SafeUM
Home Блог Услуги Скачать Помощь О нас Пополнить
EN
RU

Axarhöfði 14, 110 Reykjavik, Iceland

Iceland - 2015
SafeUM
Блог
Услуги
Скачать
Помощь
О нас
Пополнить
Меню
RU
Язык
EN
RU
Архив
TOP Security!
20 Окт 2016

Банкоматы со сканерами отпечатка пальца или сетчатки небезопасны

Различные виды биометрической идентификации долгое время считались наиболее безопасными и надежными способами подтвердить свою личность.

Это и определило первоначальную сферу их применения — правительственные организации, оборона, силовые службы.

И в этих областях применения биометрия до сих пор остается крайне надежной — в первую очередь потому, что перечисленные субъекты могут позволить себе дорогостоящее оборудование высочайшего класса. У большинства биометрических методов есть очевидные преимущества перед другими способами авторизации: физически привязанные к пользователю уникальные идентификаторы, простота и скорость использования — нет нужды запоминать и вводить пароли.

Кроме того, такие методы идентификации, как сканирование сетчатки глаза и рисунка вен на пальцах, ухе или запястье, обеспечивают малое число ошибок первого рода (отказ в авторизации легальному пользователю) и практически исключают ошибки второго рода (выдача доступа неавторизованному пользователю). Будущие способы биометрической авторизации, например на основе анализа ДНК, в теории могут обеспечивать полное отсутствие ошибок обоих типов.

С наиболее массовым на сегодняшний день методом биометрической идентификации, по отпечатку пальца, напротив, ситуация обстоит не так радужно. Пользователи как Android-, так и iOS-устройств регулярно жалуются как на ложные отказы в доступе, так и на ошибочную авторизацию чужаков.

Какое-то время в список несомненных достоинств биометрии входила сложность фальсификации, если не принимать во внимание совсем уж голливудские сценарии взлома с отрубленными пальцами и вырванными глазами. Однако бурное развитие технологий 3D-печати наводит на невеселые мысли о том, что теперь подделать отпечатки проще простого. На самом деле ранние версии Touch ID на iPhone 5s взламывались и без 3D-принтера.

Однако поводом задуматься над вопросом «А столь ли надежна и безопасна биометрическая идентификация, как принято считать?» являются не сами факты взлома (уязвимости есть везде), а переход этой технологии на массовые рельсы. Из дорогой игрушки военных и спецагентов биометрическая идентификация превращается в ширпотреб, со всеми неизбежными последствиями — снижением требований к спецификациям по надежности в сравнении с mission-critical-приложениями и свободным доступом злоумышленников к экземплярам устройств для «натурных испытаний».

Только в прошлом году пользователи смартфонов установили около 6 млн приложений с поддержкой авторизации по отпечатку пальца. По прогнозам Juniper Research, к 2019 году будет установлено порядка 770 млн копий таких приложений, а авторизация по отпечатку пальца через смартфон станет практически повсеместной. Другие эксперты делают еще более оптимистические предсказания: Acuity Market Intelligence оценивает общее количество биометрических устройств к 2020 году в 4,8 млрд, а аудиторию их пользователей — в 2,5 млрд человек.

Разумеется, персональные устройства — далеко не единственный ареал распространения биометрической авторизации. Достаточно набрать в Google «biometric ATM» (банкомат с биометрией), чтобы увидеть, какой интерес к данной теме проявляют финансовые организации. Многие банки либо уже тестируют новые линейки банкоматов с биометрическим доступом, либо собираются экспериментировать с ними в ближайшем будущем.

Киберпреступники, судя по всему, также в курсе этого тренда. Хотя банкоматы с биометрией еще только на подходе, специалисты сообщают о том, что уже более десятка различных подпольных производителей предлагают на черном рынке биометрические скиммеры, предназначенные для кражи отпечатков пальцев.

Другие разработчики исследуют возможность создания аналогичных устройств для перехвата результатов сканирования радужной оболочки глаза и рисунка вен на запястье. Новое поколение скиммеров — далеко не единственный возможный канал, по которому биометрические данные могут попасть в руки злоумышленников. Как всегда, сохраняют актуальность атаки типа «человек посередине» (man-in-the-middle), а также взломы серверов с базами данных пользователей.

