Обмани меня: как хакеры обходят системы биометрической защиты
В 2018 году в России был принят закон о создании Единой биометрической системы. Он разрешил кредитным организациям (а в перспективе и другим компаниям) использовать биометрию при удаленной идентификации клиентов. Звучит многообещающе, но только не с точки зрения информационной безопасности.
Согласно действующему ранее законодательству финансовые организации были обязаны подтверждать личность своих клиентов, требуя паспорт при личном присутствии в отделении. Это тормозило развитие финансовых сервисов в регионах, удаленных населенных пунктах или в случае, когда физическое присутствие потенциального клиента невозможно, например, по причине болезни. Удаленная идентификация с помощью биометрии должна была решить эту проблему.
«Идентификация Борна»
Существует три способа идентификации личности человека. Во-первых, мы можем убедиться, что он знает нечто секретное (например, кодовое слово или PIN), — это самый распространенный и недорогой в реализации механизм, который, однако, является и самым незащищенным. Узнать пароль несложно, редко кто следует правилам выбора надежных сочетаний символов. Вторым способом проверки является контроль владения некой неповторимой вещью (например, смарт-картой, ключом или штрих-кодом). Это более надежный и более дорогой способ аутентификации.
Наконец, третий способ — это проверить, что человек обладает какой-то уникальной физической, биологической, физиологической или поведенческой характеристикой (например, отпечатками пальцев или радужной оболочкой глаза). Именно этот метод сегодня набирает популярность, так как считается, что, помимо удобства для пользователя, он является и более защищенным. Но это не совсем так.
Если у пользователя украли пароль, это не смертельно, его можно заменить. Украденные карта или токен тоже подлежат восстановлению. А вот биометрический фактор уникален — ни при каких обстоятельствах вы не сможете изменить отпечатки пальцев, голос, глаза или расположение вен на руке. Это самые популярные методы биометрической идентификации, из которых в банках будут применяться пока только голос и геометрия лица. Среди других присущих человеку особенностей можно назвать почерк, в том числе и клавиатурный, запах, электроэнцефалограмму мозга и электрокардиограмму сердца, походку и даже геометрию ягодиц, которая, оказывается, тоже уникальна.
В принципе биометрия действительно решает многие классические проблемы. Традиционный вариант проверки личности клиента по кодовому слову и т.п. давно уже перестал хоть как-то защищать от мошенников. По данным исследования Opus Research A New Authentication Paradigm: Call Center Security without Compromising Customer Experience, 65% банковских клиентов не удовлетворены проверкой по паролю и кодовому слову при звонках в кол-центр. 49% клиентов считают, что проверка слишком долгая (от 40 до 90 секунд). 74% хотя бы раз не получили доступа к своим данным из-за того, что не прошли проверку и не смогли подтвердить свою личность стандартным способом. Может ли биометрия помочь в этих случаях?
Полагая, что биометрия сделает жизнь удобнее и безопаснее, мы начинаем ее активно внедрять, не взвесив все за и против. Что может угрожать биометрическим системам? Проблема в том, что «потерянные» голос или данные геометрии лица использовать снова будет невозможно. Разумеется, «потерять» их не так просто: они специальным образом преобразуются и затем хранятся в специальном хранилище.
В фантастических фильмах плохие парни отрезают пальцы, записывают голос, делают 3D-маски лица или муляжи ладони. Эти варианты атаки действительно существуют, но они направлены только на систему считывания биометрических данных. На самом деле векторов атак гораздо больше. Например, можно сломать сам считыватель, и что бы ему ни предъявляли, он будет выдавать ошибку. Можно вмешаться в работу системы верификации и поменять решение системы на нужное злоумышленникам. Можно взломать хранилище биометрических профилей и внести новые, а также подменить/уничтожить существующие данные по нужным людям. И это, пожалуй, самый опасный вариант для любой схемы биометрии.
Всего существует около полутора десятков способов взломать систему биометрической идентификации, и выбор наиболее удобных из них зависит от конкретных задач, стоящих перед хакерами. Если нужно дискредитировать всю систему, то атака будет направлена на хранилище биометрических профилей. Если нужно заставить систему принять «правильное» решение, то эффективнее атаковать систему верификации. Когда действия злоумышленников направлены на конкретного человека, то логичнее синтезировать его голос и видео. Существующие технологии уже позволяют, имея запись голоса или видео любого человека, синтезировать его речь или наложить его лицо на другую видеозапись.
Несовершенная система
Предлагаемая в России Единая биометрическая система (ЕБС) в своем роде уникальна: проектов такого масштаба в мире немного, и поэтому к их проектированию (особенно с точки зрения оценки актуальных угроз) подходить надо очень серьезно. Обнаруженные ошибки в такой системе надо будет устранять в масштабах всей страны. Апелляция к опыту хранения информации в системе биометрических паспортов не совсем корректна. Биометрические паспорта — это действительно защищенное хранилище, но к нему имеют доступ очень ограниченное число лиц. В основном это государственные органы: ФНС, ФМС, пограничная служба, МВД, ФСБ. Когда же мы говорим об удаленной идентификации, которую строят ЦБ и «Ростелеком», то к ней будет получать доступ гораздо большее количество организаций. По скромной оценке, их число будет измеряться несколькими сотнями, а то и тысячами, а значит, число точек проникновения в эту базу многократно увеличится.
