27 марта 2017, 16:14
Количество просмотров 249

Биометрия в ДБО. Мифы и реальность.

Почти 20 лет назад Джим Вейман (Jim Wayman) утверждал, что использование биометрии в качестве надежного средства идентификации является ошибкой. Во-первых, потому что такая защита не является надежной, во-вторых, потому что биометрия предназначена не для безопасности, а для удобства пользователей.
Биометрия в ДБО. Мифы и реальность.

Александр Горшков, независимый эксперт


Безусловно, это утверждение при всей своей спорности заслуживает как минимум внимания.

Д. Вейман является знаковой фигурой в мировой отрасли обеспечения безопасности. С 1984 года работал в области автоматизированного распознавания человека. По контракту с Министерством обороны США изобрел и разработал технологию биометрической аутентификации на основе акустических резонансов головы человека. При этом с 1997 по 2000 год он возглавлял национальный Центр биометрии США (U.S. Biometrics Center).

Однако, невзирая на такое предупреждение, все больше банков сегодня позиционируют использование биометрии в ДБО как возможность оградить клиента от мошеннических операций. Буквально несколько лет назад пароли считались надежной защитой информации, а теперь для этого начинают использовать биометрические данные.

Причина тому – возросшая мощность вычислительных ресурсов, позволяющая, с одной стороны, подобрать или вычислить простой пароль, а с другой – в режиме реального времени справляться со сложным алгоритмом анализа биометрических данных. Пароли стали усложняться, появились рекомендации и регламенты по их использованию и смене. В отличие от паролей или электронных ключей, биометрические данные поменять в случае компрометации не получится.

Виталий Патешман, директор по продажам компании BSS, специализирующейся на разработке и внедрении систем дистанционного банковского обслуживания и управления финансами, считает, что использование биометрии в ДБО не будет являться трендом, так как число устройств, поддерживающих биометрию, невелико и «носит больше маркетинговый, нежели коммерческий характер, – считает он. – Да, некоторые банки запустили мобильные приложения, поддерживающие биометрию, но это больше реакция на появление соответствующих функций в мобильных устройствах, чем ответ на запрос клиентов».

Так что же безопаснее: сложные пароли или биометрическая идентификация? Стоит ли отказываться от паролей и доверять биометрической авторизации?

Биометрия в ДБО. Мифы и реальность. - рис.1

Рост вычислительной мощности и появление радужных таблиц значительно сократили время поиска паролей, независимо от их сложности. Новейшие технические средства позволяют узнать пароль посредством доступа к фронтальной камере коммуникационного устройства. Этого можно достичь технологией айтрекинг (eye tracking), позволяющей отслеживать движение глазных яблок владельца гаджета, когда тот осуществляет ввод с виртуальной клавиатуры. Таким же образом можно «подглядеть» отражение экрана в глазах владельца. Современные камеры мобильных телефонов позволяют получить для этого четкое изображение.

В то же время появляются решения для обхода биометрических сканеров.

Специалисты FireEye считают, что обойти защиту Android легко с помощью приложений, содержащих вредоносный код. Сотрудники BlueBox Labs провели тест планшетов, которые были приобретены в супермаркетах. На многих изделиях по умолчанию было отключено предупреждение об опасности установки приложений из неизвестных источников. Опасной функцией таких программ является пересылка биометрических данных пользователя. Для предотвращения утечки результатов сканирования на мобильных устройствах данные отпечатков хранятся в виде односторонней хеш-функции. Но не все производители следуют этому требованию. На смартфоне HTC One Max под управлением Android 4.3 отпечатки пальцев хранятся в виде картинок. Начиная с Android 6.0 был разработан специальный API для аутентификации по отпечаткам пальцев и обновлен Compatibility Definition Document, требования которого необходимо соблюдать для сертификации устройств в Google. Несмотря на это, в Android-устройствах обнаруживаются различные лазейки, дающие возможность обойти защиту по отпечаткам и паролю. Например, функция Android Smart Lock. С ее помощью может осуществляться автоматическая разблокировка телефона при совпадении определенных условий. Например, автоматическая разблокировка устройства в жилище владельца. Точность позиционирования, особенно внутри помещений, далеко неидеальна и для телефона может быть в радиусе нескольких десятков и даже сотни метров.

