От автора: это еще одна глава из моей книги «Прекрасный, опасный, кибербезопасный мир». Она была написана еще в благодатные доковидные времена, когда мир был совсем другим. Многое изменилось, но базовые вещи относительно безопасности остались те же, так что книжка по‑прежнему неплоха. Ее можно найти на сайте Ростелеком, если захотите прочитать целиком.

Что касается конкретно этой главы: в биометрии за эти годы был изрядный прогресс — но я же не новости рассказываю, а как оно в принципе устроено. А еще здесь много интересных историй.

Кот Матроскин заявлял совершено справедливо про усы лапы и хвост, потому что для идентификации пользователя можно использовать какое-либо из присущих ему свойств: отпечатки пальцев, лицо, рисунок радужной оболочки или сетчатки глаза, снимок кровеносных сосудов в руке, голос, походку, сердечный ритм, ДНК в конце концов. То есть, биометрические данные, которые по своей природе уникальны и однозначно связаны с человеком.

Казалось бы, вот оно, решение! Наукой доказано, что у людей не бывает одинаковых отпечатков пальцев – даже у близнецов. Вот вам и универсальный пароль!

Любители детективов и фантастики на это лишь усмехнутся и расскажут кучу историй, как преступникам или наоборот хорошим парням удавалось использовать чужие отпечатки, чтобы проникнуть на секретный объект или взломать систему. В кино такие вещи часто излишне драматизируют – на самом деле не обязательно воображать всякие ужасы вроде отрубания пальцев или вырывания глаз – в реальной жизни есть способы более гуманные и не менее эффективные. Хотя и такой риск исключать нельзя, поскольку бандиты могут оказаться технически неграмотными и поступить как им кажется проще.

На что годится мертвый палец?

Вопрос далеко не праздный, им интересуются как преступники, так и полицейские. Ответ зависит от типа биометрического датчика и конкретного устройства. Хотя многие устройства анализируют биологическое состояние пальца (например, при помощи инфракрасного датчика) следует признать, что такая возможность все-таки существует. Бывало, когда полицейские пользовались этим свойством для разблокировки айфонов погибших террористов или людей, умерших от передозировки наркотиков, чтобы выйти на след дилера, но с переменным успехом. А в 2005 году был случай, когда малазийские угонщики автомобилей отрезали палец владельца Mercedes-Benz, чтобы обойти высокотехнологичную систему безопасности.

Если производителям биометрических устройств не удастся исключить такую возможность, это может стать источником серьезной опасности получения увечий для владельцев потенциально привлекательных активов, использование или доступ к которым заблокированы биометрической защитой.

Однако чаще пальцы все-таки подделывают: изготовление желатиновых или силиконовых слепков не является особенно сложной задачей для специалиста. А добыть оригинальный отпечаток даже очень высокопоставленного лица не составляет большого труда, что продемонстрировали активисты из Chaos Computer Club, опубликовавшие в своем журнале «пальчики» министра внутренних дел Германии Вольфганга Шойбле, которые они сняли со стакана, использованного им во время публичного мероприятия.

Фокус был проделан в 2008 году, чтобы продемонстрировать фундаментальные риски биометрических систем, но тем не менее технология получила широкое распространение. Более того, обязательное применение дактилоскопии в государственных системах, планируемое сегодня во многих странах, может привести к дискриминации некоторых людей и это тоже надо учитывать.

Люди без отпечатков пальцев

Существуют редкие генетические мутации, при которых у человека может не быть отпечатков пальцев вообще. Люди с синдромом Негели или дерматопатией пигментной ретикулярной формы, например, могут не иметь отпечатков пальцев. Оба заболевания являются формами эктодермальной дисплазии, и отсутствие отпечатков в этом случае – всего лишь самый безобидный из симптомов.

Отпечатки пальцев могут также исчезнуть в результате побочных эффектов от приема некоторых лекарственных препаратов, например — капецитабина (выпускается под брендом Кселода), противоракового препарата, применение которого задокументировано приводило к исчезновению отпечатков пальцев.

Еще более интересным случаем является адерматоглифия. Единственным проявлением этой генетической мутации является отсутствие папиллярного рисунка на всех пальцах, ладонях рук и подошвах ног. У этой мутации нет никаких сопутствующих проявлений, выраженных в нарушении нормальной жизнедеятельности или снижении продолжительности жизни. То есть, адерматоглифия не является заболеванием. Люди, обладающие это особенностью, могут иметь сложности в общении с силовыми структурами и получении виз. Но если они встанут на преступный путь, то смогут обходиться без перчаток.

А в общем и нечаянный порез может на некоторое время лишить вас возможности разблокировать свой телефон. Так что слишком полагаться на эту технологию не стоит – хотя после заживления раны папиллярный рисунок обычно восстанавливается.)

Никто не спорит, что очень удобно разблокировать пальцем телефон или ноутбук, открыть дверь в квартиру, получить деньги в банкомате, расплатиться за покупку в магазине или завести двигатель машины. Но всегда, когда вы слышите об удобстве в связи с безопасностью, стоит насторожиться. Действительно ли метод идентификации человека по отпечатку пальца безопасен? Что будет, если кто-то украдет эту информацию?

