Статья является переводом. Оригинал находится вотСсылка скрыта от гостей
В новых исследованиях, использовали технологию 3D-печати для байпаса сканеров отпечатков пальцев, и тестировали все это на мобильных устройствах Apple, Samsung и Microsoft.
Новые исследования показали, что можно использовать технологию 3D-печати для создания "поддельных отпечатков пальцев", которые могут байпасить большинство сканеров отпечатков пальцев на популярных устройствах. Но создание такой атаки все еще остается дорогостоящим и трудоемким делом.
Исследователи из Cisco Talos, создали различные модели угроз, использующие технологию 3D-печати, а затем протестировали их на
Ссылка скрыта от гостей
(в том числе iPhone 8 и Samsung S10), на ноутбуках (в том числе Samsung Note 9, Lenovo Yoga и HP Pavilion X360) и на смарт-устройствах (например, smart padlock).Результаты исследования
Фальшивые отпечатки пальцев в среднем достигали 80 процентов успеха. Исследователи не добились успеха в обходе биометрических систем, установленных на устройствах Microsoft Windows 10 (хотя они сказали, их устройства не более безопасны, конкретно этот подход не сработал на них).
Однако, чем больше выделяется времени и бюджета, необходимого для создания моделей угроз, тем больше шансов обойти датчики отпечатков пальцев. В конце концов, исследователи сообщили, что им пришлось создать более 50 пресс-форм и тестировать их вручную, что заняло месяцы - и они сражались за то, чтобы остаться в рамках своего бюджета в 2000$. Эти проблемы указывают на то, что масштабируемый, легкий тип атаки пока не может обойти биометрические данные.
"Биометрия - это не
Ссылка скрыта от гостей
", - Крейг Уильямс, директор Cisco Talos Outreach, сообщает Threatpost. "Биометрия - это то, что делает ее очень и очень простой в использовании. Вам не нужно запоминать и вводить пароль, что и делает биометрию очень быстрой и простой в использовании. Вам не нужно ничего носить с собой. И поэтому я думаю, что для большинства пользователей, это все еще остается идеальным решением".Прослушать полное интервью в подкасте Threatpost, можно ниже, или можно скачать его прямо
Ссылка скрыта от гостей
.Ниже приведена слегка отредактированная стенограмма подкаста.
Линдси О'Доннелл Уэлч: Здравствуйте все, это Линдси О'Доннелл Уэлч из Threatpost, и добро пожаловать обратно в подкаст Threatpost. Сегодня мы будем обсуждать новые исследования о сканерах отпечатков пальцев на телефонах и компьютерах. Сегодня Cisco Talos выпустила несколько новых исследований о том, как можно обойти эти сканеры, используя различные технологии, такие как 3D-печать, и, в основном, рассматривая сканеры отпечатков пальцев и безопасность, стоящую за ними в целом. Поэтому сегодня ко мне присоединился Крейг Уильямс директор по связям с общественностью в Cisco Talos, чтобы обсудить эти последние исследования. Крейг, большое спасибо, что присоединился к нам сегодня в подкасте.
Крейг Уильямс: Без проблем, рад быть здесь.
Л.О.: Давайте вернемся на секунду и объясним ситуацию в целом. Можете ли вы немного рассказать о сканерах отпечатков пальцев на мобильных устройствах и рассказать текущее состояние сканирования отпечатков пальцев, и насколько распространен этот тип сканирования в настоящее время?
К.У.: Конечно. Итак, одна из проблем, с которыми люди, занимающиеся безопасностью, всегда сталкивались с момента появления пароля, заключается в одном: как нам упростить этот процесс сканирования пользователей? И я уверен, что все знают обо всех шутках за эти годы, например, о паролях, таких как Hunter2, которые набирают пользователи. И это ведь настоящая проблема, да? Постоянное использование одного пароля – происходит регулярно. Люди делятся ими просто неподобающим образом, они их записывают. И поэтому, как специалисты, занимающиеся безопасностью, мы всегда ищем новые технологии и новые системы, чтобы пользователям было проще аутентифицироваться. И еще очень давно, люди начали смотреть на биометрию. И я думаю, что можно с уверенностью сказать о том, что Apple была первой компанией, которая действительно сделала биометрическую безопасность широкой и доступной для широких масс с помощью свои мобильных устройств. Я думаю, что это был большой достижение. Все знают, как ею пользоваться, все знают что это ,и многие люди до сих пор используют это. И я предполагаю, что для большинства пользователей это решение полностью подходит.