При этом сами граждане подготовлены к переходу на биометрические технологии: они активно используют технологии распознавания лиц или отпечатков пальцев на мобильных устройствах при оплате в AppStore или Google Play. Более того, согласно отчету Cisco Customer Experience Research. Automotive Industry, проведенному Cisco в 10 странах, включая Россию, 60% граждан готовы предоставлять свои биометрические персональные данные, если это позволит усилить защиту их автомобиля, например, от угона или при дистанционном управлении отдельными функциями.
Сегодня при активном PR биометрических технологий о безопасности их применения в масштабах государства говорят мало. Возможно, это делается для того, чтобы не обозначить слабые зоны и не дать злоумышленникам подготовиться к атакам. Однако принцип «безопасность через незнание» в данном случае не работает. Необходимо широкое обсуждение механизмов защиты такой базы. Если ее взломают даже один раз, это подорвет доверие ко всей системе биометрической идентификации в России не только сейчас, но и в будущем.
Другая проблема связана с реализацией всей схемы удаленной идентификации. Во-первых, для того чтобы снять с клиента банка биометрический профиль, необходимо иметь достаточно мощное оборудование и специализированные комнаты. Механизм примерно тот же, что и при снятии биометрических данных при подготовке загранпаспортов. А поскольку в законе о внесении изменений в 115-ФЗ говорится не только о биометрии лица, но и о голосе, здесь потребуется еще и изолированное помещение, где бы отсутствовали любые посторонние звуки. А значит, первоначальная идентификация все равно потребует от пользователя явиться в определенное место, которое в регионах может находиться далеко от его места жительства. Но если образец записи будет создан в идеальных условиях, то при идентификации пользователя с помощью мобильного посторонние шумы или помехи некачественной связи могут привести к тому, что система не распознает его.
Разумеется, у биометрии есть безусловные преимущества, и при правильном ее использовании она действительно может сделать оказание различных услуг гораздо более удобным. Но при этом надо трезво оценивать все последствия для себя лично. Разумная осторожность никогда не бывает лишней.
Биометрическую аутентификацию по рисунку сосудов удалось обмануть с помощью воскового муляжа руки
Xakep #246. Учиться, учиться, учиться!
В эти дни в Лейпциге проходит ежегодная хакерская конференция Chaos Communication Congress, где традиционно происходит немало интересного.
Доклад, посвященный обману систем биометрической аутентификации по риску сосудов, на CCC представили ИБ-эксперты Ян Крисслер (Jan Krissler) и Джулиан Альбрехт (Julian Albrecht), также они поделились подробностями своего исследования с журналистами Vice Motherboard.
Современные биометрические системы уже давно не ограничиваются дактилоскопическими сканерами и FaceID. К примеру, более надежным способом считается аутентификация по рисунку сосудов. Как можно понять по названию, в данном случае система сканирует не только опечатки человека, но также форму, размер и общий «рисунок» сосудов под кожей его руки, и сравнивает полученное изображение с имеющимся образцом. В теории, обмануть такую защиту должно быть намного труднее. Но Крисслер и Альбрехт рассказывают, что обойти эту систему оказалось на удивление легко: по сути, понадобился лишь восковой муляж руки и специальное фото.
«Чувствуешь себя не в своей тарелке, когда [работаешь] с процессом, который преподносится как высокозащищенная система безопасности, а ты модифицируешь камеру, берешь пару дешевых материалов и всё ломаешь», — говорит Крисслер.
Специалисты поработали над обычной SLR-камерой и удалили ИК-фильтр. Это позволило им сделать снимки сосудов под кожей. Причем эксперты подчеркивают, что можно сделать фотографии с расстояния 5 метров, и этого будет достаточно. «Можно просто пойти на пресс-конференцию и сделать фото нужных людей там», — пишет Крисслер. Суммарно специалистам потребовалось порядка 2500 фотографий и около месяца работы, чтобы наладить процесс и найти работающий способ обмана системы.
На основе сделанных снимков и полученного «рисунка» сосудов исследователи изготовили простой восковой слепок руки, и его оказалось достаточно. «Когда нам удалось обмануть систему, я был очень удивлен тому, что всё оказалось так просто», — признается Крисслер.
Исследователи уже сообщили о проблеме специалистам Fujitsu и Hitachi, которые разрабатывают такие биометрические решения, однако пока они не получили от компаний никакого ответа.
«Биометрия – это всегда гонка вооружений. Производители улучшают свои системы, потом приходят хакеры и ломают их, а затем все начинается снова», — пишут эксперты.
Хакеры нашли способ подделать еще один биометрический пароль
Хакеры нашли способ обойти биометрическую аутентификацию
Биометрическая аутентификация оказалась не такой безопасной, как кажется. Фото: coreymondello.com
Защита с помощью биометрических данных развивается с каждым днем: теперь пользователи используют не только отпечатки пальцев и технологию распознавания лица, но и идентификацию по рисунку вен.
Мошенники также находят новые способы взлома и кражи персональной информации. На конференции Chaos Communication Congress эксперты в области безопасности представили восковую модель руки, которая поможет обойти систему аутентификации по рисунку вен.
Технология идентификации по рисунку вен основана на сканировании формы, размера и расположения вен человека на его руке.
Распознавание узора вен на ладони Фото: PCS Systemtechnik
Хакеры сделали более 2500 фотографий руки с помощью специальной зеркальной камеры. Затем, используя полученные фотографии, они создали восковую руку с детальным рисунком вен человека. Этого воскового макета было достаточно, чтобы обойти систему биометрического контроля.
Спроектировать такую восковую модель достаточно сложно. Однако эксперты заявили, что фотографии, сделанные с расстояния 5 метров, подходят для создания макета восковой руки с рисунком вен человека.
