Биометрия не убережет пользователей от взлома мобильных устройств

Все больше мобильных устройств используют сканирование отпечатков пальцев и технологию Face ID для защиты корпоративных и потребительских данных. Поэтому количество взломов данных с помощью биометрии продолжит расти, сообщали в своем отчете специалисты агентства Experian. Однако существуют способы избежать атак.

Большинство пользователей убеждены в том, что функция Face ID новых моделей  iPhone или новый сканер отпечатков пальцев обслуживающего банка гарантируют конфиденциальность и препятствуют доступу злоумышленников к персональным или финансовым данным.

В 2019 году хакеры сосредоточатся на взломе биометрических решений и выявят уязвимости в Touch ID сенсорах, технологиях распознавания лиц и паролях, отмечалось в отчете агентства по анализу потребительского кредитования Experian. 63% предприятий внедрили или планируют развернуть системы биометрической аутентификации для расширения или замены менее безопасных паролей.

Биометрические данные считаются наиболее безопасным методом аутентификации, но их можно украсть или изменить, а сенсорами можно манипулировать, подделывать или выводить из строя.

Кроме того, новые параметры безопасности, продиктованные «Общим регламентом по защите данных» (General Data Protection Regulation, GDPR) и другими правилами защиты персональных данных, стимулируют более обширное внедрение биометрических параметров в качестве части многофакторной или автономной защиты. Например, в 2015 году база данных Управления кадровой службы США была взломана, что привело к краже более 5 млн данных об отпечатков пальцев, которые в свою очередь были не зашифрованы.

Таким образом, хакеры переключат внимание на сенсорные технологии, решения для распознавания лиц и биометрические коды доступа, отмечают аналитики Experian.

В отчете Experian аналитики рекомендуют организациям обеспечивать безопасность своих биометрических систем на всех уровнях. Биометрические данные необходимо хранить в зашифрованном виде на защищенных серверах. И хотя правила конфиденциальности могут в конечном итоге предписывать порядок обработки биометрических данных, меры защиты в основном остаются нерегулируемыми. До тех пор, пока сенсоры, сканеры и другое оборудование не будет оснащено улучшенными механизмами обнаружения аналомальной активности, биометрические параметры должны использоваться как часть многофакторной системы аутентификации.

Лукас Мериан, репортер журнала Computerworld, побеседовал о отчете с Майклом Брюммером (Michael Bruemmer), вице-президентом по решению проблем нарушения данных агентства Experian.  Вот выдержки из этого интервью.

– Как долго продолжался всплеск взломов сенсорных экранов и технологий распознавания лиц? Почему ожидается рост неправомерной активности в 2019 году?

– Мы работаем в сфере реагирования на утечки данных уже 15 лет. За этот период специалистам удалось обслужить около 27 тыс. взломов, 5,1 тыс. взломов за последние 12 месяцев.

Недавно компания начала работать с биометрией. Банковская отрасль является одной из пяти сфер, в которой прогнозируется применение технологий и данных. Доступ к устройствам, будь то смартфон на базе Android, iPhone, планшет или ПК, как правило, в каждом из них применяется своего рода биометрическая идентификация. Правоохранительные органы используют как сканирование сетчатки глаза, так и отпечатки пальцев. Биометрические данные используются для сотрудников, чтобы зафиксировать время прибытия и ухода с работы. Конечно, старый добрый TSA (Transportation Security Administration, Администрация транспортной безопасности США) является отличным примером установки систем в аэропортах, будь то предварительная регистрация TSA Precheсk или доступ в зал ожидания – достаточно иметь паспорт или водительское удостоверения для проверки распознавания лиц.

Причина, по которой интерес к этой категории данных возрос в 2019 году, состоит в том, что был представлен ряд примеров, последний из них – несколько дней назад, которые показали, как можно использовать 3D-печать, чтобы создать пластиковую копию отпечатков пальцев или, что более важно, «примитивное»  лицо, способное «обмануть» iPhone с точки зрения новой функции распознавания лиц.

Для победы над биометрикой не требуется много усилий; и если это единственный уровень безопасности, то считайте, что  у вас есть ключи от «королевства» .

Таким образом, мы говорим, что биометрия очень хороша. Но вы не можете полагаться на нее как на единственный уровень защиты. Наша рекомендация -- задействование двухфакторной или трехфакторной аутентификации».

– Кроме недобросовестных хакеров, кто виноват в недостатках биометрической аутентификации?

– Существует несколько способов, которыми каждая система безопасности, не ограничиваясь биометрическими данными, может быть дублирована. И большинство из них, как мы обнаружили в исследованиях после взлома, связано с той или иной формой человеческой ошибки. Сами биометрики могут быть очень сильными. Точно так же, как защита от вредоносных программ или защита устройств. Но хакеры ищут «слабость» человека.