Л.О.: Да, и я думаю, что это очень важно отметить. И в то же время, проблемы с безопасностью были, например: с этими глюками на датчиках отпечатков пальцев. Не знаю, помните ли вы, но еще в октябре, у Samsung было полное фиаско: пара пользователей сообщила, что любой мог обойти датчик отпечатков пальцев Galaxy S10, если к телефону прилагался кремниевый чехол стороннего производителя. В этом и заключался весь провал датчиков у Samsung. И Samsung в конце концов был пришлось как-то исправлять это все. Так что я думаю, это поднимает вопрос, насколько безопасно это сканирование отпечатков пальцев? И это подводит нас к вашим исследованиям. Не могли бы вы немного рассказать, прежде всего, об основных целях исследования при рассмотрении различных моделей угроз?
К.У.: Конечно. Знаете, я думаю, что до недавнего времени, мысль о модели угрозы не была чем-то, чем занимался обычный пользователь. Сейчас не все могут знать термина "модель угрозы", но все, когда они находятся в публичном месте, думают о том, к чему я буду прикасаться? Нужны ли мне перчатки? Должен ли я взять с собой маску или воспользоваться дезинфицирующим средством для рук, и они думают об угрозах, которые им сегодня угрожают, и о том, как их смягчить либо предотвратить? Но пользователи не всегда думают об этом. И поэтому, когда мы начали изучать защиту от отпечатков, мы услышали много неуверенности и сомнений по поводу аутентификации по отпечаткам пальцев. Нам стало любопытно, почему большинство этих исследований не имеют публичной информации. Поэтому мы подумали, могли бы мы сделать один, скажем, разумный бюджет, и дать пользователям представление о том, каков реальный риск . Попытаться четко определить его и определить, что возможно сделать? А затем помочь пользователям понять, что это представляет для их бизнеса, И какие шаги нужно предпринять, чтобы защитить себя? И это было действительно истоком такого рода исследований.
Л.О.: Верно, и мне нравится, что вы выделили бюджетный аспект этого исследования, потому что я действительно думаю, что это то, где, стоит смотреть на эти виды атак в роли обычного пользователя. Что можно выполнить без сложных операций для устранения подобных атак, и может ли это быть сделано на масштабируемом уровне? Итак, каковы основные выводы из исследования?
К.У.: Ну, основные выводы из исследования заключаются в том, что поставщики действительно должны были сделать тот фундаментальный выбор, который каждая технология безопасности должна сделать. Верно? И что этот выбор действительно прост в использовании. И это очень похоже с самыми первыми паролями, когда люди разрабатывали систему паролей, и думали как сделать что-то, что одновременно и безопасно, и легко в использовании? Очевидно, что в случае с паролями, если вы позволите людям использовать одинаковые короткие слова, такие как cat, dog, love, hate, и т.д., все это я взял со словарей хакеров, ведь это очень легко запомнить пользователям, но, к сожалению, это также очень легко и угадать. Именно здесь в игру вступает аутентификация, основанная на отпечатках пальцев. Потому что она вроде как получает две способности, она делает аутентификацию безопасной и простой в использовании. И когда мы начали погружаться в это, мы обнаружили, что есть пара сценариев, которые мы хотели бы исследовать. Я думаю, что наиболее распространенные из них, которые большинство людей поймут, это то, что кто-то должен получить отпечатки пальцев. И поэтому мы определили три сценария, где это может произойти. Я думаю, что самым распространенным был тот, когда пользователь предоставил его добровольно, например, вы проходите через контрольно-пропускной пункт, или кто-то подменяет ваш телефон на чужой, и вы знаете, вы уже просканировали ваш отпечаток пальца. Следующий сценарий более подлый: снятие отпечатка с предмета, к которому уже кто-то прикасался. Последний сценарий более креативный: кто-то сфотографировал ваш большой палец. Со мной недавно произошел забавный случай, связанный с этим сценарием. Мой коллега Павел, очень любит 3D-печать. И поэтому сейчас он в ускоренном режиме делает маски, щиты и подобное оборудование для больниц. И недавно он обжигает свою руку. И, конечно, я делаю похожие вещи, и тоже случайно обжог свою, и в попытке показать что-то вроде моральной поддержки, я такой: "Эх, смотри, Пол, я обжег свой палец". И вот я понимаю, что собираюсь отправить своему коллеге, специалисту который проводит наше исследование отпечатков пальцев, фотографию своего отпечатка.
