεσης (ESS) , την απάντηση της Microsoft στο πρόβλημα που λειτουργεί απομονώνοντας ολόκληρη τη διαδικασία βιομετρικού ελέγχου ταυτότητας μέσα σε ένα ασφαλές περιβάλλον που διαχειρίζεται ο υπερεπόπτης του συστήματος.
Υπάρχει όμως και ένα μειονέκτημα, φυσικά. Για να λειτουργήσει το ESS, ένα μηχάνημα χρειάζεται ένα πολύ συγκεκριμένο σύνολο υλικού: μια σύγχρονη CPU 64-bit που υποστηρίζει εικονικοποίηση υλικού (καθώς το ESS βασίζεται σε ασφάλεια βασισμένη σε εικονικοποίηση), ένα τσιπ TPM 2.0, ενεργοποιημένη την Ασφαλή εκκίνηση στο υλικολογισμικό και ειδικά πιστοποιημένους βιομετρικούς αισθητήρες. Σημείωση: Η Microsoft επιβάλλει αυτό το επίπεδο προστασίας για τη νέα σειρά υπολογιστών Copilot+, αλλά όπως σημειώνει ο Osswald, πολλοί υπάρχοντες υπολογιστές δεν το προσφέρουν.
Εντάξει, έχουμε λοιπόν ένα πρόβλημα. Πώς το διορθώνουμε; Σύμφωνα με τους Osswald και David, μια σωστή ενημέρωση κώδικα είναι πολύ «δύσκολη» ή ακόμα και αδύνατη στην εφαρμογή χωρίς έναν τεράστιο επανασχεδιασμό, επειδή επηρεάζει τη θεμελιώδη αρχιτεκτονική του τρόπου με τον οποίο τα συστήματα που δεν είναι ESS αποθηκεύουν αυτά τα βιομετρικά δεδομένα.
Προς το παρόν, εάν βρίσκεστε σε επαγγελματικό υπολογιστή που χρησιμοποιεί Windows Hello χωρίς ESS, συνιστούν να απενεργοποιήσετε εντελώς τα βιομετρικά στοιχεία και να χρησιμοποιήσετε κάτι σαν PIN.
Ο ευκολότερος τρόπος για να ελέγξετε αν το μηχάνημά σας υποστηρίζει ESS είναι να μεταβείτε στις ρυθμίσεις του συστήματός σας. Στις "Επιλογές σύνδεσης" του λογαριασμού σας, ενδέχεται να βρείτε μια εναλλαγή με την ένδειξη "Σύνδεση με εξωτερική κάμερα ή συσκευή ανάγνωσης δακτυλικών αποτυπωμάτων".
Όταν αυτός ο διακόπτης είναι απενεργοποιημένος, το ESS είναι ενεργό, πράγμα που σημαίνει επίσης ότι η συσκευή ανάγνωσης δακτυλικών αποτυπωμάτων USB που αγοράσατε δεν θα λειτουργεί για σύνδεση στα Windows. Αν την ενεργοποιήσετε, απενεργοποιείτε τη λειτουργία, επιτρέποντας στα εξωτερικά περιφερειακά σας να λειτουργούν με κόστος την επιπλέον ασφάλεια.
Η Microsoft αναφέρει ότι ορισμένες περιφερειακές συσκευές "συμβατές με Windows Hello" μπορούν να ενεργοποιήσουν το ESS στη συσκευή σας. Παρόλο που αυτό δεν αποτελεί κίνδυνο για την ασφάλεια, σας θέτει σε δύσκολη θέση. Η εταιρεία προτείνει ότι εάν πρέπει να χρησιμοποιήσετε ένα, θα πρέπει να το συνδέσετε πριν από την πρώτη εκκίνηση και ουσιαστικά να μην το αποσυνδέσετε ποτέ. Η πλήρης, σωστή υποστήριξη για εξωτερικές συσκευές με ESS δεν αναμένεται καν πριν από τα τέλη του 2025.