Это вызывает большую обеспокоенность, так как пользователи не уверены в том, что их личные данные находятся в безопасности даже при использовании системы биометрической защиты.
СПРАВКА PAYSPACE MAGAZINE
Ранее мы писали о том, что была зафиксирована хакерская атака на несколько Bitcoin-кошельков. Хакерам уже удалось украсть более 200 биткоинов с биткоин-кошельков Electrum и Electron. Эксперты настоятельно рекомендуют владельцам кошельков не переходить по подозрительным ссылкам и следить за обновлениями на официальном сайте.
Кроме того, сообщалось, что киберполиция Украины задержала украинцев, которые продавали данные в DARKNET. Хакеры на протяжении 5 лет получали доступ к учетным записям различных ресурсов, а потом выставляли их на продажу.
Насколько безопасна биометрия
Биометрия не обеспечивает 100% защиты от действий злоумышленников. Как еще один фактор обеспечения безопасности биометрия может существенно повысить безопасность хранения данных, считают эксперты, принявшие участие в работе круглого стола iot.ru. Специалисты советуют защищать одной лишь биометрией данные, не имеющих особой ценности.
Михаил Кондрашин, технический директор Trend Micro в России и странах СНГ
Никита Пинчук, директор по технологиям Infosecurity a Softline Company
Игорь Смирнов, старший инженер-проектировщик Центра информационной безопасности компании «Инфосистемы Джет»
Андрей Грузинов, директор департамента информационной безопасности Oberon
Юлий Гольдберг, Директор по инновациям, SAS Россия / СНГ
Насколько хорошо защищены биометрические данные рядовых/корпоративных пользователей от взлома, кражи, редактирования?
Игорь Смирнов: Как правило, организации, собирающие и обрабатывающие биометрические данные, уделяют повышенное внимание вопросам безопасности, связанным с хранением цифровых образов. Важно учитывать и другие потенциальные риски. Например, биометрические данные могут быть также перехвачены при их передаче, если компания не обеспечит защиту каналов связи. А при недостаточно высоком уровне защищенности точек сбора биометрические данные могут быть подвержены краже или мошенническим действиям. Так, при регистрации пользователя в Единой биометрической системе злоумышленник может подменить изображение лица и запись голоса человека на свои данные.
Михаил Кондрашин: Чаще всего биометрические данные защищаются также, как и прочие конфиденциальные данные. Но для подобного класса информации этого совершенно недостаточно, так как биометрия не может быть изменена в случае её компрометации, как, например, пароль доступа.
Поэтому лучше обрабатывать биометрию без ее хранения. Для целей аутентификации вполне достаточно хранить только «слепки» биометрических данных, что не позволит восстановить биометрические параметры в случае утечки.
К сожалению, подобные инциденты уже случались. Например, в 2016 году на Филиппинах утекли персональные данные 55 млн зарегистрированных избирателей, в результате чего были раскрыты и маркеры отпечатков пальцев.
Никита Пинчук: С одной стороны, средства сбора и обработки данных должны быть надежно защищены, являться автономной и особо защищенной структурной единицей ИБ-инфраструктуры. Защита контура должна происходить по всем современным стандартам: выделение в защищенный сегмент, наличие двухфакторной аутентификации, ограниченный круг лиц при доступе к контуру, постановка на мониторинг и реагирование SOC (security operations center).
C другой стороны, сами данные можно получить, не прибегая к взлому базы данных, классическими методами такими как снятие отпечатков пальцев, использование видео и фото материалов. В целом, подделка непосредственно отпечатков, если говорить о желатиновых, силиконовых слепах, а также дактилоскопической модели, не являются особенно сложной задачей для специалистов.
Важно, чтобы к вопросу защиты биометрической информации ответственно подходили не только организации, но и сами пользователи. В дополнение к биометрической лучше всего использовать иные способы идентификации.
Андрей Грузинов: К сожалению, бизнес мыслит только финансовыми показателями, забывая или не принимая в расчет репутационные риски и риски для граждан, чьи персональные данные скомпрометированы. Многие российские компании принимают этот риск осознанно.
В РФ фактически нет наказания за утечку персональных данных. Не берем в расчет ст. 13.14 со штрафом в 5 тыс. руб. – это просто смешные деньги для бизнеса. Роскомнадзор и суды не горят желанием штрафовать нарушителей в области персональных данных, подавляющее большинство выявленных нарушений заканчивается только предупреждением.
Например, в Евросоюзе за утечки персональных данных предусмотрены GDPR штрафы до 20 млн евро или 4% от оборота компании. Вывод напрашивается сам собой: на данном этапе развития бизнеса в РФ нет знака равенства между защитой финансовых показателей и персональными данными клиентов и работников компании.
Каково количество инцидентов, связанных с биометрическими данными в 2018 году?
Андрей Грузинов: Случаи утечки миллионов записей персональных данных в России регистрируются не часто. Тем не менее, общее число утечек продолжает расти, в 2018 на 5% по сравнению с 2017. В 2018 году большинство утечек персональных данных произошли в результате умышленных действий сотрудников организаций (превышение прав доступа к базам данных и использование служебной информации в мошеннических целях).
Самая большая утечка информации в России произошла из-за уязвимости на сайте Рособрнадзора. Несмотря на то что баг был оперативно устранен, скомпрометированной оказалась база данных о 14 млн бывших студентов.
Например, в столичном метро оператор Wi-Fi не защищал номера телефонов. Брешь в системе безопасности позволяла заинтересованным лицам более года составлять портрет каждого пользователя, зная лишь номер его мобильного телефона. Пострадало примерно 12 млн. пользователей. «Пострадал» ли Метрополитен как юридическое лицо? Нет!
