Старший брат следит за тобой. Как защитить себя в цифровом мире

ВАЖНО! Если вы не пытались войти в систему с поддержкой двухфакторной аутентификации, а вам неожиданно приходит SMS-сообщение или иное уведомление с одноразовым кодом, – самое время задуматься о смене пароля к своему аккаунту. Возможно, его пытаются взломать.

Если нужно защитить более важные данные, составляющие, к примеру, коммерческую или государственную тайну, необходимо использовать аппаратные токены с одноразовыми паролями и прочими средствами защиты, а еще надежнее хранить такие данные исключительно на локальных устройствах без доступа к глобальным и локальным сетям, соблюдая концепцию «контролируемых зон», а также тщательно фильтровать пользователей и настраивать уровни доступа.

Биометрические технологии

Прогресс не стоит на месте, и вместо кодовых фраз, набирать которые сложно и утомительно, все чаще используются биометрические технологии. Это способ идентифицировать человека по физиологическим (отпечатки пальцев, форма рук, снимки радужной оболочки глаза или лица, капиллярный рисунок, сердечный ритм и даже запах и последовательность ДНК) и поведенческим (например, речь или походка) чертам, а также их совокупности.

КЕЙС На мероприятии Chaos Communication Congress 2018 специалисты по исследованию систем цифровой безопасности Ян Крисслер и Джулиан Альбрехт рассказали, как им удалось обмануть систему сканирования капилляров. Подобная биометрическая система используется, например, в офисах Федеральной разведывательной службы Германии. Эксперты сфотографировали свои руки зеркальным фотоаппаратом с инфракрасным фильтром и получили снимки кровеносных сосудов. После этого исследователи отлили из воска модели ладоней, а затем нанесли на их поверхность карту кровеносных сосудов.

Такие способы хоть и не обеспечивают абсолютной защиты (полностью безопасных способов вообще нет), но намного эффективнее в плане контроля за доступом и, безусловно, гораздо удобнее систем ввода пароля (включая и аппаратные средства) с многофакторной аутентификацией. Не нужно запоминать сложный пароль, ожидать SMS-сообщения и вводить полученный код в течение нескольких секунд – достаточно снять на камеру устройства свое лицо или глаз либо приложить палец к специальному датчику. Такие системы тоже могут быть скомпрометированы, но во многих случаях потребуют от злоумышленника внушительных ресурсов либо физического доступа к пользователю. Суть системы в том, что каждый человек обладает уникальными характеристиками, по которым она методом сравнения с шаблонами, хранящимися в базе данных (на устройстве или сервере), определяет, является ли человек, запрашивающий доступ, тем, за кого себя выдает.

Обработка данных в биометрических системах осуществляется по следующей схеме:

1. Запись биометрических данных. Человек впервые сканирует палец, лицо, голос и т. п. Полученные данные захватываются и передаются на обработку.

2. Обработка биометрических данных. Полученные данные обрабатываются (например, из них удаляется фоновый шум и прочие артефакты, они хешируются и т. п.). Создается некий отпечаток-идентификатор, уникальный для каждого человека.

3. Сохранение биометрических данных. Самый важный шаг – безопасное сохранение биометрических данных. Данные могут храниться как на устройстве, так и на сервере в интернете. При этом обязательно должно использоваться шифрование, а канал передачи сохраняемых и извлекаемых данных должен быть надежно защищен.

4. Извлечение биометрических данных. После того как данные сохранены, человек может использовать их для доступа в систему. Он вновь сканирует палец или другую часть тела. Захваченные биометрические данные сравниваются с хранящимися в памяти устройства или на сервере. Если данные совпали (допускается определенная погрешность, которая зависит от системы и ее настроек) – доступ разрешается, если нет (или если данные не распознаны) – доступ отклоняется и запрос повторяется.