Чтобы разобраться, давайте заглянем на технический уровень и посмотрим, как это работает. На самом деле телефон не может «видеть» ваш палец – с датчика он получает не снимок всего отпечатка, а некий соответствующий ему цифровой код, который сравнивает с хранящимся в памяти. Если коды совпадают, значит доступ разрешен. То есть, достаточно украсть эту информацию, чтобы попытаться войти в систему под вашим именем.

В этом смысле пароли имеют преимущество перед биометрией, потому что могут быть заменены на новые даже при подозрении на утечку, а палец или глаз так легко не поменяешь. Помните, чего это стоило герою Тома Круза в фильме «Особое мнение»? Собственно, здесь и пересекаются основное преимущество и главный недостаток всех биометрических систем – высокая точность идентификации человека вызывает большие сложности при компрометации системы.

Поэтому защите биометрических систем приходится уделять повышенное внимание. Во-первых, практически в обязательном порядке применять шифрование данных. Во-вторых, использовать так называемый метод «отменяемой биометрии», суть которого состоит в том, что в биометрический признак (отпечаток пальца, например) вносится повторяемое искажение – как будто в системе хранится ваше изображение, полученное при помощи кривого зеркала. В случае утечки данных вам достаточно изменить кривизну зеркала, чтобы сгенерировать новый ключ вместо скомпрометированного.

Есть и еще одна проблема: при использовании биометрии всегда существует вероятность ложного пропуска и ложного отказа. В первом случае это значит, что доступ будет открыт случайному человеку, чьи биометрические данные просто очень похожи на ваши; во втором законный владелец данных не сможет войти в систему, потому что она его не узнала.

Дело в том, что сканеры отпечатков пальцев и другие биометрические датчики, особенное встроенные в потребительские приборы, несовершенны – это и является источником ошибок. Кроме случайной ошибки существует и вероятность срабатывания системы на «муляж». Но по мере развития технологий качество датчиков повышается и примитивные методы обмана, такие как «желатиновые пальцы» перестают работать. В свою очередь, исследователи обнаруживают все новые уязвимости таких систем.

Группа исследователей из университета Нью-Йорка и Мичиганского университета разработала способ взломать практически любой гаджет, защищенный технологией сканирования отпечатков пальцев. При этом отпечатки владельца для этого не нужны вовсе! Специалисты создали, если можно так выразиться, изображение «универсального отпечатка пальца». В этом рисунке присутствуют отличительные признаки огромного количества разных отпечатков абсолютно разных людей. Как показали опыты, этого достаточно для того, чтобы обмануть большинство недорогих сканеров, устанавливаемых в мобильных телефонах, планшетах, ноутбуках и другой электронике.

Для того чтобы сделать «ключ от всех биометрических замков», ученые взяли за основу базу данных, состоящую из более чем 800 реальных отпечатков. При помощи специального компьютерного алгоритма они были совмещены таким образом, что в итоге получившийся «ключ» имеет схожесть на 26-65% с любым отпечатком, взятым у случайного человека, не находившегося в исходной базе.

Высокотехнологичные сканеры обмануть таким образом вряд ли получится, но вот устройства повседневного пользования – вполне. Дело в том, что сканеры наподобие Touch ID имеют малую площадь, что не дает им возможности считать весь отпечаток пальца, и сенсор «ориентируется» лишь по фрагменту. Эта уязвимость как раз и была использована учеными. Как говорят сами исследователи, существует очень высокая вероятность того, что за несколько попыток авторизации, которые предоставляет система мобильного телефона, сканер может попасть на похожий участок «универсального отпечатка». Если системе авторизации удастся определить несколько признаков соответствия, она посчитает «универсальный отпечаток» за отпечаток владельца и разблокирует электронное устройство. Во время испытаний удалось успешно обмануть сканер в 15% случаев, что указывает на весьма большую «дыру» в этой системе авторизации.

То есть, надо признать, что биометрия не обеспечивает 100% защиты от действий злоумышленников. Однако она может существенно снизить риски несанкционированного доступа. Поэтому эксперты советуют защищать одной лишь биометрией только данные, не имеющих особой ценности.

Например, когда нужно сделать так, чтобы ребенок, который взял поиграть родительский гаджет, не мог случайно разослать неуместные фотографии по вашим контактам, совершить покупку в интернет-магазине или перевести средства с банковского счета. Таких неприятностей можно избежать, если установить запуск важных приложений и подтверждение финансовых операций по отпечатку пальца.

Кроме того, биометрия — защита на случай экстренных ситуаций. В Японии после разрушительного землетрясения и цунами в марте 2011 года множество людей лишись не только своих банковских карт, но и документов. Они вынуждены были проходить через долгие и утомительные процедуры идентификации личности, чтобы снять деньги со своих счетов. После этого в стране создали единую биометрическую систему, которая исключает такую проблему в будущем.