Переход на электронные медицинские карты и перевод конфиденциальной информации в цифровое русло также не всегда проходят безболезненно. Так французское Управление по защите данных (CNIL) оштрафовало компанию Optical Centre на $300 тыс. за утечку сотен тысяч счетов клиентов, содержавших персональные данные и информацию о здоровье.
Юлий Гольдберг: Точной статистики по этому поводу у меня нет. Учитывая, что в информационном поле не было громких случаев, связанных с подобными кражами, думаю, что они пока единичны. Косвенно это подтверждают, например, цифры за 2018 год по России , согласно которым подавляющее большинство кибератак на банки ставило своей целью хищение денег, а не данных. Система биометрической идентификации только вводится, тем более в добровольном режиме, она еще не выведена с пилотного уровня, поэтому неудивительно, что каких-то массированных атак пока не было, либо мы о них ничего не знаем. Тем не менее, есть опасения, что в 2020 году ситуация может измениться к худшему: ряд экспертов прогнозирует, что кражи биометрических данных войдут в топ-5 угроз безопасности .
Никита Пинчук: На рынке РФ, несмотря на огромное количество новостей об успешном внедрении систем биометрической идентификации, практическая реализация подобных технологий не используется в критичных сервисах, в связи с этим говорить о трендах и статистике пока преждевременно. Как только технологии войдут в повседневное использование в финансовой сфере, промышленности, сфере услуг, где от кражи данных есть финансовый эффект, мы увидим новые ответные технологии обхода и реальные случаи их применения злодеями.
Какие отрасли наиболее уязвимы перед хакерами, специализирующимися на биометрии?
Юлий Гольдберг: Биометрия используется не для защиты данных, биометрия используется для идентификации и авторизации, т.е. разрешения доступа, и, конечно, это не единственный инструмент на сегодняшний день. Хотя она становится все популярнее, ни в России, ни в Казахстане, ни в подавляющем большинстве стран мира она не вводится директивно (отдельный и не совсем релевантный пример – Китай, где биометрическая идентификация используется в принудительном порядке для построения социального рейтинга). Пользователи могут выбирать, как их будут идентифицировать – по обычным пин-кодам, паролям, документам или с помощью отпечатка пальцев и скана сетчатки.
Думаю, что эта тенденция сохранится и в ближайшем будущем – процент биометрии будет расти, но и традиционные методы не потеряют актуальности. Что касается уязвимости перед хакерами – то я бы сказал, что это банки, но не потому, что они хуже защищены – они обычно как раз лучше защищены, – но там есть чем поживиться. Чаще всего хакеры охотятся за деньгами, банки – их основная мишень, их чаще атакуют. Сама по себе биометрия хакерам не так интересна, получение биометрических данных – это лишь ключ к хранилищу с деньгами, возможность несанкционированного доступа.
Игорь Смирнов: Ни одна система не дает 100% защиты от действий злоумышленников, биометрия не является исключением. При этом использование биометрии как второго фактора аутентификации может существенно повышать безопасность защищаемых данных. Для предотвращения несанкционированного доступа к критичной информации рекомендуется использовать бимодальные системы биометрической аутентификации, которые снижают вероятность ложной идентификации.
Стоит ли использовать только биометрию для защиты данных?
Михаил Кондрашин: Только биометрию допустимо использовать для данных, которые не представляют особой ценности. В остальных случаях стоит рассмотреть применение двухфакторной аутентификации, которая дополняет биометрию паролем.
Никита Пинчук: Убежден, что нет. Можно с уверенностью сказать, что невозможно ограничиться лишь защитой самих систем сбора и обработки биометрической информации. Необходимо использовать дополнительный фактор, возможно, онлайн видео идентификация, классические одноразовые пароли и т.д.
Какие дополнительные меры предпринимают предприятия для защиты биометрии?
Никита Пинчук: Обеспечение и повышение осведомленности персонала и клиентов по вопросам биометрической идентификации, защита контуров и постановка на дополнительный мониторинг и реагирование SOC, что значительно снижает риски доступа к данным и их неправомерное использование.
Юлий Гольдберг: Если же говорить о мерах, принимаемых на отраслевом и государственном уровне, то в России Центробанк уже разработал рекомендации по работе с биометрическими данными клиентов, которые призваны минимизировать риск утечки или кражи ценной информации, но это тоже только начало.
Игорь Смирнов: Для защиты цифровых образов граждан предприятия могут использовать шифрование и хранение биометрических шаблонов в виде односторонних хеш-функций. Эти меры обеспечивают конфиденциальность информации даже в случае утечек и не позволяют злоумышленникам восстановить исходные биометрические данные. Также используются методы распределенного хранения информации: даже при компрометации базы данных злоумышленникам будет сложно сопоставить биометрические данные с конкретными пользователями.
Какие факторы обеспечат динамику рынка? Какие тренды будут ведущими в период 2020-2020 гг?
Никита Пинчук: Основные новшества произойдут под флагом цифровизации услуг. Появление новых цифровых каналов продаж, сокращение реальных офисов, экономический эффект от ухода в «облака» останутся основными двигателями индустрии.
Игорь Смирнов: По нашим оценкам, отечественный рынок биометрии ожидает существенный рост. Основным драйвером роста станет Федеральный закон от 31 декабря 2017 г. N 482-ФЗ, который обязывает обеспечить все банки возможностью сбора биометрических данных граждан для регистрации в Единой биометрической системе. Если говорить о средствах защиты биометрических данных, то развитию этого направления будут способствовать Методические рекомендации Центробанка по нейтрализации угроз при работе с ЕБС от 14.02.2020 №4-МР.