Л.О.:О нет.
К.У.: Да. Так что, это происходит легче, чем ты думаешь. Есть сценарии, в которых мы оставляем маленькие кусочки аутентификации. И это действительно обратная сторона биометрии. Биометрия очень проста в использовании. Но в отличие от пароля, люди постоянно оставляют биометрические данные: мы смотрим на камеру, которая может провести сканирование, оставляем свои отпечатки пальцев повсюду.
Л.О.: Правильно и как пароль, ты не можешь поменять отпечатки пальцев. Так что давайте поговорим немного подробнее о создании моделей угроз, которые вы создавали прибегая к использованию сенсорных технологий.
К.У.: Итак, мы рассмотрели ёмкостный вид сканеров и сенсорный, и каждый вид имел свои уникальные проблемы. И в статье мы рассмотрели, как мы обращались к ним и с какими трудностями столкнулись. Но в основном мы смогли собрать отпечатки, используя три метода, о которых я упоминал ранее. А затем мы смогли с помощью подробнейшей модели проб и ошибок, которую мы описали в исследование, выполнить итерацию различными способами, чтобы на самом деле получить форму для изготовления отпечатка, и таким образом мы преодолеть проблему с емкостными видами сканеров. Как оказалось, если вы используете пластилин, и накладываете его на отпечаток пальца, очень похожий на некоторые обьекты, которые мы видели в фильмах типа "Миссия невыполнима", можно сделать так, чтобы он работал надежно на большинстве оборудовании, и использовать поддельный отпечаток, поверх своего пальца. Так что эта часть фильмов на самом деле правдива. Это немного удивило меня.
Л.О.: Да, это потрясающе. Я к тому, что это такая, может быть, не простая, но такая легкая вещь, которую можно осуществить. Это то, что вы, нашли?
К.У.: Ну, не совсем. Итак, давайте сначала рассмотрим "почему это возможно", верно? Потому что я уверен, что если бы люди знали об этом лет 10 назад, биометрия, основанная на отпечатках пальцев, возможно, не выглядела бы так хорошо. Но реальность такова, что успехи, которых мы достигли в 3D-печати за последние несколько лет, были огромными. И когда вы смотрите на это, вы понимаете, текущие домашние устройства, которые доступны за относительно небольшую сумму денег, способны печатать до 0,1 микрона. А реальность такова, что гребни на отпечатке пальца, во много, во много раз больше, я думаю, около 400, 500 микрон, и так далее. Когда вы думаете об этом, вы на самом деле способны создать нечто более детальное, чем просто отпечаток пальца, очень легко в теории. Но все в итоге закончилось тем, что мы использовали технологию, которая опять же сама навязала нам бюджет в $2,000. В настоящее время, очень сложно производить и получать пригодные к использованию пресс-формы. Время, затраченное на этот вид деятельности, оказалось значительно больше, чем мы ожидали. На изготовление пригодных к использованию пресс-форм и печатных материалов ушло десятки часов. И поэтому это не то, что кто-то может сделать быстро, если он не собирается потратить огромную сумму денег. Знаете, это не то, что могло бы случиться, если бы ты передал свой телефон третьей стороне, чтобы подержать его в течение 20 минут. Это то, что может продлиться, как я уже упоминал очень долго, ведь, чтобы сделать отпечаток, а затем попробовать его использовать. Конечно, если бы злоумышленник клонировал ваш отпечаток раньше, это могло бы открыть вам новые возможности для атаки. Но я думаю, что для этого очень важен выход, и это, надеюсь, я не захожу слишком далеко впереди себя. Очень важным моментом было то, что такой сценарий атаки может существовать. Мы можем его опровергнуть, но он реален. Это возможно с оборудованием, которое можно купить в магазине, который можно собрать в своем доме. Но это нелегко. Для того, чтобы это сделать, требуются колоссальные знания и опыт, а также много времени и ресурсов. Но при этом, если вы все это проделаете, вы сможете производить отпечатки, которые обманут большинство систем аутентификации.
