Сказки о безопасности: Взлом биометрии

Сказки о безопасности: Взлом биометрии

— Доброе утро! Мне нужен дежурный офицер вашего отделения.

— Что случилось, мадам? У вас проблема? Да не плачьте, пожалуйста! Мы попробуем ее решить! Хотите воды? Чаю? С печеньем?

— Спасибо, господин офицер, вы так добры!

— И все же, пока мы с вами будем пить чай, давайте поговорим о ваших проблемах, ведь я не поверю, что вы просто зашли к нам на чашку чаю. Увы, к нам просто так не заходят. Что случилось? Может мне позвать женщину-офицера, вам будет проще с ней говорить?

— Нет. Не нужно, спасибо! Сегодня утром я шла в свой банк, снять деньги. Но когда пришла, мне сказали, что у меня на счету денег нет! Что я сама сняла их вчера вечером. В банкомате на 5-й авеню. Но ведь этого не может быть! Меня просто не было в городе. Вот мой билет, я приехала сегодня ночью.

— Может у вас кто-то просто украл вашу карту и PIN-код?

— Да нет! Вот моя карта. И банкомат защищен таким образом, что при снятии денег мне не нужен PIN. У меня сканируют радужку глаза и проверяют отпечаток пальца. У нас очень продвинутый на технологиях безопасности банк.

— Хорошо, пройдите в комнату напротив, сержант запишет ваши показания.

Прошло 10 минут.

— Господин комиссар, это уже пятое заявление от вкладчиков этого банка. И все карты привязаны к биометрии. Вам не кажется, что нам нужно запрашивать помощь у столичного офиса?

— Думаю, да. Я сейчас перезвоню туда.

Через час в кабинете Иоганна

— Шеф, СРОЧНО!

— Что случилось на этот раз, Мишель?

— Сбылся кошмар всех экспертов в области информационной безопасности!

— А подробнее?

— Шеф, произошла утечка биометрических данных по вине нескольких правительственных организаций.

— У нас?

— Вы правы. Несколько банков используют для подтверждения транзакций клиентов уникальные персональные номера, присваиваемые каждому гражданину империи в рамках идентификации граждан. Идентификация осуществляется на основе анкетных данных, изображений радужной оболочки глаза и отпечатков пальцев. Эти данные, в частности, используются для аутентификации и авторизации денежных переводов, а также для осуществления платежей.

— И что произошло?

— У этих банков буквально полностью очищены счета более 400 клиентов, использующих такую идентификацию. Очевидно, атаковано наше центральное хранилище уникальных персональных номеров. А сколько информации похищено в результате атаки — мы просто не знаем.

— Действительно кошмар. Самое страшное, что биометрические данные, в отличие от пароля, сменить нельзя. Следовательно, для этих людей биометрию использовать уже нельзя. А самое страшное — неизвестен точный размер утечки. Сколько пострадавших? Кому можно доверять? Кому нельзя? Фактически это крах аутентификации с помощью биометрических данных.

— Да, шеф, теперь я понимаю, почему вы всегда говорили, что аутентификация с помощью биометрических данных — это удобство, а отнюдь не безопасность!

— Да. Я действительно так считаю. Более того, на мой взгляд, взлом баз данных, содержащих биометрические данные, приведет к тому, что придется менять всю систему аутентификации граждан, а это и время, и огромные деньги.

— А что будет с этими несчастными?

— Пострадавшие получат свои деньги из имперского фонда страхования. Но что делать с фондом биометрии? Высылайте наших ребят в хранилище идентификационных номеров. До особого распоряжения система аутентификации работать не будет. Мы должны понять не только как произошла утечка, но и сколько и какие данные ушли наружу.

Прошел месяц. По окончании расследования был сделан вывод, что атака, скорее всего, пришлась на системы резервного копирования. Но идея биометрического распознавания клиента без пароля была закрыта в империи и теперь для проведения платежа все чаще и чаще используются аппаратные генераторы одноразовых паролей в сочетании с биометрией.

Недавно в Индии обнаружилась утечка более 100 млн. уникальных персональных номеров, присваиваемых каждому гражданину в рамках национальной программы идентификации.

А как вы считаете, аутентификация с помощью биометрии — это безопасность или просто удобство?

Alt text

Домашний Wi-Fi – ваша крепость или картонный домик?

Узнайте, как построить неприступную стену

Владимир Безмалый

О безопасности и не только