Авторизация по лицу или по отпечаткам пальцев повышает безопасность устройств. Об этом в своем блоге пишет Трой Хант (Troy Hunt), создатель ресурса для проверки утечек данных Haveibeenpwned, отвечая на распространенную критику биометрических систем аутентификации. Традиционной уязвимостью этой технологии считается невозможность быстро изменить черты лица или отпечаток пальца в случае компрометации, в отличие от пароля. По мнению Троя Ханта, об этом можно не переживать, так как практическая безопасность использования биометрии достаточно сильна.
Трой Хант справедливо утверждает, что пароли крадут гораздо чаще, чем отпечатки пальцев. Но важнее здесь то, что создать достаточно убедительный слепок головы или смоделировать рельеф подушечки пальца гораздо сложнее, чем, например, подсмотреть код разблокировки телефона в баре, перед тем как украсть телефон. Его рассуждения затрагивают интересный аспект информационной безопасности: вероятность атаки зависит не только от наличия потенциальной уязвимости, но и от реальных возможностей атакующего.
Так, автор статьи рисует базовый портрет потенциального взломщика. Тот, кто ворует смартфоны в тех же барах, вряд ли будет заниматься конструированием достоверного биометрического протеза, хотя теоретически и может скопировать отпечаток пальца с пивного бокала. Те, кто действительно способен на обман биометрии (подразумеваются спецслужбы, в тексте автор делает отсылку к фильму про Джеймса Бонда), скорее всего используют массу иных способов получить доступ к устройству: от использования zero-day уязвимостей до приведения убедительных аргументов, чтобы владелец сам разблокировал телефон.
Наконец, Трой приводит статистику компании Apple четырехлетней давности. До внедрения технологии Touch ID только половина смартфонов была защищена кодом. После появления биометрических сканеров парольная фраза появилась почти на 90% устройств Apple. Получается, что при наличии такой теоретической проблемы, как несменяемость отпечатков или черт лица, биометрия в практических условиях повышает защищенность телефона. Она позволяет передать на устройство уникальный «ключ» так, чтобы украсть его было в разы сложнее пароля, который можно просто подсмотреть.
Мнение Троя Ханта — критика того, что он называет «нездоровым абсолютизмом в области безопасности»: когда определенные меры защиты не используются, потому что у них есть теоретическая проблема. Это разумный подход, но надо отметить, что такая логика работает только в случае надежного биометрического сканирования, которое в свою очередь реализуется не всегда. Можно привести в пример презентацию на Black Hat 2019 года, в которой была показана система обхода Face ID. Но и там была проведена изощренная атака: на спящего владельца айфона надевали очки, а на линзы приклеивали куски скотча, симулирующие открытые глаза. Интересно, выполнимо в реальных условиях, но не очень практично.
Zero-day уязвимость в Windows (CVE-2021-40444) позволяет атаковать систему с помощью документа Microsoft Office, в который встроен вредоносный элемент ActiveX. Сам баг находится в браузере Internet Explorer и затрагивает версии Windows от 8.1 до 10, а также Windows Server с 2008 по 2019. Патча пока нет (возможно, будет выпущен на этой неделе), эксперты Microsoft предлагают временное решение проблемы.
Специалисты «Яндекса» детально рассказывают о крупнейшей DDoS-атаке, произведенной ботнетом Mēris. Кроме «Яндекса», также пострадали сервис Cloudflare и блог эксперта по безопасности Брайана Кребса. Ботнет построен из роутеров Mikrotik, а для его строительства, вероятно, использовалась пока неизвестная уязвимость.
В публичный доступ попала база логинов и паролей, собранных с уязвимых VPN-серверов Fortinet. Всего в базе содержатся данные с 87 тыс. устройств.
В управляемых свитчах компании Netgear обнаружены три уязвимости, обеспечивающие возможность перехвата контроля над устройством.
Трой Хант справедливо утверждает, что пароли крадут гораздо чаще, чем отпечатки пальцев. Но важнее здесь то, что создать достаточно убедительный слепок головы или смоделировать рельеф подушечки пальца гораздо сложнее, чем, например, подсмотреть код разблокировки телефона в баре, перед тем как украсть телефон. Его рассуждения затрагивают интересный аспект информационной безопасности: вероятность атаки зависит не только от наличия потенциальной уязвимости, но и от реальных возможностей атакующего.
