Архив за етикет: киберсигурност

Брус Шнайер: „Има много начини да се заблуди един скенер за пръстови отпечатъци”

Може да си смените паролата на акунта или номера на банковата карта, но трудно ще получите нов пръст с нови отпечатъци

Известният криптограф и специалист по информационна сигурност, автор на книги и статии в тази област,  главен технологичен директор на IBM Company – Брус Шнайер  (Bruce Schneier) сподели в своя блог вижданията  си за новите биометрични методи за идентифициране на личността и за тяхното  злонамерено използване в съвременните компютърни системи. Има три основни вида данни, които могат да бъдат откраднати. Първият вид, най-често са за проверка на автентичността. Това са

пароли и друга информация, която дава възможност на външни лица да получат достъп до нашите акаунти

и обикновено – до нашите пари. Така например, от ритейлъра Home Depot бяха откраднати данните за 56 милиона дебитни карти, а от Бюрото по управление на персонала съобщи за 21,5 милиона откраднати социално-осигурителни номера на държавни служители. Мотивацията за тези кражби е типично финансова. Хакерите искат да откраднат пари от нашите банкови сметки, искат да изтеглят кредити от наше име или да кандидатстват за възстановяване на данъци.Това е един гигантски незаконен бизнес, но ние знаем как да се оправим ако ни се случи нещо подобно. Тези хаквания се откриват бързо и веднага след като разберем за подобна атака, идентификационните данни за профила се актуализират, а банковите карти се блокират.

Вторият вид кражба на данни е присвояване на лична информация

Това са например атаката срещу Sony през 2014 година или личните данни от сайта за изневери Ashley Madison, които бяха откраднати и част от тях публикувани в уеб-пространството. При тези случаи няма как да се върне направеното. След като данните са станали публични или са в ръцете на недоброжелатели, те няма как да станат отново „лични данни“.Именно това е основното следствие от кражбата на данните за държавните служители. Който и да е откраднал тази информация (предполага се, че това са китайците), той има копия от документите на всички тия държавни служители. А тази документация включва отговорите на някои твърде лични и неудобни въпроси, задавани при проучването и кандидатстването за тази работа. Сега тези служители могат да станат жертви на изнудване и други видове принуда.

Проблемът с биометричните данни е, че за разлика от паролите, те не могат да бъдат променени

Пръстовите отпечатъци са напълно и изцяло друг вид данни. Те се използват за идентифициране на хора на местопрестъплението, но сега все повече се прилагат като идентификационни данни за удостоверяване на личността. Ако имате iPhone например, най-вероятно използвате пръстовия си отпечатък за отключване на смартфона. Този тип идентификация се прилага все по-често. Трудността при него е, че не може да получите нов пръст с нови пръстови отпечатъци, ако се налага. При същите условия лесно бихте сменили паролата на акунта си или номера на банковата карта, Ако сега, през 20-те години на този век започнем редовно да използваме своите пръстови отпечатъци в банкоматите, базата данни с пръстови отпечатъци ще бъде безценна за престъпниците. Всъщност ще бъде изгодно да си престъпник. Ако биометричните данни започнат масово да се използват за отключване на нашите компютри и за получаване на достъп до нашите файлове и данни, тази база данни ще бъде най-ценното за шпионите.

Разбира се, това няма да е толкова лесно. Скенерите за пръстови отпечатъци използват различни технологии за предотвратяване на измами: температура на тялото, пори, сърдечен ритъм и т.н. Но това е просто една надпревара във въоръжаването на нападатели и защитници.Има много начини да се заблуди един скенер за пръстови отпечатъци. Когато Apple представи първия подобен скенер в iPhone, хакерите само в рамките на три дни измислиха начин как да го заблудят. Същото става и със следващите поколения смартфони с най-нови скенери за пръстови отпечатъци.

Употребата на биометрични данни съвсем не означава тяхното записване в обща база на някой сървър. Apple например, използва тези данни на локално ниво – единствено в смартфона. Няма централно хранилище, което да бъде хакнато. Има много компютърни системи, които никъде не записват биометричните данни, а прилагат сложна математична функция, която може да бъде задействана за разпознаване, но не и за възстановяване на биометрията. За съжаление, Бюрото по човешки ресурси съхранява копията на истинските пръстови отпечатъци.

Случилото се с Ashley Madison ни показа опасностите от поверяването на личните и интимните тайни на фирмените компютри и мрежи. Веднъж откраднати, тези данни не могат да се върнат и да станат отново „лични“. Всички биометрични данни, независимо дали пръстови отпечатъци или ириса на окото, разпознаване на гласа и други подобни имат същата стойност. Трябва да бъдем скептични по отношение записа на тези данни от страна на правителства и други организации. Нашите биометрични данни са нужни за удостоверяване и не можем да си позволим да ги загубим за да ги използва някой друг.

Източник: Студия Трансмедия

Още по темата:

Вместо иднивидуална електронна здравна карта – електронен пръст

Нарушена е философията на здравната рефрма