У 2018 році в Росії вступив у діюзакон про біометричну ідентифікацію. У банках йде впровадження біометричних комплексів та збір даних для розміщення в Єдиній біометричній системі (Початкова школа). Біометрична ідентифікація дає громадянам можливість отримувати банківські послуги дистанційно. Це позбавляє їх черг і технічно дозволяє «відвідати банк» у будь-який час доби.
Зручності дистанційної ідентифікації за фотографією чи голосом гідно оцінили не лише клієнти банків, але й кіберзлочинці. Незважаючи на прагнення розробників зробити технологію безпечною, дослідники постійно повідомляють про появу нових способів обману таких систем.
Так може, не варто погоджуватися на пропозицію привітного операційіста пройти біометричну ідентифікацію у відділенні банку? Або таки скористатися перевагами нової технології? Розбираємось у цьому пості.
У чому проблема?
У біометричної ідентифікації є особливості, які відрізняють її від звичної пари логін/пароль або безпечної 2FA:
- Біометричні дані публічні. Можна знайти фотографії, відео- та аудіозаписи практично будь-якого жителя планети Земля та використовувати їх для ідентифікації.
- Неможливо замінити обличчя, голос, відбитки пальців або сітківку з тією ж легкістю, як пароль, номер телефону або токен для 2FA.
- Біометрична ідентифікація підтверджує особу з ймовірністю, близькою, але не рівною 100%. Іншими словами, система припускає, що людина може певною мірою відрізнятися від своєї біометричної моделі, збереженої в базі.
Оскільки біометричні дані відкривають не лише турнікети в аеропортах, а й банківські сейфи, хакери та кіберзлочинці всього світу посилено працюють над способами обману систем біометричної ідентифікації. Щороку у програмі конференції з інформаційної безпеки BlackHat незмінно присутнідоповіді, пов'язані з уразливістю біометрії, але практично не зустрічається виступів, присвячених розробці методів захисту.
Як основні проблеми, пов'язаних з біометричною ідентифікацією, можна виділити фальсифікацію, витоку та крадіжки, низька якість зібраних даних, а також багаторазовий збір даних однієї людини різними організаціями.
Фальсифікація
Публікації, пов'язані з різними способами обману систем біометричної ідентифікації, часто зустрічаються у ЗМІ. Це івідбиток пальця міністра оборони Німеччини Урсули фон дер Ляйєн, виготовлений за її публічними фотографіями, та обман Face ID на iPhone X за допомогою маски, гучнакрадіжка 243 тисяч доларів за допомогою підробленого нейромережею голосу генерального директора, фальшиві відео зі зірками, рекламуючими шахрайські виграші, та китайська програма ZAO, яка дозволяє замінити обличчя персонажа відеоролика на будь-яке інше.
Щоб біометричні системи не приймали фотографії та маски за людей, у них використовується технологія виявлення «живості» - liveness detection - набір різних перевірок, які дозволяють визначити, що перед камерою знаходиться жива людина, а не його маска чи фотографія. Але і цю технологію можна обдурити.
Впровадження фальшивого відеопотоку в біометричну систему.Джерело
У представленому на BlackHat 2019 доповіді «Біометрична автентифікація під загрозою: Злом виявлення Liveness» повідомляється про успішний обхід liveness detection у Face ID за допомогою окулярів, одягнених на сплячу людину, впровадження підроблених аудіо- та відеопотоків, та інших способів.
X-glasses — очки для обмана liveness detection в Face ID.Джерело
Для зручності користувачів, Face ID спрацьовує, якщо людина надягла сонцезахисні окуляри. При цьому кількість світла в очах зменшується, тому система не може побудувати якісну 3D-модель області навколо очей.. З цієї причини, виявивши окуляри, Face ID не намагається отримати 3D-інформацію про очі і представляє їх у вигляді абстрактної моделі — чорної області з білою точкою в центрі.
Якість збору даних та хибні розпізнавання
Точність ідентифікації залежить від якості біометричних даних, збережених у системі. Щоб забезпечити достатню для надійного розпізнавання якість, необхідно обладнання, яке працює в умовах галасливих і не надто яскраво освітлених відділень банків.
Дешеві китайські мікрофони дозволяють записати зразок голосу у несприятливих умовах, а бюджетні камери — зробити фото для побудови біометричної моделі. Але за такого сценарію значно зростає кількість хибних впізнань — ймовірність того, що система прийме одну людину за іншу, з близьким за тональністю голосом або подібною зовнішністю. Таким чином, неякісні біометричні дані створюють більше можливостей для обману системи, якими можуть скористатися зловмисники.
Багаторазовий збір біометрії
Деякі банки почали впровадження власної біометричної системи раніше, чим заробила ЄБС. Здавши свою біометрію, людина вважає, що може скористатися новою технологією обслуговування в інших банках, а коли з'ясовується, що це не так, здасть дані повторно.