Использование биометрии

в ДБО не будет являться трендом: число поддерживающих технологию устройств невелико

Современные алгоритмы пропускают через хеш-функцию сканированный отпечаток и сохраняют полученный результат в защищенном от доступа извне месте. По биометрическому шаблону невозможно воссоздать исходный рисунок отпечатка пальца. Но даже это не обеспечивает полную защиту. Биометрические шаблоны находятся на не контролируемом вами оборудовании. Где гарантия, что все хранимые на нем шаблоны принадлежат одному и тому же человеку и это действительно его волеизъявление? Для легитимного подтверждения действий достаточно добиться соответствия одному из имеющихся на устройстве шаблонов. А так как получить сформированные на устройствах изображения и шаблоны отпечатка пальцев или сетчатки глаза нельзя, то их невозможно использовать, например, при создании и наполнении данными единой биометрической базы для банков. Для этого потребуется разработать другие решения.

Биометрия в ДБО. Мифы и реальность. - рис.2

Справедливости ради надо сказать, что абсолютной защиты не бывает. Рано или поздно любую, в том числе и биометрическую, систему смогут обмануть. Жан Крисслер (Jan Krissler), известный под псевдонимом Starbug, смог получить доступ по имитации отпечатка пальца германского министра обороны Урсулы Гертруды фон дер Ляйен (Ursula Gertrud von der Leyen). Для этого ему понадобилась фотография большого пальца министра, которая была сделана на открытой конференции с трех метров на 200-мм объектив, и еще несколько снимков, позволивших определить основные физические параметры пальца.

Другой пример обмана биометрического сенсора Touch ID в iPhone 5s продемонстрировали представители немецкой организации Chaos Computer Club. Процесс обмана Touch ID был осуществлен при помощи воссозданного отпечатка пальца. Для этого отпечаток был отсканирован непосредственно с дисплея смартфона для последующей оцифровки. После обработки отпечаток был распечатан на принтере с разрешением 2400 dpi и покрыт специальным материалом, придающим изображению объемную структуру. На весь процесс получения доступа у Chaos Computer Club ушло около 30 часов работы. Подобная операция вряд ли может быть проделана обычным пользователем, но те, кто специализируется на обмане систем защиты, обладают необходимыми для этого знаниями и опытом. Они смогут получить доступ к устройству своей жертвы.

Для противодействия выявленным методам обмана сканеров отпечатка пальцев в каждой новой модели устройств Apple устанавливает более устойчивый к взлому сканер. Но даже это не гарантирует 100%-ной защиты. Очередной процесс взлома iPhone продемонстрировала компания Vkansee на Mobile WorldCongress 2016 в феврале прошлого года в Барселоне.

Насколько подробной и качественной должна быть имитация сканируемого пальца, из какого материала она выполнена – зависит от технологии, на которой построен датчик конкретной модели смартфона. Ультразвуковой датчик обманывают с помощью муляжа пальца, отпечатанного на 3D-принтере, но его невозможно обмануть с помощью распечатанного на специальной токопроводящей бумаге отпечатка. А вот стандартные емкостные сканеры даже такой разницы не заметят.

Не стоит думать, что уязвимости присущи какому-то одному типу биометрической идентификации. Кевин Дэвид Митник (Kevin David Mitnick), известный эксперт в сфере информационной безопасности и социальный инженер, продемонстрировал обман голосовой идентификации. Для получения доступа необходимо было произнести серию случайно сгенерированных чисел. При этом последовательность слов и голос говорящего должны были совпадать. На встрече со своим клиентом К. Митник записал разговор, в котором он вынудил собеседника произнести цифры от 0 до 9. После чего подготовил отдельные аудиозаписи с числами и воспроизвел их в правильной последовательности. Доступ к системе был получен.

Анализ рисков, связанных с биометрической идентификацией и авторизацией клиентов, банков показывает: надо использовать открытые решения, когда осуществляется полный контроль над биометрическими данными. И тому есть успешные подтверждения. Портал PLUSworld.ru в материале «Wells Fargo реализовал биометрическую аутентификацию voice и facial recognition в мобильном канале» уже сообщал о положительном опыте внедрения и использования отечественной биометрической системы для защиты мобильных дистанционных операций клиентов банка. Также имеются положительные примеры использования биометрии в нескольких крупных отечественных банках, но пока, к сожалению, далеко не в системе дистанционного обслуживания клиентов. С появлением положительных результатов использования биометрических данных будет расширяться функционал их применения. Уже сейчас с бюро кредитных историй «Эквифакс» обмениваются информацией для биометрического анализа 25 банков.

Любая система защиты – это компромисс между удобством использования и безопасностью. Самая безопасная система не будет востребована, если пользователю сложно ею пользоваться. Где проходит эта грань, какие системы для удобства и обеспечения безопасности в ДБО предлагается использовать клиентам банков, будет подробно обсуждаться на 8-м Международном ПЛАС-Форуме «Дистанционные сервисы, мобильные решения, карты и платежи 2017», который пройдет 7–8 июня этого года в Москве.

Рубрика:
{}
Теги:
#

PLUSworld в соцсетях:
telegram
vk
dzen
youtube