Старший брат следит за тобой. Как защитить себя в цифровом мире - [22]

Надежность защиты такой системы различна в зависимости от используемого устройства. Если это последняя модель крупного производителя, заботящегося о защите персональных данных своих клиентов, которая работает под управлением своевременно обновляемой операционной системы, то обычному пользователю в большинстве случаев можно не бояться, что злоумышленник обойдет защиту. Все биометрические данные надежно шифруются, и сканеры, как правило, блокируют попытки несанкционированного доступа. Если же это устройство, выпущенное мелким производителем, а тем более – китайская подделка под какой-то известный бренд, то биометрическая защита, скорее всего, не сработает: данные будет нетрудно «угнать» даже без взлома датчика, а обойти систему защиты можно будет с помощью простой распечатки отпечатка пальца на токопроводящей бумаге или с помощью фотографии. Для взлома флагманов нужно 3D-моделирование, специальные составы и четкие отпечатки пальцев настоящего владельца. Такая целевая атака, скорее всего, под силу лишь квалифицированным специалистам.

В то же время злоумышленнику достаточно украсть ваш смартфон, а все ваши отпечатки уже есть на его корпусе, их можно снять и сделать слепок, например с помощью 3D-принтера[79] и клея[80], или изготовить «универсальный» отпечаток[81]. Многие биометрические системы среагируют и на поддельный силиконовый отпечаток, который можно наклеить поверх любого пальца, чтобы обмануть датчик, реагирующий на температуру тела. Причем в некоторых случаях злоумышленнику даже не нужно искать отпечатки пальцев владельца на предметах – достаточно фотографий рук в высоком разрешении. Это доказали исследователи на конференции Chaos Communication Congress 2014, продемонстрировав добытые таким образом отпечатки пальцев министра обороны Германии Урсулы фон дер Ляйен[82]. А еще преступники учитывают то, что, скорее всего, владелец использует для аутентификации указательный или большой пальцы. Это удобно, но и неправильно, так как в работе человек пользуется чаще всего именно этими пальцами, а значит, именно их отпечатки есть на устройстве.

Еще одна опасность биометрических систем – возможность кражи баз данных, содержащих в числе прочего биометрическую информацию клиентов. Например, в августе 2019 г. в интернете была обнаружена незащищенная база данных с 27,8 млн записей пользователей системы безопасности Suprema Biostar 2. Эта система обеспечивает биометрическими средствами защиты организации по всему миру, в том числе банковские и правительственные[83]. Среди данных есть незашифрованные имена пользователей с паролями[84], их домашние и электронные адреса, списки сотрудников с указанием уровня доступа и дат доступа на охраняемые объекты, а также биометрические записи (в частности, сведения о распознавании лиц и отпечатков пальцев). Проникнув в такую базу данных, злоумышленник может внести в нее изменения, в том числе заблокировать доступ сотрудников в помещение (например, в полицейском управлении) или создать фиктивные учетные записи на свое имя, получив доступ к любой зарегистрированной в базе организации. Кроме того, биометрические данные могут быть похищены и использованы для проникновения в другие организации, при получении доступа в которые сканируется подушечка пальца или лицо; для проведения целевых фишинговых атак; для взлома личных устройств и систем безопасности пользователей, данные которых находятся в базе данных (особенно если учесть записи о домашних адресах пользователей) и т. п.[85]

Также важно отметить, что многие современные дактилоскопические сканеры реагируют и на отпечаток умершего или находящегося в бессознательном состоянии человека – это существенный недостаток технологии, потенциально угрожающий здоровью и даже жизни владельца особенно ценной информации. К другим недостаткам можно отнести чувствительность сканеров к чистоте и влажности рук, а также изменению рисунка из-за травм и ожогов. Для распознавания отпечатка в таких случаях разработчики биометрических систем прибегают к упрощению хранимых отпечатков (т. е. допускают определенный уровень погрешности). Это отрицательно сказывается на уровне защиты, так как подделать отпечаток для менее «требовательного» сканера становится проще.

Учитывая все перечисленные недостатки, производители дактилоскопических систем продолжают совершенствовать свои технологии и реализуют механизмы защищенного обмена биометрическими данными без доступа к ним внешних процессов (чтобы преступник не мог перехватить данные на их пути от датчика к хранилищу). Сообщалось о том, что французская компания Idemia работает над технологией бесконтактного сканирования отпечатков пальцев: достаточно провести рукой в паре сантиметров от поверхности сканера и несколько встроенных видеокамер зафиксируют движение руки. Компания CrucialTec для повышения надежности своих систем внедрила в них датчик сердечного ритма, а китайский разработчик Real iDentity добавил в сканер датчик микроскопических капель пота: они могут находиться только на коже живых людей. Такие системы не обманешь ни распечатками, ни даже отрезанными пальцами