Эти системы аутентификации удобны, но небезопасны. Во-первых, их использование угрожает безопасности, а иногда даже жизни владельца персональных данных. При парольной защите злоумышленнику (которого интересуют именно данные на устройстве) достаточно похитить и взломать его, и только в случае стойкой защиты (например, на iOS-устройствах) он может попытаться выпытать пароль у владельца. А при биометрической защите преступник без него уже вряд ли получит доступ к данным (за редким исключением). А правоохранителям для просмотра содержимого памяти устройства не придется требовать от владельца пароль, который тот сообщать не обязан. Достаточно принудительно снять отпечатки его пальцев по очереди, пока подходящий не сработает, или, что еще проще, сфотографировать лицо. Во-вторых, существует опасность утечки биометрических данных, особенно если они хранятся на сервере компании – поставщика услуг. К ним могут получить доступ как злоумышленники, так и правоохранительные органы (спецслужбы), жаждущие контролировать каждый байт трафика, циркулирующего в Сети. Если злоумышленники похитят биометрические данные и используют их для совершения преступления, то обвинение в нем может быть предъявлено их настоящему владельцу. При этом, в отличие от пароля, сменить радужную оболочку глаза или отпечаток пальца невозможно. В-третьих, биометрические данные можно подделать. Подмена данных (spoofing attack) – наиболее серьезная угроза даже для комбинированных (мультимодальных) биометрических систем^[75]. К недостаткам биометрических систем можно отнести и ложные срабатывания при идентификации близнецов, а также затруднение опознавания людей при возрастных изменениях их биометрических особенностей.

AADHAAR

Индийская идентификационная система AADHAAR, содержащая данные более чем миллиарда человек, является крупнейшей базой биометрических данных в мире. Каждому человеку присваивается уникальный 12-значный номер, привязанный к биометрическим (фотографии лица, отпечаткам 10 пальцев руки и двум сканам радужной оболочки глаза) и персональным (Ф.И.О., адрес регистрации, дата рождения, пол и на выбор номер телефона или адрес электронной почты) данным владельца. Система была создана для реализации различных государственных программ и позволяет экономить бюджетные деньги (чиновники всячески препятствовали запуску проекта, который должен был предотвратить разворовывание государственных средств)^[76]. В начале 2018 г. база данных AADHAAR была скомпрометирована: хакеры проникли в систему и похитили данные 1,2 млрд человек. Доступ ко всей базе можно было приобрести всего за 500 индийских рупий (470 рублей на момент написания книги)^[77].

В большинстве современных устройств, оборудованных биометрическими системами аутентификации, применяется сканер отпечатка пальца, сканер радужной оболочки глаза или сканер лица либо сразу несколько сканеров в случае использования комбинированных систем аутентификации.

Дактилоскопические системы

К распространенным системам биометрической аутентификации относятся дактилоскопические, т. е. проверяющие отпечатки пальцев пользователей.

Существует несколько способов проверки отпечатков, но все они, как правило, требуют, чтобы человек приложил палец к датчику. Датчик может, к примеру, измерить разницу в электрическом сопротивлении на разных частях подушечки пальца, а затем сформировать ее уникальный узор, а может и просто сфотографировать палец. Другие датчики испускают ультразвуковые волны и улавливают их отражения, выстраивая на их основе точную 3D-модель пальца. Вне зависимости от способа получения отпечатка пальца дальнейшая работа с полученными данными заключается в сверке нынешнего отпечатка с отпечатком, сохраненном в базе данных ранее. Если они совпадают (допускается некоторая погрешность), пользователь входит в систему.

Как работает дактилоскопический сканер

Наиболее распространены три типа сканеров отпечатков пальцев: емкостные, оптические и ультразвуковые. Хотя пользователю сканера разница не видна – в любом случае он прикладывает палец, механизм работы этих сканеров различен.

■ Емкостные сканеры наиболее распространены. Они получают изображение при помощи миниатюрных конденсаторов (как известно, конденсатор способен накапливать электрический заряд). Когда пользователь прикладывает палец к сканеру, конденсаторы разряжаются: там, где кожа (гребни узора) прилегает вплотную, – больше; там, где бороздки, – меньше. Таким образом создается рисунок отпечатка.

■ Оптические сканеры, по сути, фотографируют отпечаток. Сканер освещает приложенный к нему палец и регистрирует разницу отражения света от гребней и бороздок кожи, получая изображение папиллярных линий.

 

■ Ультразвуковые сканеры посылают ультразвуковой сигнал и регистрируют отражения волн от гребней и бороздок (эхо). Такой сканер фиксирует всю доступную ему поверхность пальца, в том числе удаленную от датчика. Поэтому изображение получается объемным, что помогает предотвратить обман сканера с помощью плоских изображений отпечатков.

Для аутентификации сканер каждый раз сканирует приложенный к нему палец и сравнивает полученное изображение с сохраненным ранее^[78].