Л.О.: Точно. Да. Вы можете рассказать немного больше о проблемах? Я знаю, что вы упомянули об огромном количестве времени, но еще и о том, как трудно было удержаться в рамках бюджета, которые вы сами себе поставили. И следующим вопросом будет: «Куда пошла значительная часть бюджета»?
К.У.: Я думаю, что на большую часть первоначальных инвестиций была сделана покупка 3D-принтера, который использует смолу, потому что он делает более детализированные работы и лучше подходит для таких видов деятельности. Ну, не знаю, скажем, 1000 долларов за хороший принтер, а потом нужно купить промывочную станцию, что бы правильно держать его в хорошем состоянии. И вот тут-то и подавляющая часть твоего бюджета в 2000 долларов. И, конечно же, у вас есть много материала для проб и ошибок.
Л.О.: Верно, верно. Можете ли вы рассказать о платформах, на которых вы тестировали? Я знаю, что вы искали как мобильные устройства, так и ноутбуки, и даже тогда вы сказали, что тестировали смарт-устройства. И мне показалось тестирование таких предметов как: висячий замок, зашифрованные USB-накопители для ручек, весьма интересным занятием. Были ли какие-то различия в том, работала ли одна из этих платформ, отличалась ли она от других? Или какие-то более значительные различия между разными платформами, которые вы, тестировали.
К.У.: Это были на самом деле наиболее интересных частей исследования. Когда вы смотрите на это, возникает выбор, как я упоминал ранее, между безопасностью и простотой использования. А в мире отпечатков пальцев это детали и точность. Теперь представьте, что вы крупный поставщик, и, возможно, вы делаете устройство, которое кто-то носит с собой каждый день, как телефон, и его эксплуатируют постоянно. Поэтому, поставщикам приходилось выбирать, во время проектировки этих системы, насколько придирчивыми они хотели быть? Сколько различных типов совпадений им нужно для аутентификации?А ранее вы упоминали продавца, у которого, по сути, была очень низкая степень безопасности, и нажав на пластиковую кнопку, вы проходили аутентификацию. Так что это определенно одна из крайностей. И я думаю, пройдя наше тестирование, мы можем с уверенностью сказать, что Microsoft на другом конце этой крайности. Мы не смогли обмануть технологию Microsoft. Она была одной из самых безопасных, и одной из самых придирчивых.
Теперь, я думаю, важно, чтобы все поняли, что аутентификация, основанная на отпечатках пальцев не безопасна. Если мы не смогли одолеть технологию, Microsoft, это не значит, что она будет надежно защищена в будущем. Я думаю, что по мере развития технологии 3D-печати это будет становиться все легче и легче. Я не хочу, чтобы это звучало как заявление. Я думаю, что для подавляющего большинства пользователей это все еще очень практичное решение в области безопасности. Отличный способ подумать об этом - сигнализация в вашем доме. Если у вас есть сигнализация в доме, то вы наверняка полагаете, что она не позволит ограбить ваш дом? Но это не так. И поэтому, когда мы говорили о моделях угроз, я рад, что люди думают об этом, поскольку это невероятно полезно в данном случае. Какая у вас модель угрозы? Кто залезет в твой телефон? Это будет твой ребенок? Это будет кто-то другой, если вы уроните его на улицу? Или это будет хорошо финансируемый противник с сотнями часов, чтобы установить и применить систему для взлома именно вашего телефона? Я думаю, для подавляющего большинства из нас, последний случай не является реальной проблемой.
Л.О.: Мне также было интересно, что бы вы назвали лучшим примеров для этих производителей, с точки зрения попыток предотвратить подобные атаки на сканеры отпечатков пальцев. Но когда вы смотрите на iPhone или iPad, или Samsung S10, или Huawei, или некоторые другие, которые вы, тестировали, есть ли что-нибудь, о чем можно было бы поговорить немного подробнее с точки зрения своего рода предотвращения атак?
