Лана (liana_lll) wrote,
Лана
liana_lll

Categories:

Обходы системы биометрической защиты

Обмани меня: как хакеры обходят системы биометрической защиты




Полагая, что биометрия сделает жизнь удобнее и безопаснее, мы начинаем ее активно внедрять, не взвесив все за и против. Что может угрожать биометрическим системам? Проблема в том, что «потерянные» голос или данные геометрии лица использовать снова будет невозможно. Разумеется, «потерять» их не так просто: они специальным образом преобразуются и затем хранятся в специальном хранилище.

В фантастических фильмах плохие парни отрезают пальцы, записывают голос, делают 3D-маски лица или муляжи ладони. Эти варианты атаки действительно существуют, но они направлены только на систему считывания биометрических данных.

На самом деле векторов атак гораздо больше. Например, можно сломать сам считыватель, и что бы ему ни предъявляли, он будет выдавать ошибку. Можно вмешаться в работу системы верификации и поменять решение системы на нужное злоумышленникам. Можно взломать хранилище биометрических профилей и внести новые, а также подменить/уничтожить существующие данные по нужным людям. И это, пожалуй, самый опасный вариант для любой схемы биометрии.

Всего существует около полутора десятков способов взломать систему биометрической идентификации, и выбор наиболее удобных из них зависит от конкретных задач, стоящих перед хакерами. Если нужно дискредитировать всю систему, то атака будет направлена на хранилище биометрических профилей. Если нужно заставить систему принять «правильное» решение, то эффективнее атаковать систему верификации. Когда действия злоумышленников направлены на конкретного человека, то логичнее синтезировать его голос и видео. Существующие технологии уже позволяют, имея запись голоса или видео любого человека, синтезировать его речь или наложить его лицо на другую видеозапись.

Несовершенная система

Предлагаемая в России Единая биометрическая система (ЕБС) в своем роде уникальна: проектов такого масштаба в мире немного, и поэтому к их проектированию (особенно с точки зрения оценки актуальных угроз) подходить надо очень серьезно. Обнаруженные ошибки в такой системе надо будет устранять в масштабах всей страны. Апелляция к опыту хранения информации в системе биометрических паспортов не совсем корректна. Биометрические паспорта — это действительно защищенное хранилище, но к нему имеют доступ очень ограниченное число лиц. В основном это государственные органы: ФНС, ФМС, пограничная служба, МВД, ФСБ. Когда же мы говорим об удаленной идентификации, которую строят ЦБ и «Ростелеком», то к ней будет получать доступ гораздо большее количество организаций. По скромной оценке, их число будет измеряться несколькими сотнями, а то и тысячами, а значит, число точек проникновения в эту базу многократно увеличится.

При этом сами граждане подготовлены к переходу на биометрические технологии: они активно используют технологии распознавания лиц или отпечатков пальцев на мобильных устройствах при оплате в AppStore или Google Play. Более того, согласно отчету Cisco Customer Experience Research. Automotive Industry, проведенному Cisco в 10 странах, включая Россию, 60% граждан готовы предоставлять свои биометрические персональные данные, если это позволит усилить защиту их автомобиля, например, от угона или при дистанционном управлении отдельными функциями.

Сегодня при активном PR биометрических технологий о безопасности их применения в масштабах государства говорят мало. Возможно, это делается для того, чтобы не обозначить слабые зоны и не дать злоумышленникам подготовиться к атакам. Однако принцип «безопасность через незнание» в данном случае не работает. Необходимо широкое обсуждение механизмов защиты такой базы. Если ее взломают даже один раз, это подорвет доверие ко всей системе биометрической идентификации в России не только сейчас, но и в будущем.

Полностью тут

Tags: III Рим=III Рейх, Аненербе, электронный концлагерь
Subscribe

Recent Posts from This Journal

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 5 comments