Надежность защиты такой системы различна в зависимости от используемого устройства. Если это последняя модель крупного производителя, заботящегося о защите персональных данных своих клиентов, которая работает под управлением своевременно обновляемой операционной системы, то обычному пользователю в большинстве случаев можно не бояться, что злоумышленник обойдет защиту. Все биометрические данные надежно шифруются, и сканеры, как правило, блокируют попытки несанкционированного доступа. Если же это устройство, выпущенное мелким производителем, а тем более – китайская подделка под какой-то известный бренд, то биометрическая защита, скорее всего, не сработает: данные будет нетрудно «угнать» даже без взлома датчика, а обойти систему защиты можно будет с помощью простой распечатки отпечатка пальца на токопроводящей бумаге или с помощью фотографии. Для взлома флагманов нужно 3D-моделирование, специальные составы и четкие отпечатки пальцев настоящего владельца. Такая целевая атака, скорее всего, под силу лишь квалифицированным специалистам.

В то же время злоумышленнику достаточно украсть ваш смартфон, а все ваши отпечатки уже есть на его корпусе, их можно снять и сделать слепок, например с помощью 3D-принтера^[79] и клея^[80], или изготовить «универсальный» отпечаток^[81]. Многие биометрические системы среагируют и на поддельный силиконовый отпечаток, который можно наклеить поверх любого пальца, чтобы обмануть датчик, реагирующий на температуру тела. Причем в некоторых случаях злоумышленнику даже не нужно искать отпечатки пальцев владельца на предметах – достаточно фотографий рук в высоком разрешении. Это доказали исследователи на конференции Chaos Communication Congress 2014, продемонстрировав добытые таким образом отпечатки пальцев министра обороны Германии Урсулы фон дер Ляйен^[82]. А еще преступники учитывают то, что, скорее всего, владелец использует для аутентификации указательный или большой пальцы. Это удобно, но и неправильно, так как в работе человек пользуется чаще всего именно этими пальцами, а значит, именно их отпечатки есть на устройстве.

Еще одна опасность биометрических систем – возможность кражи баз данных, содержащих в числе прочего биометрическую информацию клиентов. Например, в августе 2019 г. в интернете была обнаружена незащищенная база данных с 27,8 млн записей пользователей системы безопасности Suprema Biostar 2. Эта система обеспечивает биометрическими средствами защиты организации по всему миру, в том числе банковские и правительственные^[83]. Среди данных есть незашифрованные имена пользователей с паролями^[84], их домашние и электронные адреса, списки сотрудников с указанием уровня доступа и дат доступа на охраняемые объекты, а также биометрические записи (в частности, сведения о распознавании лиц и отпечатков пальцев). Проникнув в такую базу данных, злоумышленник может внести в нее изменения, в том числе заблокировать доступ сотрудников в помещение (например, в полицейском управлении) или создать фиктивные учетные записи на свое имя, получив доступ к любой зарегистрированной в базе организации. Кроме того, биометрические данные могут быть похищены и использованы для проникновения в другие организации, при получении доступа в которые сканируется подушечка пальца или лицо; для проведения целевых фишинговых атак; для взлома личных устройств и систем безопасности пользователей, данные которых находятся в базе данных (особенно если учесть записи о домашних адресах пользователей) и т. п.^[85]

Также важно отметить, что многие современные дактилоскопические сканеры реагируют и на отпечаток умершего или находящегося в бессознательном состоянии человека – это существенный недостаток технологии, потенциально угрожающий здоровью и даже жизни владельца особенно ценной информации. К другим недостаткам можно отнести чувствительность сканеров к чистоте и влажности рук, а также изменению рисунка из-за травм и ожогов. Для распознавания отпечатка в таких случаях разработчики биометрических систем прибегают к упрощению хранимых отпечатков (т. е. допускают определенный уровень погрешности). Это отрицательно сказывается на уровне защиты, так как подделать отпечаток для менее «требовательного» сканера становится проще.

Учитывая все перечисленные недостатки, производители дактилоскопических систем продолжают совершенствовать свои технологии и реализуют механизмы защищенного обмена биометрическими данными без доступа к ним внешних процессов (чтобы преступник не мог перехватить данные на их пути от датчика к хранилищу). Сообщалось о том, что французская компания Idemia работает над технологией бесконтактного сканирования отпечатков пальцев: достаточно провести рукой в паре сантиметров от поверхности сканера и несколько встроенных видеокамер зафиксируют движение руки. Компания CrucialTec для повышения надежности своих систем внедрила в них датчик сердечного ритма, а китайский разработчик Real iDentity добавил в сканер датчик микроскопических капель пота: они могут находиться только на коже живых людей. Такие системы не обманешь ни распечатками, ни даже отрезанными пальцами^[86]. Вероятно, преступники смогут обойти и эти способы защиты, но это явно будет сложнее.