К.У.: Ну, я думаю, что один из лучших способов справиться с этим - попытаться выяснить степень успешности пользователей. Знаете, я уверен, что большинство вендоров в наши дни имеют встроенные в устройства диагностики и метрики для отслеживания в целях отладки. И я думаю, что попытки и сбои биометрической аутентификации - это правильная вещь для отслеживания. И как поставщик, вы могли бы использовать это, чтобы помочь настроить ваши алгоритмы, чтобы выяснить, стоит ли увеличить разрешение или точность, или и так все отлично работает?
Хорошие новости здесь в том, что если вы стали мишенью, хорошо финансируемого, противника или NSA, то знайте, что обходной путь уже встроен в каждое отдельное устройство. Поэтому, если вы просто действительно хотите обезопасить себя, то установите двухфакторную аутентификацию. Я считаю, что большинство производителей поддерживают это сейчас. Когда я настраивал свой iPhone и включал его, мне нужно было зайти на другое устройство и получить код и нажать «Да, это я», а затем вернуться на устройство, которое я настраивал, и ввести эту информацию. Значит, обходной путь есть, верно? Биометрия - это не ахиллесова пята. Биометрия - это то, что делает ее очень, очень простой в использовании. Не обязательно запоминать пароль. Тебе не нужно ничего носить с собой. И поэтому я думаю, что для большинства пользователей, это все еще отличное решение . Я думаю, что наши исследования на самом деле это доказывают. Не об это сейчас стоит беспокоиться, лучше обратить внимание на то, не сделает ли чего соседский ребенок. Ведь, это прям как домашняя система безопасности. Достаточно хорошая, она будет держать большинство людей подальше, верно?. Но если вы будете защищать такой системой промышленные секреты или что-то на подобии этого, то NSA такая система, не остановит. Поэтому, в таких случаях, вы обязаны использовать сложный пароль с многофакторной системой аутентификации. И именно так я думал перед началом этого исследования, и мое мнение ни капли не изменилось.
Л.О.: Да, именно так. Это уже вроде как обыденно использовать несколько методов безопасности, что, наверное, лучше всего подходит для большинства практик.
К.У.: Да. И я думаю, что это оправданно. вот что мне больше всего понравилось в этом исследовании - мы практически доказали, что стандартному домашнему пользователю нелегко обойти аутентификацию, основанную на отпечатках пальцев. Вы знаете, это возможно при больших запасах денег и огромных вложениях времени, а также при большом количестве проб и ошибок, но это не то, что вы сможете сделать за 20 минут.
Л.О.: Определенно. Ну, я также хотела спросить перед тем, как мы закончим, как вы думаете, как это изменится в будущем? Будь то из-за того, что технология 3D-печати становится все более распространенной, или по другим причинам? Как Вы думаете, будет ли какая-то тенденция к тому, что подобные модели угроз будут становиться все более изощренными? Или это еще предстоит увидеть?
К.У.: Я думаю, что мы увидим эволюцию в технологии 3D-печати, особенно для домашних пользователей. Мы увидим новые методологии и новые типы машин, которые могут сделать эту систему еще более слабой. Мы увидим новые угрозы для нее и вещи в этом направлении. Но я все равно думаю, что очень похоже на домашнюю безопасность, не так ли? Я имею в виду, если вы посмотрите на замки на вашем доме, разве их не возможно взломать? Можно!Большинство замков, охраняющих дома, могут быть взломаны в течение пяти минут, не ломая их . Тем не менее, мы все еще используем замки, верно? Они все еще обеспечивают минимальный уровень безопасности. И я думаю, мы все должны понимать, что именно это обеспечивает биометрическая аутентификация. Это минимальный уровень безопасности, и если вы не находитесь в модели угрозы высокого риска, то это нормально. Просто знайте, что есть слабые места, и будьте в курсе того, что это за слабые места, и сложности, связанные с атаками на них. И именно поэтому мы провели это исследование.
Л.О.: Отлично. Что ж, Крейг, большое спасибо, что пришли сегодня, и поговорили о ваших исследованиях и биометрической безопасности в целом.
К.У.: Cпасибо за приглашение, Линдси.