Так, автор статьи рисует базовый портрет потенциального взломщика. Тот, кто ворует смартфоны в тех же барах, вряд ли будет заниматься конструированием достоверного биометрического протеза, хотя теоретически и может скопировать отпечаток пальца с пивного бокала. Те, кто действительно способен на обман биометрии (подразумеваются спецслужбы, в тексте автор делает отсылку к фильму про Джеймса Бонда), скорее всего используют массу иных способов получить доступ к устройству: от использования zero-day уязвимостей до приведения убедительных аргументов, чтобы владелец сам разблокировал телефон.
Наконец, Трой приводит статистику компании Apple четырехлетней давности. До внедрения технологии Touch ID только половина смартфонов была защищена кодом. После появления биометрических сканеров парольная фраза появилась почти на 90% устройств Apple. Получается, что при наличии такой теоретической проблемы, как несменяемость отпечатков или черт лица, биометрия в практических условиях повышает защищенность телефона. Она позволяет передать на устройство уникальный «ключ» так, чтобы украсть его было в разы сложнее пароля, который можно просто подсмотреть.
Мнение Троя Ханта — критика того, что он называет «нездоровым абсолютизмом в области безопасности»: когда определенные меры защиты не используются, потому что у них есть теоретическая проблема. Это разумный подход, но надо отметить, что такая логика работает только в случае надежного биометрического сканирования, которое в свою очередь реализуется не всегда. Можно привести в пример презентацию на Black Hat 2019 года, в которой была показана система обхода Face ID. Но и там была проведена изощренная атака: на спящего владельца айфона надевали очки, а на линзы приклеивали куски скотча, симулирующие открытые глаза. Интересно, выполнимо в реальных условиях, но не очень практично.
Что еще произошло:
Zero-day уязвимость в Windows (CVE-2021-40444) позволяет атаковать систему с помощью документа Microsoft Office, в который встроен вредоносный элемент ActiveX. Сам баг находится в браузере Internet Explorer и затрагивает версии Windows от 8.1 до 10, а также Windows Server с 2008 по 2019. Патча пока нет (возможно, будет выпущен на этой неделе), эксперты Microsoft предлагают временное решение проблемы.
Специалисты «Яндекса» детально рассказывают о крупнейшей DDoS-атаке, произведенной ботнетом Mēris. Кроме «Яндекса», также пострадали сервис Cloudflare и блог эксперта по безопасности Брайана Кребса. Ботнет построен из роутеров Mikrotik, а для его строительства, вероятно, использовалась пока неизвестная уязвимость.
В публичный доступ попала база логинов и паролей, собранных с уязвимых VPN-серверов Fortinet. Всего в базе содержатся данные с 87 тыс. устройств.
В управляемых свитчах компании Netgear обнаружены три уязвимости, обеспечивающие возможность перехвата контроля над устройством.
Комментарии (5)
Ra-Jah
14.09.2021 10:03Биометрию практически невозможно скрыть, потому что люди выходя на улицу оставляют (выставляют на всеобщее обозрение) свои биологические жидкости, волосы, кожу, внешний вид, лицо, походку и даже дактили. Все эти сборы биометрии делаются только с целью (идентификации) контроля, а никак не аутентификации во благо человека. Со сбором биометрии личная жизнь становится невозможной, она становится публичной.
CrazyScientist
Только биометрию можно просто заломав руку подозреваемому получить для разблокировки, а вот пароль - увольте, даже суд не обяжет и не докажет, что ты его помнишь.
mrBarabas
Пароль - аналогично терморектальным взломом, если есть доступ и влияние на владельца, то ничего нет невозможного и пароль равен биометрии в данном случае, так что нет, подобное можно и с паролем «провернуть»
amarkevich
в случае пароля имеется возможность установить "двойное дно". про возможность настройки подобного путем печальной гримасы не слышал. с отпечатками - вообще без вариантов.
iandarken
Ну так для этого есть Lockdown Mode в телефончиках. Зажми кнопку выключения, выбери Lockdown — и пальцем ты его не разблокируешь, пока не введешь пароль/ключ/что-там-еще