Устройства компании Apple

В компании Apple данные датчика Touch ID (т. е. отпечатки пальцев владельца) хранятся в виде математических представлений^[87] в специальном защищенном хранилище-микрокомпьютере без доступа к интернету. При этом даже односторонние хеш-функции отпечатков зашифрованы, а ключи шифрования вычисляются во время загрузки устройства на основе уникального аппаратного ключа (также хранящегося в защищенном микрокомпьютере без возможности извлечения) и ПИН-кода, вводимого пользователем. После расшифровки данные отпечатков загружаются в оперативную память устройства и никогда не сбрасываются на диск. Кроме того, при определенных обстоятельствах система безопасности удаляет отпечатки из оперативной памяти, чтобы пользователь ввел ПИН-код и смог возобновить работу функции Touch ID. Это происходит, если: устройство перезагружается, добавляется новый отпечаток, устройство удаленно блокируется, происходит пять неудачных попыток разблокировки, проходит 6 суток с момента последнего ввода ПИН-кода или 8 часов с момента разблокировки с помощью Touch ID29. Компания Apple придерживается принципа «приоритетной защиты персональных данных» из-за обоснованных и необоснованных попыток правоохранительных органов получить доступ к устройствам пользователей.

Обман такого датчика (Touch ID) возможен, но вряд ли угрожает обычному пользователю: для этого понадобится создать трехмерную модель пальца, причем из подходящего материала (на устройствах Apple, более старых, чем iPhone 5S и iPad mini 3, датчик могло обмануть даже отпечатанное на бумаге в высоком разрешении изображение отпечатка пальца), и приложить ее к датчику в течение нескольких часов после кражи устройства. Кроме того, содержимое памяти устройства надежно зашифровано, и на его расшифровку, что далеко не всегда возможно, понадобится дополнительное время и ресурсы.

Android-девайсы

В устройствах под управлением операционной системы Android могут использоваться схожие методы, обеспечивающие достойный уровень защиты. Но они, как правило, применяются в новых и топовых моделях известных брендов. Исследователи время от времени сообщают об успешных попытках взлома таких устройств различными способами, эффективность которых зависит от типа используемого датчика. Так, стандартные емкостные датчики реагируют не только на отпечаток пальца владельца, но и на сделанную с помощью специальных токопроводящих чернил копию отпечатка, имеющую высокое разрешение, а ультразвуковые датчики – на копию пальца, напечатанную на 3D-принтере. Кроме того, практически любой датчик отреагирует на надетый поверх пальца отпечаток, материалом для которого служит тонкая пленка из токопроводящего материала.

Развитие операционной системы Android и биометрических датчиков позволяет постепенно избавиться от уязвимостей, свойственных ранним моделям. Современные версии Android, как и iOS/iPadOS, блокируют доступ к датчику после перезагрузки и через некоторое время с момента последней разблокировки, защищая устройства от несанкционированного доступа. Благодаря изменениям, внесенным в Android, многие (но не все) устройства под управлением этой операционной системы (начиная с 9-й версии) защищены не хуже, чем аналогичные девайсы компании Apple.

Распознавание радужной оболочки

Это один из самых эффективных способов для идентификации и дальнейшей аутентификации личности, основанный на уникальности радужной оболочки глаза человека. Такие системы идентифицируют личность с высокой точностью. Но, к сожалению, их несложно обмануть (если, конечно, это не дорогие промышленные устройства, способные обнаруживать контактные линзы и отличать человеческий глаз от его изображения). К примеру, сканер радужной оболочки в смартфонах Samsung Galaxy S8 и S8+ реагирует на обычную фотографию владельца; главное, чтобы глаза были видны в кадре^[88]. Система различает 2D- и 3D-изображения: сканеры реагируют на трехмерное изображение радужной оболочки. Но обойти эту защиту несложно: достаточно наклеить на фотографию глаза контактную линзу. Снимок радужной оболочки владельца смартфона может использоваться не только для разблокировки устройства, но и для подтверждения таких платежей, как Samsung Pay^[89]. Поэтому злоумышленник может не только завладеть содержимым устройства, но и опустошить счета владельца.