Я подчеркиваю, что от 80 до 85% всех нарушений, которые мы обслуживаем, имеют коренную причину в том, что сотрудники делают неправильные вещи, делают ошибки, делают глупости. Не обязательно, что хакеры настолько умны, что используют разные векторы атак, а обеспечение безопасности компании на низком уровне. Хакеры ищут самое слабое звено, а сотрудники обычно являются самым слабым звеном.

– Как хакеры получают доступ к данным безопасности, особенно в облаке?

– Одно из других предсказаний касалось компрометации предоставления доступа  через облако. Если у вас в облаке есть биометрические данные, хранящиеся для защиты доступа, то возможны различные нарушения. Подобные нарушения и неверные конфигурации настроек мы наблюдали у Uber, Time Warner Accenture.

Биометрические ключи могут быть помещены в безопасное место. Но если в этом месте находится другая важная конфиденциальная информация, то она может быть похищена вместе с ключами доступа.

– Как биометрия используется для мошенничества?

– Биометрия - это просто слой защиты. Чтобы совершить мошенничество, вам необходимо пройти через этот уровень защиты. По моему мнению, биометрия - это новый рубеж для защиты информации людьми. Мошенничество происходит, когда вы защищаете банковские операции и доступ к вашему устройству биометрией, а затем доступ к этим данным получают другие люди. Биометрические данные в смартфоне – это один из векторов атак.

– Что могут сделать корпорации для решения этой проблемы?

– Во-первых, используйте несколько уровней защиты. Не полагайтесь исключительно на биометрию или какой-либо другой слой. Не полагайтесь исключительно на аутентификацию SMS: пароли или просто вопросы личного характера могут быть известны хакерам. Нужно иметь ввиду, что есть киберпреступники, которые специализируются на многофакторной аутентификации.

Во-вторых, меняйте протоколы безопасности. Хорошие компании не используют одни и те же протоколы безопасности неделя за неделей. Они будут менять режим для обновления паролей или обновлять функционал.

В-третьих, проводите регулярный контроль качества и или тестирование на предмет того, что вы делаете. Хороший способ выяснить, могут ли хакеры войти в систему: наймите специалистов по информационной безопасности извне, заплатите им за попытки взломать вашу систему безопасности.  

– Что могут предпринять пользователи частных устройств?

– Это базовая защита ваших учетных данных и прав доступа к вашей личной информации. Вот мой личный список действий, который поможет защититься пользователям от хакеров:

• Никогда не пользуйтесь общедоступным Wi-Fi, насколько бы надежным он вам не казался;

• Всегда используйте хранилище паролей, где будут хранится сложные пароли, которые вам не придется заучивать наизусть;

• Прежде, чем переходить по ссылкам даже от близких друзей, уточните,

• Никогда не переходите по ссылкам, даже тем, которые вам отправляют друзья, пока не убедитесь, что они отправлены конкретным человеком.  

• Никогда не отвечайте на телефонные звонки от людей, которых вы не знаете.

Были сообщения о мошенничестве именно с использованием телефонных диалогов. К примеру, незнакомый человек может позвонить вам и просто спросить: «Эй, это ты Майк Брюммер?». Вы ответите «Да», а эта ваша фраза будет записана и использована в банках, которые идентифицируют клиентов по голосу. Такое «да» может стать подтверждением банковского перевода, который вы не совершали.  

Прежде, чем выбросить какие-либо документы, в которых указаны любые ваши данные (адрес, паспорт, место работы), измельчите их.

• Никогда не используйте дебетовую карту для покупок.

В некоторых случаях ваша банковская карта может быть связана с целой линейкой ваших продуктов (кредитная линия, сберегательный счет, текущий счет). Это с одной стороны удобно, и позволяет иметь доступ ко всем продуктам банка. Но с другой стороны при хищении средств с кредитных карт банки несут нулевую или ограниченную ответственность.

• Убедитесь, что вы – единственный пользователь рабочего устройства, будь то ноутбук, планшет или телефон.

– Мы много слышали об угрозах из даркнета. Что в этом сегменте является самой большой угрозой?

– Единственное, что я бы назвал, - это объем данных, которые были размещены в даркнете, и количество информации, которую могут использовать даже неискушенные или технически не подкованные люди. В даркнете можно купить комплект и следовать инструкциям. Тогда вы можете стать «плохим парнем», что чревато административной или уголовной ответственностью.

Оригинал статьи "Q&A: Experian exec says biometrics won’t save you from mobile hacks" опубликован на Computerworld. Автор статьи: Лукас Мериан (Lucas Mearian)