Security Week 37: практическая безопасность биометрии

Security Week 37: практическая безопасность биометрии
Авторизация по лицу или по отпечаткам пальцев повышает безопасность устройств. Об этом в своем блоге пишет Трой Хант (Troy Hunt), создатель ресурса для проверки утечек данных Haveibeenpwned , отвечая на распространенную критику биометрических систем аутентификации. Традиционной уязвимостью этой технологии считается невозможность быстро изменить черты лица или отпечаток пальца в случае компрометации, в отличие от пароля. По мнению Троя Ханта, об этом можно не переживать, так как практическая безопасность использования биометрии достаточно сильна.

42011302f1080bc55457b78c7620efe2.jpeg

Трой Хант справедливо утверждает, что пароли крадут гораздо чаще, чем отпечатки пальцев. Но важнее здесь то, что создать достаточно убедительный слепок головы или смоделировать рельеф подушечки пальца гораздо сложнее, чем, например, подсмотреть код разблокировки телефона в баре, перед тем как украсть телефон. Его рассуждения затрагивают интересный аспект информационной безопасности: вероятность атаки зависит не только от наличия потенциальной уязвимости, но и от реальных возможностей атакующего.

Так, автор статьи рисует базовый портрет потенциального взломщика. Тот, кто ворует смартфоны в тех же барах, вряд ли будет заниматься конструированием достоверного биометрического протеза, хотя теоретически и может скопировать отпечаток пальца с пивного бокала. Те, кто действительно способен на обман биометрии (подразумеваются спецслужбы, в тексте автор делает отсылку к фильму про Джеймса Бонда), скорее всего используют массу иных способов получить доступ к устройству: от использования zero-day уязвимостей до приведения убедительных аргументов, чтобы владелец сам разблокировал телефон.

Наконец, Трой приводит статистику компании Apple четырехлетней давности. До внедрения технологии Touch ID только половина смартфонов была защищена кодом. После появления биометрических сканеров парольная фраза появилась почти на 90% устройств Apple. Получается, что при наличии такой теоретической проблемы, как несменяемость отпечатков или черт лица, биометрия в практических условиях повышает защищенность телефона. Она позволяет передать на устройство уникальный «ключ» так, чтобы украсть его было в разы сложнее пароля, который можно просто подсмотреть.

Мнение Троя Ханта — критика того, что он называет «нездоровым абсолютизмом в области безопасности»: когда определенные меры защиты не используются, потому что у них есть теоретическая проблема. Это разумный подход, но надо отметить, что такая логика работает только в случае надежного биометрического сканирования, которое в свою очередь реализуется не всегда. Можно привести в пример презентацию на Black Hat 2019 года, в которой была показана система обхода Face ID. Но и там была проведена изощренная атака: на спящего владельца айфона надевали очки, а на линзы приклеивали куски скотча, симулирующие открытые глаза. Интересно, выполнимо в реальных условиях, но не очень практично.

Что еще произошло:

Zero-day уязвимость в Windows (CVE-2021-40444) позволяет атаковать систему с помощью документа Microsoft Office, в который встроен вредоносный элемент ActiveX. Сам баг находится в браузере Internet Explorer и затрагивает версии Windows от 8.1 до 10, а также Windows Server с 2008 по 2019. Патча пока нет (возможно, будет выпущен на этой неделе), эксперты Microsoft предлагают временное решение проблемы.

Специалисты «Яндекса» детально рассказывают о крупнейшей DDoS-атаке, произведенной ботнетом Mēris. Кроме «Яндекса», также пострадали сервис Cloudflare и блог эксперта по безопасности Брайана Кребса. Ботнет построен из роутеров Mikrotik, а для его строительства, вероятно, использовалась пока неизвестная уязвимость.

В публичный доступ попала база логинов и паролей, собранных с уязвимых VPN-серверов Fortinet. Всего в базе содержатся данные с 87 тыс. устройств.

В управляемых свитчах компании Netgear обнаружены три уязвимости, обеспечивающие возможность перехвата контроля над устройством.
face id fingerprint
Alt text

Больше пяти не собираться: роботы будут следить за улицами Сингапура, хакеры атаковали проект Jenkins, во Франции арестовали экологов, данные которых раскрыл ProtonMail, а россиян беспокоит идея «социальных рейтингов». Смотрите 31-й выпуск наших новостей.