Андрей Грузинов: Основным фактором должен стать проект поправок Минкомсвязи в КоАП, предусматривающий административное наказание за несоблюдение требований по конфиденциальности ПДн. Только штрафы для юридических лиц должны быть существенными, иначе это не стоит внимания бизнеса.
Проблемы и угрозы биометрической идентификации
В 2018 году в России вступил в действие закон о биометрической идентификации. В банках идёт внедрение биометрических комплексов и сбор данных для размещения в Единой биометрической системе (ЕБС). Биометрическая идентификация даёт гражданам возможность получать банковские услуги дистанционно. Это избавляет их от очередей и технически позволяет «посетить банк» в любое время суток.
Удобства дистанционной идентификации по фотографии или голосу по достоинству оценили не только клиенты банков, но и киберпреступники. Несмотря на стремление разработчиков сделать технологию безопасной, исследователи постоянно сообщают о появлении новых способов обмана таких систем.
Так может, не стоит соглашаться на предложение приветливого операциониста пройти биометрическую идентификацию в отделении банка? Или всё-таки воспользоваться преимуществами новой технологии? Разбираемся в этом посте.
В чём проблема?
У биометрической идентификации есть особенности, которые отличают её от привычной пары логин/пароль или «безопасной» 2FA:
- Биометрические данные публичны. Можно найти фотографии, видео- и аудиозаписи практически любого жителя планеты Земля и использовать их для идентификации.
- Невозможно заменить лицо, голос, отпечатки пальцев или сетчатку с той же лёгкостью, как пароль, номер телефона или токен для 2FA.
- Биометрическая идентификация подтверждает личность с вероятностью, близкой, но не равной 100%. Другими словами, система допускает, что человек может в какой-то степени отличаться от своей биометрической модели, сохранённой в базе.
Поскольку биометрические данные открывают не только турникеты в аэропортах, но и банковские сейфы, хакеры и киберпреступники всего мира усиленно работают над способами обмана систем биометрической идентификации. Каждый год в программе конференции по информационной безопасности BlackHat неизменно присутствуют доклады, связанные с уязвимостями биометрии, но практически не встречается выступлений, посвящённых разработке методов защиты.
В качестве основных проблем, связанных с биометрической идентификацией, можно выделить фальсификацию, утечки и кражи, низкое качество собранных данных, а также многократный сбор данных одного человека разными организациями.
Фальсификация
Публикации, связанные с различными способами обмана систем биометрической идентификации, часто встречаются в СМИ. Это и отпечаток пальца министра обороны Германии Урсулы фон дер Ляйен, изготовленный по её публичным фотографиям, и обман Face ID на iPhone X с помощью маски, нашумевшая кража 243 тысяч долларов с помощью подделанного нейросетью голоса генерального директора, фальшивые видео со звёздами, рекламирующими мошеннические выигрыши, и китайская программа ZAO, которая позволяет заменить лицо персонажа видеоролика на любое другое.
Чтобы биометрические системы не принимали фотографии и маски за людей, в них используется технология выявления «живости» — liveness detection — набор различных проверок, которые позволяют определить, что перед камерой находится живой человек, а не его маска или фотография. Но и эту технологию можно обмануть.
Внедрение фальшивого видеопотока в биометрическую систему. Источник
В представленном на BlackHat 2020 докладе «Biometric Authentication Under Threat: Liveness Detection Hacking» сообщается об успешном обходе liveness detection в Face ID с помощью очков, надетых на спящего человека, внедрения поддельных аудио- и видеопотоков, и других способов.
X-glasses — очки для обмана liveness detection в Face ID. Источник
Для удобства пользователей, Face ID срабатывает, если человек надел солнцезащитные очки. При этом количество света в глазах уменьшается, поэтому система не может построить качественную 3D-модель области вокруг глаз. По этой причине, обнаружив очки, Face ID не пытается извлечь 3D-информацию о глазах и представляет их в виде абстрактной модели — чёрной области с белой точкой в центре.
Качество сбора данных и ложные распознавания
Точность идентификации сильно зависит от качества биометрических данных, сохранённых в системе. Чтобы обеспечить достаточное для надёжного распознавания качество, необходимо оборудование, которое работает в условиях шумных и не слишком ярко освещённых отделений банков.
Дешёвые китайские микрофоны позволяют записать образец голоса в неблагоприятных условиях, а бюджетные камеры — сделать фото для построения биометрической модели. Но при таком сценарии значительно возрастает количество ложных узнаваний — вероятность того, что система примет одного человека за другого, с близким по тональности голосом или сходной внешностью. Таким образом, некачественные биометрические данные создают больше возможностей для обмана системы, которыми могут воспользоваться злоумышленники.
Многократный сбор биометрии
Некоторые банки начали внедрение собственной биометрической системы раньше, чем заработала ЕБС. Сдав свою биометрию, человек считает, что может воспользоваться новой технологией обслуживания в других банках, а когда выясняется, что это не так, сдаст данные повторно.
Ситуация с наличием нескольких параллельных биометрических систем создаёт риск, что:
- У человека, дважды сдавшего биометрию, скорее всего, уже не вызовет удивления предложение повторить эту процедуру и в будущем он может стать жертвой мошенников, которые будут собирать биометрию в своих преступных целях.
- Чаще будут происходить утечки и злоупотребления, поскольку увеличится количество возможных каналов доступа к данным.