Датчик распознавания отпечатка пальца на телефонах компании Apple впервые появился в модели iPhone 5S, представленной в 2013 году, и стал обязательным элементом всех новых устройств. Он позволяет их владельцам производить разблокировку, а также подтверждать покупки в App Store, iTunes и iBooks. Компании Apple удалось не только сделать одно из самых точных биометрических устройств для массового пользователя, но и разработать действительно надежное решение для безопасного хранения идентификационных данных.
Здесь важно сказать, что некой централизованной базы отпечатков не существует в принципе, поэтому никто не может ее взломать и украсть. Все отпечатки хранятся только на самом устройстве в специальной защищенной области Secure Enclave, расположенной непосредственно на процессоре. Точнее говоря, хранятся не сами снимки отпечатков, а их цифровые образы, дополнительно зашифрованные. Эта информация не записывается в резервные копии iTunes и iCloud, серверы компании или любой другой источник.
Прежде чем начать использовать Touch ID нужно создать резервный пароль в качестве дополнительной защиты. Он понадобится для разблокировки телефона в случаях, когда

• устройство было выключено или перезагружено;
• был добавлен отпечаток еще одного пальца;
• устройство получило команду удаленной блокировки через Find My iPhone;
• произошло пять безуспешных попыток разблокирования с помощью отпечатка подряд;
• устройство ни разу не было разблокировано в течение двух суток;
• прошло более шести суток с момента последнего ввода кода блокировки, а само устройство не было разблокировано датчиком Touch ID в течение восьми часов

Слив ключа, впрочем, не означает, что теперь смартфон не может обеспечивать безопасность: важные данные, хранящиеся в Secure Enclave, защищены другими ключами, которые всё ещё не найдены и, скорее всего, не будут. Всё, что можно сделать, это расшифровать и изучить секретную систему Apple, которая работает на криптографическом процессоре. Получить доступ к данным, которые там хранятся таким образом нельзя.

Иначе говоря, технология Touch ID пока остается устойчивой к взлому. Другое дело, что ее можно обмануть, используя разные приемы.

Осторожно, мошенники!

В 2018 году появились сообщения о мошеннических приложениях в AppStore, которые использовали технологию Touch ID. Они маскировались под приложения якобы для отслеживания здоровья, которые назывались Heart Rate Monitor, Fitness Balanceapp и Calories Trackerapp. (Сейчас эти приложения уже удалены.)

Их работа была основана не на вредоносном ПО, а на хорошем понимании человеческого поведения. Люди привыкли использовать Touch ID не только для разблокировки телефона, поэтому часто даже не задумываются от том, когда приложение просит их приложить палец к датчику. После того, как вы отсканируете отпечаток пальца, такое мошенническое приложение быстро показывает всплывающее окно с внутренней покупкой и списывает со счёта от $90 до $120, одновременно уменьшая яркость экрана, чтобы это окно было сложно увидеть.

Лицо вместо пальца

С выходом смартфона iPhone X в 2017 году, Apple заменила дактилоскопический датчик Touch ID на систему идентификации пользователей по лицам Face ID, которая использует набор камер True Depth. По сути, это комплекс из двух датчиков — 7-мегапиксельной фронтальной камеры и инфракрасной камеры, и двух инфракрасных осветителей — «проектора точек» (всего точек 30 тысяч) и «заполняющего» излучателя (свет от обоих невидим).

С помощью этой системы iPhone сканирует лицо владельца в формате 3D, затем обрабатывает изображение специальной нейросетью и создает цифровой отпечаток, который используется для разблокировки. Точно также, как было и с Touch ID, биометрические данные хранятся в специальной защищенной области на самом телефоне в зашифрованном виде и никуда не передаются. Хакеры всех мастей тут же бросились ломать новую игрушку и кое-каких успехов достигли.

Буквально через несколько дней после начала продаж телефонов с Face ID, в ноябре 2017 года, вьетнамская компания Bkav сообщила, что им удалось обмануть систему с помощью сложной маски, сделанной из комбинации 2D и 3D деталей, но повозиться им пришлось изрядно и повторить такой трюк будет чрезвычайно сложно.

В августе 2019 года на конференции хакеров Black Hat в Лас Вегасе показали еще один изощренный способ «ломануть» Face ID и получить доступ к iPhone спящего или мертвого человека. Как оказалось, если пользователь носит очки, то система игнорирует область вокруг глаз, воспринимая ее как пустое пространство с белой точкой блика от подсветки посередине черного зрачка, считая это достаточным, чтобы определить, что человек жив и бодрствует. Специалисты из Tencent Security Xuanwu Lab взяли обычные очки, наклеили на них по куску черной ленты с небольшой белой точкой в центре, надели их на «спящего» пользователя и успешно разблокировали его телефон.

В общем, использовать вместо пароля лицо или отпечаток пальца вполне можно. Кое-какие способы их обхода существуют, но реальной опасности для обычных пользователей они не представляют. Остальные биометрические технологии еще не созрели для массового применения и в жизни вы можете встретиться с ними реже, чем в кино. Однако пройдет совсем немного времени, и то, что вчера было фантастикой, станет нашим повседневным опытом, как стала им, например, идентификация человека по ДНК.