Последний вариант выглядит весьма угрожающе, особенно если вспомнить скандальные прецеденты с кражей пользовательских данных у компаний за последние несколько лет, да что там — за год: чего стоят одни лишь угоны 60 млн записей у Dropbox и рекордных 500 млн — у Yahoo.

А теперь представьте, что в вышеприведенных примерах речь идет не о паролях, которые можно сменить, и даже не об украденных карточках, которые можно оперативно заблокировать и перевыпустить. Представьте, что речь идет о биометрических данных. Если они скомпрометированы единожды, они остаются таковыми пожизненно, в самом прямом, физиологическом смысле этого слова. Согласитесь, в таком ракурсе повсеместная биометрическая идентификация уже не кажется столь привлекательной идеей.

К счастью, биометрические данные не хранятся в открытом виде, на сервер пересылается и хранится лишь хешированный результат сканирования, однако и с крадеными хешами можно сделать много интересного в уже упомянутых сценариях с посредником, когда злоумышленник вклинивается в канал передачи данных между банкоматом и процессинговым центром.

Если же речь идет о краже биометрических данных через скиммер, то в этом случае злоумышленник получает уже не результат вычисления хеш-функции, а сырые, необработанные данные, на основании которых теоретически можно изготовить биометрический муляж.

В любом случае перед массовым внедрением биометрической идентификации банковской индустрии придется серьезно пересмотреть требования к безопасности, в первую очередь самих банкоматов.

Ключевые направления здесь достаточно очевидны: это и улучшенный «антискиммерный» дизайн, делающий невозможной установку скиммеров или сильно усложняющий ее, и постоянный комплексный контроль целостности аппаратной и программной части банкомата, который будет позволять своевременно отслеживать как неавторизованные изменения ПО банкомата, так и попытки физического проникновения в устройство. 

Что же касается биометрической идентификации как метода в целом, то по крайней мере на начальном этапе, до решения ключевых проблем с уязвимостями, биометрия должна использоваться лишь как вторичный метод аутентификации, дополняющий уже существующие, а не полностью подменяющий их.

Теги:
тенденции утечка информации
Источник:
Kaspersky Daily
1477
ДРУГИЕ НОВОСТИ
3 Июль 2020 safeum news imgage Полиция произвела множество арестов, взломав защищённый мессенджер
4 Май 2020 safeum news imgage Европол сообщил об аресте членов польской хак-группы Infinity Black
12 Дек 2019 safeum news imgage Шифрование под угрозой. Как это отразится на нас
4 Ноя 2019 safeum news imgage Должны ли важные решения приниматься на основании лишь фактов, или интуиция имеет право на жизнь?
7 Июнь 2018 safeum news imgage Ворующий данные вирус для роутеров умеет обходить шифрование
4 Июнь 2018 safeum news imgage Мошенники атакуют пользователей сервиса Booking.com
1 Июнь 2018 safeum news imgage Оператор крупнейшей точки обмена трафиком подал в суд на немецкую спецслужбу
30 Май 2018 safeum news imgage ФБР выявило два инструмента северокорейских кибершпионов
29 Май 2018 safeum news imgage Новый закон позволил европейцам требовать миллиарды у Google и Facebook
25 Май 2018 safeum news imgage Предустановленное вредоносное ПО обнаружили на сотнях моделей смартфонов
24 Май 2018 safeum news imgage GPS-трекеры для домашних животных позволяют следить за их хозяевами
23 Май 2018 safeum news imgage К Google подали иск из-за слежки за пользователями iPhone
21 Май 2018 safeum news imgage Данные о местоположении всех смартфонов в США оказались в открытом доступе
18 Май 2018 safeum news imgage Власти США запустили фальшивое ICO
17 Май 2018 safeum news imgage Хакеры похитили сотни миллионов у банков Мексики
Все новости
SafeUM
Конфиденциальность Правила использования Наши технологии О компании
Контакты
Скачать
SafeUM © Безопасный универсальный мессенджер

Axarhöfði 14,
110 Reykjavik, Iceland

Iceland - 2015