http://kiwibyrd.org/2015/09/27/1592/

Ключ от парадной двери

Странные и удивительные дела творятся ныне вокруг технологии сканирования отпечатков пальцев в смартфонах.

С одной стороны, грамотные специалисты по инфобезопасности отлично знают, что дактилоскопическая биометрия может быть легко подделана злоумышленниками. А защита компьютеров и данных с помощью сканера отпечатков пальцев – это скорее средство отпугивания случайных чужаков, нежели надежное средство контроля доступа. Причем все последние исследования дают массу новых подтверждений этим давно установленным фактам.

Глядя же с другой стороны, можно видеть, как именно сейчас в ускоренных темпах раскручиваются глобального масштаба инициативы по массовому внедрению мобильных платежных систем вроде Apple Pay, Android Pay или Samsung Pay. Систем, очевидно конкурирующих друг с другом, однако имеющих одну существенную общую черту. Все они непременно опираются на сканер отпечатка пальца, фигурирующий в качестве ключевой технологии защиты в основе смартфона как цифрового кошелька и базового инструмента для быстрых бесконтактных переводов денег.

Более того, в скандинавской стране Норвегии, устойчиво лидирующей в списках наиболее благополучных и технически передовых государств планеты, сразу несколько ведущих банков объявили в 2015 году о «революционных новациях» в своей работе. Теперь их клиенты могут загружаться в свои онлайновые банковские кабинеты не через традиционную процедуру авторизации, а гораздо проще – с собственного смартфона через сканер отпечатка пальца.

Если принять во внимание, что в этих банках для онлайновой работы с клиентами уже давно применяется достаточно надежная трехчленная процедура идентификации BankID (персональный ID-номер + секретный пароль + одноразовый код доступа, генерируемый компьютером), то нынешний поворот к упрощению проверки личности порождает у специалистов вполне естественные вопросы.

Понятно ведь, что в банках обычно работают опытные и компетентные люди, способные объективно оценивать преимущества и силу одних технологий по сравнению с другими. И если на замену одной форме защиты вводится существенно иная, в традиционных представлениях менее надежная, то это означает, скорее всего, что чего-то тут народу не договаривают.

Иначе говоря, есть основания предполагать, что массово запущенные ныне инициативы по вводу сканеров отпечатка пальца в смартфонах – для защиты платежей и прочих финансовых транзакций – в аспектах безопасности опираются отнюдь не только на собственно биометрию клиента, но и на целый комплекс иных, дополнительных данных. О сути которых по каким-то причинам рассказывать не хотят…

Если присмотреться повнимательнее к прочим инфотехнологическим новациям, происходившим в последнее время конкретно в Норвегии – как на государственном, так и на коммерческом уровнях, – то не так уж сложно, в общем-то, понять, почему именно эта страна оказалась в передовых. Более того, в общих чертах становится яснее и причина недомолвок – почему о комплексе дополнительных данных для верификации клиентов открыто говорить не хочется ни властям, ни бизнесу.

Но чтобы лучше представлять себе суть и нюансы всей этой странноватой истории, для начала желательно иметь хотя бы базовое представление о том, в чем заключаются главные слабости и минусы технологии идентификации пользователей по их отпечаткам пальцев.

Конкретно в приложении к смартфонам начало этой истории было положено осенью 2013, вместе с появлением на рынке аппаратов iPhone 5S от фирмы Apple. Самой главной новинкой того устройства стал биометрический сканер отпечатка пальца под названием Touch ID. Встроенный в корпус не только весьма элегантно, но и практически незаметно – в кнопку «Home», то есть главную и единственную управляющую кнопку на лицевой панели смартфона.

Дактилоскопический сканер Touch ID был изначально позиционирован компанией-изготовителем как некий новый и весьма надежный инструмент защиты информации – с очевидным прицелом на широкое применение в авторизации бесконтактных платежей и прочих приложений «цифрового кошелька». Но практически сразу этот биометрический сенсор скомпрометировали – как и все прежние подобные устройства – изготовлением «фальшивого пальца», то есть эластичной накладки с отпечатком-клоном пальца жертвы.

Осенью 2014 история повторилась, когда на рынок вывели Apple-смартфон нового поколения, iPhone 6, усиленный дактилоскопическим сканером с повышенной разрешающей способностью. На компрометацию этой защиты умелым хакерам понадобилось меньше дня – тем же самым, что и прежде, бесхитростным способом.

Параллельно, следует отметить, в том же русле, что и Apple, стали напряженно работать и изготовители смартфонов на базе конкурирующей платформы Android. И поскольку со стартом они слегка задержались, массовая компрометация сканеров отпечатка пальцев в этих устройствах пошла уже с 2015 года. С еще более впечатляющими, можно подчеркнуть, результатами, нежели в случае iPhone.