Утечки и кражи
Может показаться, что утечка или кража биометрических данных — настоящая катастрофа для их владельцев, но, в действительности, всё не так плохо.
В общем случае биометрическая система хранит не фотографии и записи голоса, а наборы цифр, характеризующие личность — биометрическую модель. И теперь поговорим об этом подробнее.
Для построения модели лица система находит опорные антропометрические точки, определяющие его индивидуальные характеристики. Алгоритм вычисления этих точек отличается от системы к системе и является секретом разработчиков. Минимальное количество опорных точек — 68, но в некоторых системах их количество составляет 200 и более.
По найденным опорным точкам вычисляется дескриптор — уникальный набор характеристик лица, независимый от причёски, возраста и макияжа. Полученный дескриптор (массив чисел) и представляет собой биометрическую модель, которая сохраняется в базе данных. Восстановить исходное фото по модели невозможно.
Для идентификации пользователя система строит его биометрическую модель и сравнивает с хранящимся в базе дескриптором.
Из принципа построения модели имеются важные следствия:
- Использовать данные, похищенные из одной биометрической системы для обмана другой — вряд ли получится из-за разных алгоритмов поиска опорных точек и серьёзных различий в результирующей модели.
- Обмануть систему с помощью похищенных из неё данных тоже не получится — для идентификации требуется предъявление фотографии или аудиозаписи, по которой уже будет проведено построение модели и сравнение с эталоном.
Даже если база хранит не только биометрические модели, но и фото и аудио, по которым они построены, обмануть систему с их помощью «в лоб» нельзя: алгоритмы проверки на «живость» считают ложными результаты с полным совпадением дескрипторов.
Методы проверки liveness для лицевой и голосовой модальности.
Источник: Центр речевых технологий
Таким образом, использование утекших биометрических данных не поможет киберпреступникам быстро получить материальную выгоду, а значит, они с большей вероятностью будут искать более простые и надёжные способы обогащения.
Как защититься?
Вступившая в действие 14 сентября 2020 года директива Евросоюза PSD2, также известная как Open Banking, требует от банков внедрения многофакторной аутентификации для обеспечения безопасности удалённых транзакций, выполняемых по любому каналу. Это означает обязательное использование двух их трёх компонентов:
- Знания — какой-то информации, известной только пользователю, например, пароля или контрольного вопроса.
- Владения — какого-то устройства, которое имеется только у пользователя, например, телефона или токена.
- Уникальности — чего-то неотъемлемого, присущего пользователю и однозначно идентифицирующего личность, например, биометрических данных.
Эти три элемента должны быть независимыми так, чтобы компрометация одного элемента не влияла на надёжность других.
Применительно к банковской практике это означает, что проведение операций по биометрическим данным должно обязательно сопровождаться дополнительными проверками с помощью пароля, токена или PUSH/SMS-кодов.
Использовать или нет?
У биометрической аутентификации имеются большие перспективы, однако опасности, которые приходят в нашу жизнь вместе с ними, выглядят весьма реалистично. Разработчикам систем и законодательным органам стоит изучить результаты новейших исследований уязвимостей биометрических систем и оперативно доработать как решения по идентификации, так и нормативные акты, регулирующие их работу.
Банкам необходимо принять во внимание ситуацию с deepfakes и другими способами обмана биометрических систем, используя сочетание традиционных способов идентификации пользователя с биометрическими: пароли, 2FA и usb-токены всё ещё могут принести пользу.
С клиентами банков ситуация сложная. С одной стороны, биометрическая идентификация разрабатывалась для их удобства как попытка расширить возможности для получения банковских услуг в любое время с минимальными формальностями. С другой — в случае успешной атаки рискуют своими деньгами именно они, а регуляторы и разработчики биометрических систем ответственности за взломы не несут.
В связи с этим, логичная рекомендация клиентам банков — не торопиться со сдачей биометрических данных, не обращать внимание на агрессивные призывы. Если же без биометрической идентификации никак не обойтись, то используйте её совместно с многофакторной аутентификацией, чтобы хотя бы частично снизить риски.
Методы обхода биометрической защиты
Месяц назад журналист издания Forbes наглядно продемонстрировал (не)надёжность биометрической защиты в устройствах потребительского класса. Для теста он заказал гипсовую 3D-копию своей головы, после чего попытался с помощью этой модели разблокировать смартфоны пяти моделей: LG G7 ThinQ, Samsung S9, Samsung Note 8, OnePlus 6 и iPhone X.
Гипсовой копии оказалось достаточно для снятия блокировки четырёх из пяти протестированных моделей. Хотя iPhone не поддался на обманку (он сканирует в ИК-диапазоне), но эксперимент показал, что распознавание лиц — не самый надёжный метод защиты конфиденциальной информации. В общем, как и многие другие методы биометрии.
В комментарии представители «пострадавших» компаний сказали, что распознавание лиц делает разблокировку телефонов «удобной», но для «самого высокого уровня биометрической аутентификации» рекомендуется применять сканер отпечатка пальца или радужной оболочки глаза.
Эксперимент также показал, что для реального взлома недостаточно пары фотографий жертвы, потому что они не позволят создать полноценную 3D-копию черепа. Для изготовления приемлемого прототипа требуется съёмка с нескольких углов при хорошем освещении. С другой стороны, благодаря социальным сетям сейчас есть возможность получить большое количество подобного фото- и видеоматериала, а разрешение камер увеличивается с каждым годом.
Другие методы биометрической защиты тоже не лишены уязвимостей.