КЕЙС Ян Кисслер, немецкий исследователь, доказал несовершенство биометрических систем аутентификации. Он смог не только обойти применявшуюся в некоторых ранних моделях Apple iPhone функцию Touch ID (там используется сканер отпечатка пальца), но и обмануть сканер радужной оболочки, скопировав радужку глаза канцлера Германии Ангелы Меркель с фото в высоком разрешении и распечатав узор на контактной линзе^[90]. По словам Кисслера, для этой цели годятся даже журнальные снимки. Отпечатки пальцев подделать также просто: преступники могут сфотографировать руку жертвы обычным зеркальным фотоаппаратом с 200-миллиметровым объективом и распечатать специальные ультратонкие перчатки с узором отпечатков.

Для повышения надежности систем аутентификации разные компании пошли различными путями. К примеру, Samsung в смартфоне Galaxy S9 использовала мультимодальную систему биометрической аутентификации – по отпечатку пальца, снимку радужной оболочки и снимку лица, а Apple, учтя недостатки сканеров отпечатков пальцев и радужной оболочки, разработала инновационную технологию Face ID для распознавания лиц. Оба подхода существенно повышают уровень надежности систем аутентификации.

Распознавание лиц

Технология распознавания лиц, позволяющая сканировать не радужную оболочку глаза, а все лицо целиком, – одно из главных направлений развития биометрической аутентификации в мобильных устройствах, а также в государственных и коммерческих системах видеонаблюдения. После реализации в смартфоне Apple iPhone X этой функции, названной Face ID, и другие разработчики стали встраивать в свои мобильные устройства аналогичные системы.

Система распознавания лиц работает по тому же принципу, что и другие биометрические устройства: на камеру (обычную и/или инфракрасную) фотографируется лицо человека, взявшего в руки гаджет, и снимок сравнивается с тем, что сохранен в базе данных. Если совпадение обнаружено, человек получает доступ к содержимому устройства и всем его функциям.

Важно отметить, что разработанная компанией Apple технология Face ID очень сложна и использует в работе не только обычную, но и инфракрасную камеру, а также проектор точек. Последний проецирует на лицо человека свыше 30 000 инфракрасных точек, а инфракрасная камера фотографирует лицо вместе с этими точками. Также Face ID использует алгоритмы машинного обучения. Эта система считается самой надежной и устойчивой к взлому.

КЕЙС Сотрудники вьетнамской компании Bkav, занимающейся решением вопросов информационной безопасности, смогли обойти систему защиты инновационной технологии Apple Face ID. Они распечатали на 3D-принтере каркас маски, имитирующей лицо владельца (своего сотрудника), добавили силиконовый нос и двухмерные изображения глаз, потратив на все 150 долларов. Разблокировать устройство удалось с первого раза^[91]. Тем не менее исследователи признали, что затраченные усилия были слишком велики, чтобы тратить время на взлом смартфона обычного гражданина. Для «снятия» трехмерного слепка с лица владельца была использована установка с несколькими камерами. Получив снимки с разных ракурсов, специалисты вручную сформировали объемное изображение, которое было напечатано на 3D-принтере. Впоследствии готовая маска подверглась ручной обработке для имитации естественного человеческого взгляда. Аналогичным образом в 2018 г. журналист Forbes Томас Брюстер обманул смартфоны LG G7 ThinQ, Samsung S9, Samsung Note 8 и OnePlus 6, а iPhone X при испытаниях выстоял^[92].

Таким серьезным подходом не могут похвастаться другие производители: их системы распознавания лиц можно обмануть даже с помощью обычных фотографий. Исследователи смогли обойти биометрическую защиту, поочередно показывая смартфону под управлением операционной системы Android фотографии лица с закрытыми и открытыми глазами (имитируя моргание глаз)^[93].

Также к недостаткам (точнее, неудобствам) систем распознавания лиц следует отнести то, что устройства могут не срабатывать при недостаточной освещенности, тряске (и, как следствие, смазанности изображения) или изменении внешнего вида (например, если была сбрита борода).

Выбирая способ защиты на своем устройстве, следует поискать в интернете информацию, чтобы по возможности узнать, не подвергалась ли ваша модель взлому. На момент создания этой книги самым надежным (но и неудобным для многих) способом защиты информации оставалось использование сложного пароля.