Если все прежние атаки против яблочных смартфонов проходили по разряду так называемых спуфинг-атак, иначе именуемых «оптическими» (когда для подделки пальца надо обязательно добыть графический образ отпечатка жертвы), то способы компрометации дактилоскопической биометрии на платформе Андроид без проблем расширяются до куда более широкого класса «системных атак».

На августовской конференции Black Hat в Лас-Вегасе, в частности, прозвучали два больших обзорных доклада, продемонстрировавших целый букет новых серьезнейших уязвимостей в том, как реализована идентификация по отпечатку пальца в Android-аппаратах от разных производителей (HTC, Samsung, Huawey и др.). Для злоумышленников здесь выявлены возможности дистанционно похищать файлы с «пальчиками» пользователей, тайно встраивать с флагом «разрешенный» чужой отпечаток и даже брать под контроль работу собственно датчика.

Иначе говоря, если рассуждать разумно и абстрактно, было бы крайне опрометчиво выстраивать системы защиты информации на основе столь слабого и простого в компрометации идентификатора, как отпечаток пальца. Мало того, что отпечатки пальцев даны человеку на всю жизнь и их нельзя поменять, как обычный пароль, так еще и для злодеев похитить-подделать отпечатки жертвы совсем несложно…

Однако госвласти и корпорации (рассуждающие по-своему тоже разумно, но сугубо конкретно, с позиций собственных интересов) именно этот параметр человеческого тела пытаются ныне закрепить в качестве главного и наиболее существенного идентификатора нашей онлайновой личности.

Общие тенденции к движению в данном направлении уже давно обозначились во множестве самых разных стран, от США и Евросоюза до Китая и Индии. Ну а наиболее наглядный пример того, как это может выглядеть в итоге, дает уже сегодня государство Норвегия. Среди множества факторов, обеспечивших норвежское лидерство в этом сомнительном, прямо скажем, деле, можно особо выделить три таких момента.

(1) Сначала местная ИТ-фирма Zwipe создала довольно специфическую технологию платежных карт со встроенным датчиком отпечатка пальца – на замену традиционным методам авторизации. При поддержке норвежских банков и в тесном сотрудничестве с гигантом MasterCard данная технология была интегрирована в уже имеющуюся национальную инфраструктуру безналичных карточных расчетов.

(2) В конце 2014 года в столице Норвегии г. Осло имел место довольно любопытный инцидент. Журналисты одной из центральных газет решили провести нечто вроде теста-расследования, обзаведясь спецтехникой и пригласив эксперта по выявлению «ложных базовых станций» сотовой связи – то есть стандартного средства шпионов и полиции для тайного перехвата и отслеживания перемещений мобильных телефонов. К великому своему изумлению журналисты обнаружили, что столица страны буквально повсюду нашпигована такими шпионскими антеннами, принадлежащими абсолютно неясно кому. Но самое интересное, что когда норвежская контрразведка по требованию общественности провела на данный счет собственное расследование, то в итоге публике объявили, что ничего нелегального в Осло не обнаружено…

(3) В мае 2015 власти Норвегии изменили законодательство таким образом, что теперь любой гражданин страны обязан сдавать государству свои отпечатки пальцев. Сделано это, правда, не в жесткой и деспотичной форме, а в такой мягкой и как бы необязательной. Просто сдача отпечатков напрямую увязана с получением идентификационной электронной карточки, а на эту карточку, удостоверяющую личность, замыкается практически вся социальная жизнь – от счета в банке и водительских прав до смены места жительства, устройства на работу и получения пособий соцпомощи.

Если наложить все эти три фактора на мобильный телефон со встроенным сканером отпечатка пальца и приложением Mobile BankID для онлайнового банкинга, то несложно сообразить, что в стране Норвегии методично и комплексно развернута инфаструктура для тотального и автоматического отслеживания граждан – их перемещений, контактов и денежных операций. Причем достоверность всех этих данных постоянно подтверждает личный отпечаток пальца от владельца смартфона.

Дабы стало яснее, что норвежский опыт – это лишь малая часть куда более широкой глобальной программы, следует напомнить об интересных новациях в лексиконе правоохранительных органов и шпионов. Где на смену традиционному термину «бэкдор», т.е. тайная лазейка в компьютер для доступа к защищенной информации пользователя, ныне все чаще прибегают к метафоре «ключ от парадной двери». Ибо власти для защиты общественного порядка имеют полное право входить в любой дом через парадную, а не заднюю дверь…

Ну так вот, отпечатки пальцев людей – это и есть, собственно, те самые ключи от парадной двери в их «цифровые дома». Да, конечно, ключи довольно слабенькие, однако так удобнее государству.

Но вот удобнее ли владельцам ключей?