如今,生物認(rèn)證被用于訪問(wèn)政府和商業(yè)辦公室、工業(yè)自動(dòng)化系統(tǒng)、企業(yè)和個(gè)人筆記本電腦以及移動(dòng)電話(huà),這些技術(shù)的應(yīng)用數(shù)量和種類(lèi)都在不斷增長(zhǎng)。不幸的是,和許多其他最近迅速發(fā)展的技術(shù)一樣,生物認(rèn)證系統(tǒng)已經(jīng)被證明有明顯的缺點(diǎn),其主要缺點(diǎn)與信息安全問(wèn)題有關(guān)。
在這份報(bào)告中將討論影響生物認(rèn)證系統(tǒng)的眾多信息安全問(wèn)題,并提出相關(guān)研究結(jié)果,以提供更客觀的評(píng)估與使用現(xiàn)有的生物認(rèn)證系統(tǒng)相關(guān)的風(fēng)險(xiǎn)信息。
生物測(cè)定數(shù)據(jù)處理與存儲(chǔ)
生物測(cè)定數(shù)據(jù)作為一種不可偽造的唯一個(gè)人標(biāo)識(shí)符的概念從根本上講是錯(cuò)誤的。
首先,雖然認(rèn)證系統(tǒng)對(duì)生物特征數(shù)據(jù)的識(shí)別精度相對(duì)較高,但在許多應(yīng)用中仍然存在不足,這種識(shí)別不是簡(jiǎn)單地計(jì)算兩個(gè)散列和是否相等。生物測(cè)定系統(tǒng)通常具有假陰性和假陽(yáng)性結(jié)果的概率。
其次,研究表明,許多人類(lèi)生物特征可以被惡意偽造,復(fù)制數(shù)字化生物特征數(shù)據(jù)可能比復(fù)制物理生物特征更容易。
第三生物特征數(shù)據(jù)一旦被泄露,就會(huì)永遠(yuǎn)被泄露:用戶(hù)不能像更改盜取密碼那樣更改被盜指紋。更重要的是,生物特征數(shù)據(jù)可能會(huì)同時(shí)對(duì)所有應(yīng)用程序造成危害。因此,一個(gè)人的余生可能會(huì)受到影響。
事實(shí)證明,生物特征數(shù)據(jù)可能會(huì)以攻擊者易訪問(wèn)的格式存儲(chǔ)。一個(gè)例子是,在基于網(wǎng)絡(luò)的生物安全智能鎖平臺(tái)BioStar2中發(fā)現(xiàn)了一個(gè)重大漏洞,這項(xiàng)服務(wù)有一個(gè)可公開(kāi)訪問(wèn)的數(shù)據(jù)庫(kù)——超過(guò)2780萬(wàn)條記錄,來(lái)自83個(gè)國(guó)家的5700個(gè)組織的員工數(shù)據(jù)總計(jì)23G。該數(shù)據(jù)庫(kù)還包含約100萬(wàn)份指紋記錄以及面部識(shí)別信息。
隨著生物認(rèn)證系統(tǒng)應(yīng)用的數(shù)量不斷增加,生物認(rèn)證數(shù)據(jù)不僅會(huì)引起特殊服務(wù)部門(mén)的興趣,還會(huì)引起其他攻擊者的興趣。
風(fēng)險(xiǎn)評(píng)估
考慮到上述風(fēng)險(xiǎn),我們決定評(píng)估生物測(cè)定數(shù)據(jù)處理系統(tǒng)(處理和存儲(chǔ)數(shù)據(jù)的服務(wù)器,以及用于收集生物測(cè)定數(shù)據(jù)的工作站)在多大程度上容易受到惡意攻擊。
1.三分之一的系統(tǒng)受到威脅
在2019年第三季度,37%行收集、處理和存儲(chǔ)生物特征數(shù)據(jù)的的電腦檢測(cè)到惡意軟件,即每三臺(tái)電腦中就有一臺(tái)電腦面臨惡意軟件感染的風(fēng)險(xiǎn)。