Ситуація з наявністю кількох паралельних біометричних систем створює ризик, що:
- Людина, який двічі здав біометрію, швидше за все, вже не викликає подиву пропозиція повторити цю процедуру і в майбутньому він може стати жертвою шахраїв, які будуть збирати біометрію у своїх злочинних цілях.
- Найчастіше відбуватимуться витоки та зловживання, оскільки збільшиться кількість можливих каналів доступу до даних.
Витоку та крадіжки
Може здатися, що витік чи крадіжка біометричних даних — справжня катастрофа для їхніх власників, але, насправді, все не так погано.
У загальному випадку біометрична система зберігає не фотографії та записи голосу, а набори цифр, характеризуючі особистість - біометричну модель. І тепер поговоримо про це детальніше.
Для побудови моделі обличчя система знаходить опорні антропометричні точки., визначальні його індивідуальні характеристики. Алгоритм обчислення цих точок відрізняється від системи до системи та є секретом розробників. Мінімальна кількість опорних точок 68, але в деяких системах їх кількість становить 200 і більше.
За знайденими опорними точками обчислюється дескриптор - унікальний набір характеристик обличчя, незалежний від зачіски, віку та макіяжу. Отриманий дескриптор (масив чисел) і являє собою біометричну модель, яка зберігається у базі даних. Відновити вихідне фото за моделлю неможливо.
Для ідентифікації користувача система будує його біометричну модель і порівнює з дескриптором, що зберігається в базі..
З принципу побудови моделі є важливі наслідки:
- Використати дані, викрадені з однієї біометричної системи для обману іншої — навряд чи вийде через різні алгоритми пошуку опорних точок і серйозні відмінності в результуючій моделі.
- Обдурити систему за допомогою викрадених із неї даних теж не вийде — для ідентифікації потрібно пред'явити фотографію або аудіозапис., за якою вже буде проведено побудову моделі та порівняння з еталоном.
Навіть якщо база зберігає не лише біометричні моделі, але і фото та аудіо, за якими вони побудовані, обдурити систему за допомогою «в лоб» не можна: алгоритми перевірки на «живість» вважають помилковими результати з повним збігом дескрипторів.
Методи перевірки liveness для лицьової та голосової модальності.
Джерело: Центр мовних технологій
Таким чином, використання біометричних даних, що втекли, не допоможе кіберзлочинцям швидко отримати матеріальну вигоду, а значить, вони з більшою ймовірністю будуть шукати простіші та надійніші способи збагачення..
Як захиститись?
Вступила в дію 14 вересня 2019 року директива Євросоюзу PSD2, також відома як Open Banking, вимагає від банків впровадження багатофакторної аутентифікації для забезпечення безпеки віддалених транзакцій, виконуваних по будь-якому каналу. Це означає обов'язкове використання двох їх трьох компонентів:
- Знання - Якоїсь інформації, відомою лише користувачеві, наприклад, пароля чи контрольного питання.
- Володіння - Якогось пристрою, яке є тільки у користувача, наприклад, телефон або жетон.
- Унікальності чогось невід'ємного, властивого користувача і однозначно ідентифікує особистість, наприклад, біометричних даних.
Ці три елементи мають бути незалежними так, щоб компрометація одного елемента не впливала на надійність інших.
Щодо банківської практики це означає, що проведення операцій за біометричними даними повинно обов'язково супроводжуватись додатковими перевірками за допомогою пароля., токена або PUSH/SMS-кодів.
Використовувати чи ні?
У біометричної аутентифікації є великі перспективи, проте небезпеки, які приходять у наше життя разом із ними, виглядають дуже реалістично. Розробникам систем та законодавчим органам варто вивчити результати новітніх досліджень вразливостей біометричних систем та оперативно доопрацювати як рішення щодо ідентифікації, так і нормативні акти, що регулюють їх роботу.
Банкам необхідно взяти до уваги ситуацію з deepfakes та іншими способами обману біометричних систем, використовуючи поєднання традиційних способів ідентифікації користувача з біометричними: паролі, 2FA та usb-токени все ще можуть принести користь.
З клієнтами банків ситуація складна. З одного боку, біометрична ідентифікація розроблялася для їхньої зручності як спроба розширити можливості для отримання банківських послуг у будь-який час із мінімальними формальностями. З іншого боку, у разі успішної атаки ризикують своїми грошима саме вони., а регулятори та розробники біометричних систем відповідальності за зломи не несуть.
У зв'язку з цим, логічна рекомендація клієнтам банків - не поспішати зі здаванням біометричних даних, не звертати увагу на агресивні заклики. Якщо ж без біометричної ідентифікації ніяк не обійтися, то використовуйте її разом із багатофакторною автентифікацією, щоб хоча б частково знизити ризики.