Отпечатки пальцев
Системы для сканирования отпечатков пальцев получили распространение в 90-е годы — и тут же подверглись атаке.
В начале 2000-х хакеры отточили механизм изготовления искусственных силиконовых копий по имеющемуся рисунку. Если наклеить тонкую плёнку на собственный палец, то можно обмануть практически любую систему, даже с другими сенсорами, которая проверяет температуру человеческого тела и удостоверяется, что к сканеру приложен палец живого человека, а не распечатка.
Классическим руководством по изготовлению искусственных отпечатков считается руководство Цутому Мацумото от 2002 года. Там подробно объясняется, как обработать отпечаток пальца жертвы с помощью графитового порошка или паров цианоакрилата (суперклей), как затем обработать фотографию перед изготовлением формы и, наконец, изготовить выпуклую маску с помощью желатина, латексного молочка или клея для дерева.
Изготовление желатиновой плёнки с дактилоскопическим рисунком по контурной пресс-форме с отпечатком пальца. Источник: инструкция Цутому Мацумото
Самая большая сложность в этой процедуре — скопировать настоящий отпечаток пальца. Говорят, самые качественные отпечатки остаются на стеклянных поверхностях и дверных ручках. Но в наше время появился ещё один способ: разрешение некоторых фотографий позволяет восстановить рисунок прямо с фотографии.
В 2017 году сообщалось о проекте исследователей из Национального института информатики Японии. Они доказали возможность воссоздания рисунка отпечатка пальца с фотографий, сделанных цифровым фотоаппаратом с расстояния в три метра. Ещё в 2014 году на хакерской конференции Chaos Communication Congress продемонстрировали отпечатки пальцев министра обороны Германии, воссозданные по официальным фотографиям высокого разрешения из открытых источников.
Другая биометрия
Кроме сканирования отпечатков пальцев и распознавания лиц, в современных смартфонах пока массово не используются иные методы биометрической защиты, хотя теоретическая возможность есть. Некоторые из этих методов прошли экспериментальную проверку, другие внедрены в коммерческую эксплуатацию в различных приложениях, в том числе сканирование сетчатки глаза, верификация по голосу и по рисунку вен на ладони.
Но у всех методов биометрической защиты есть одна фундаментальная уязвимость: в отличие от пароля, свои биометрические характеристики практически невозможно заменить. Если ваши отпечатки пальцев слили в открытый доступ — вы их уже не поменяете. Это, можно сказать, пожизненная уязвимость.
«По мере того, как разрешение камеры становится выше, становится возможным рассматривать объекты меньшего размера, такие как отпечаток пальца или радужная оболочка. [. ] Как только вы делитесь ими в социальных сетях, можете попрощаться. В отличие от пароля, вы не можете изменить свои пальцы. Так что это информация, которую вы должны защитить». — Исао Эчизен, профессор Национального института информатики Японии
Стопроцентной гарантии не даёт никакой метод биометрической защиты. При тестировании каждой системы указываются в том числе следующие параметры:
- точность (несколько видов);
- процент ложноположительных срабатываний (ложная тревога);
- процент ложноотрицательных срабатываний (пропуск события).
Ни одна система не демонстрирует точность 100% с нулевым показателем ложноположительных и ложноотрицательных срабатываний, даже в оптимальных лабораторных условиях.
Эти параметры зависят друг от друга. За счёт настроек системы можно, к примеру, увеличить точность распознавания до 100% — но тогда увеличится и количество ложноположительных срабатываний. И наоборот, можно уменьшить количество ложноположительных срабатываний до нуля — но тогда пострадает точность.
Очевидно, сейчас многие методы защиты легко поддаются взлому по той причине, что производители в первую очередь думают об удобстве использования, а не о надёжности. Другими словами, у них в приоритете минимальное количество ложноположительных срабатываний.
Экономика взлома
Как и в экономике, в информационной безопасности тоже есть понятие экономической целесообразности. Пусть стопроцентной защиты не существует. Но защитные меры соотносятся с ценностью самой информации. В общем, принцип примерно такой, что стоимость усилий по взлому для хакера должна превосходить ценность для него той информации, которую он желает получить. Чем больше соотношение — тем более прочная защита.
Если взять пример с гипсовой копией головы для обмана системы типа Face ID, то она обошлась журналисту Forbes примерно в $380. Соответственно, такую технологию имеет смысл применять для защиты информации стоимостью менее $380. Для защиты копеечной информации это отличная технология защиты, а для корпоративных торговых секретов — никудышная технология, так что всё относительно. Получается, что в каждом конкретном случае нужно оценивать минимально допустимую степень защиты. Например, распознавание лиц в сочетании с паролем — как двухфакторная аутентификация — уже на порядок повышает степень защиты, по сравнению только с распознаванием лиц или только одним паролем.
В общем, взломать можно любую защиту. Вопрос в стоимости усилий.
Deepfake: обход биометрии, непредусмотренный регуляторами
Все откладывал как-то эту тему, но тут что-то критическая масса накопилась – за вчерашний день попало на глаза несколько новостей/статей про обход биометрических систем. Об этом и будет заметка. Начну, пожалуй, с шуточного видео, за которым при этом скрыта очень большая проблема, название которой deepfake. Если первая версия одноименного приложения накладывала лица на видео очень некачественно, то китайское приложение ZAO делает это на порядок лучше. Посмотрите, как с помощью всего одной фотографии (аватарки с соцсети) смогли поменять лицо Леонардо ДиКаприо в фильмах с его участием.