2.威脅源
對(duì)威脅來(lái)源的分析表明,與許多其他需要加強(qiáng)安全措施的系統(tǒng)(如工業(yè)自動(dòng)化系統(tǒng)、建筑管理系統(tǒng)等)一樣,互聯(lián)網(wǎng)是主要威脅來(lái)源。
14.4%的生物特征數(shù)據(jù)處理系統(tǒng)受到互聯(lián)網(wǎng)上的威脅,包括在惡意網(wǎng)站和釣魚(yú)網(wǎng)站,以及基于web的電子郵件服務(wù)。
可移動(dòng)設(shè)備(8%)和網(wǎng)絡(luò)文件夾(6.1%)最常用于分發(fā)蠕蟲(chóng)。蠕蟲(chóng)感染計(jì)算機(jī)后,通常會(huì)下載間諜軟件,木馬和勒索軟件。
電子郵件客戶(hù)端中的威脅中大多數(shù)情況下典型的釣魚(yú)電子郵件(貨物和服務(wù)交付假消息、付款、RFQ、RFP等),其中包含指向惡意網(wǎng)站的鏈接或帶有惡意代碼的office文檔。
3.最危險(xiǎn)因素
在生物特征數(shù)據(jù)處理和存儲(chǔ)系統(tǒng)的潛在威脅中,間諜軟件、釣魚(yú)攻擊的惡意軟件、勒索軟件和銀行木馬對(duì)此類(lèi)系統(tǒng)構(gòu)成最大威脅。
總的來(lái)說(shuō),在2019年第三季度,5.4%用于收集、處理和存儲(chǔ)生物特征數(shù)據(jù)的計(jì)算機(jī)上被感染間諜軟件,釣魚(yú)攻擊中使用的惡意軟件和勒索軟件分別占5.1%和1.9%。
其他類(lèi)型的惡意軟件還包括竊取銀行數(shù)據(jù)的惡意程序(1.5%)。這些惡意程序不太可能是為了竊取生物特征數(shù)據(jù)。然而,可以預(yù)期竊取銀行和金融系統(tǒng)生物特征數(shù)據(jù)的惡意軟件將在不久的將來(lái)出現(xiàn)。
總結(jié)
在2019年第3季度,用于收集、處理和存儲(chǔ)生物特征數(shù)據(jù)的計(jì)算機(jī)中,有37%面臨惡意軟件感染的風(fēng)險(xiǎn),其中木馬(占分析的所有計(jì)算機(jī)的5.4%)、用于釣魚(yú)攻擊的惡意軟件(5.1%)、勒索軟件(1.9%)和銀行木馬(1.5%)。
這些惡意軟件能夠:竊取機(jī)密信息、加載和執(zhí)行任意軟件、使攻擊者能夠遠(yuǎn)程控制受感染的計(jì)算機(jī)。盡管這些威脅并不是專(zhuān)門(mén)用來(lái)竊取或篡改生物特征數(shù)據(jù)的,但其中已經(jīng)具備這樣的能力。這就是為什么我們認(rèn)為,將生物識(shí)別系統(tǒng)暴露在網(wǎng)絡(luò)下對(duì)服務(wù)提供商和用戶(hù)個(gè)人來(lái)說(shuō)都是一個(gè)巨大的風(fēng)險(xiǎn)。
還應(yīng)注意的是,生物測(cè)定數(shù)據(jù)處理和存儲(chǔ)系統(tǒng)(特別是生物測(cè)定數(shù)據(jù)庫(kù))通常部署在與其他系統(tǒng)共享的應(yīng)用服務(wù)器上,而不是專(zhuān)用計(jì)算機(jī)上。如果攻擊者對(duì)郵件服務(wù)器或具有生物認(rèn)證系統(tǒng)的組織的網(wǎng)站進(jìn)行攻擊,他們也有可能在同一服務(wù)器上找到生物認(rèn)證數(shù)據(jù)庫(kù)。
綜上所述,生物認(rèn)證數(shù)據(jù)安全至關(guān)重要,需要引起行業(yè)、政府監(jiān)管機(jī)構(gòu)、信息安全專(zhuān)家和公眾的關(guān)注。