Меня эта тема интересует последние пару лет, когда только появилось первое приложение DeepFake и когда Банк России стал семимильными шагами внедрять Единую Биометрическую Систему (ЕБС). Когда ЦБ выпустил свое Указание 4859-У, то я надеялся, что там такого рода угрозы найдут отражение, но все, что хоть как-то можно отнести к ним, это расплывчатая формулировка про актуальность угроз нарушения целостности (подмены) биометрических персональных данных. Настолько абстрактное понятие, что даже непонятно, о чем идет речь – о deepfake или о подмене свертки биометрического фактора?
Была надежда, что в 321-м приказе МинЦифры или в МР-4 Банка России включат раздел про нейтрализацию таких угроз, но увы. И эти документы оказались далеки от прикладных атак, концентрируясь либо на применении криптографии, либо на применении сертифицированной ОС, МСЭ и антивируса, напрочь забыв даже про защитные меры из 21-го приказа ФСТЭК по защите ИСПДн. Последний, перекрывая по своему содержанию и МР-4 и приказ №321, тоже ни слова не говорит о том, как. бороться с deepfake.
Самое неприятное, что на различных мероприятиях или в соцсетях, где присутствуют участники процесса, связанного с ЕБС, упорно обходят молчанием эту тему, даже если им задаешь напрямую вопрос о том, как бороться с этой проблемой. Хоть какой-то ответ я нашел в одной презентации “Центра речевых технологий”, чьи технологии используются в ЕБС, например, у того же Банка “Открытие” и ряда других (решение VoiceKey.INSPECTOR). Правда, используются они при сборе биометрии, а проблема с deepfake возникает на этапе ее проверки в режиме повседневной эксплуатации.
Если посмотреть на классический жизненный цикл биометрической, то он в обязательном порядке должен содержать этап проверки “живости”, без которого биометрия не имеет никакой ценности, несмотря на использование СКЗИ класса КВ или даже КА.
В своих материалах ЦРТ приводит методы проверки живости для изображения лица, как биометрического признака:
и для голоса, как второго биометрического признака:
Но какие из этих методов реализованы в ЕБС не совсем понятно. В описании того же “Ключа” от Ростелоекома говорится о liveness detection, но без каких-либо деталей и уточнений. А судя по презентациям отдельных банков, которые бодро отрапортовали о том, что они не только интегрировались с ЕБС, но и внедряют уже биометрию в свои банковские процессы, далеко не все понимают угрозу deepfake и борются с ней. Например, один из банков предлагает возможность перевода денег без указания номера карты или телефона, “просто сфотографировав получателя”. В данной схеме даже liveness detection никакого нет – работа со статическим биометрическим признаком, который подделать ничего не стоит.
При этом злоумышленники достаточно активно осваивают тему подмены или обхода биометрии, начиная ее использовать в своих целях. Например, недавний случай , когда злоумышленники выманили 220 тысяч евро с помощью подмененного голоса генерального директора ( на русском ). Интересно, что об этом предупреждали пару месяцев назад. Схожий метод, но в массовом масштабе (без привязки к ЕБС) применяется для создания поддельных видео со звездами, которые “рекламируют” что-то. Самое интересное, что исследований, которые показывают, как обойти биометрию, публикуется в разы больше, чем тех, которые показывают, как с этим бороться. Например, свежий, августовский доклад на BlackHat о том, как взламывать liveness detection. В прошлом году на BlackHat прозвучал доклад о том, как обходить голосовую аутентификацию. Вообще на BlackHat очень много выступлений было посвящено тому, как обходить эту технологию.
Если посмотреть на обратную сторону, на то, что можно противопоставить deepfake, то тут исследований не так уж и много. На последних крупных конференциях по ИБ я вспомнил только одно . А вот с готовыми решениями по этой теме, что-то не густо. Что-то встроено в сами биометрические решения, но не во все. В отличие от идентификации фальшивых изображений ( OZ Forensics ) или собственно самой биометрической идентификации. И тут остается полагаться на здравый смысл безопасников, которые будут следовать не только нормативных актам регуляторов, но и самостоятельно задавать вопросы производителям внедряемых решений о том, как те борятся с deepfake. Ибо цена ошибки достаточно высока, а ответственности за взлом биометрической системы регуляторы не несут; как и сами вендоры, которые продают свою решения по принципу “AS IS”. Как минимум, стоит посмотреть в сторону решений по многофакторной аутентификации, которые могут частично. нивелировать проблемы, связанные с низкой защищенностью биометрии.
Отдельная тема, которая пока не имеет какого-то решения, это проведение экспертизы в случае конфликтных ситуаций, которые однозначно появляются в случае обхода биометрии злоумышленниками. Это что-то сродни фототехнической криминалистической экспертизе, но для биометрических признаков (голоса и видео). Не знаю, насколько в России есть у кого-то опыт именно в этой части (хотя вот вчерашний пример ). Но при внедрении биометрии, стоит держать в голове этот вопрос и иметь какой-то ответ на него.
Источники:
http://xakep.ru/2018/12/28/vein-authentication-hack/
http://psm7.com/security/biometricheskaya-autentifikaciya-okazalas-ne-takoj-bezopasnoj-kak-kazhetsya.html
http://iot.ru/bezopasnost/naskolko-bezopasna-biometriya
http://habr.com/post/469533/
http://habr.com/post/435978/
http://www.securitylab.ru/blog/personal/Business_without_danger/346928.php
http://www.bosch-climate.vashdom.ru/events/kompaniya-bosh-termotehnika-predstavila-novinki-oborudovaniya-na-ezhegodnoi-vystavke-aqua-therm-2018-v-moskve/