卡巴斯基:生物特徵數據處理和存儲系統的威脅調查報告
生物特徵數據處理系統最初主要用於警察、海關之類的政府機構,但隨著信息技術的快速發展,生物識別技術也開始走入我們的日常生活,除了政府機構和工業自動化系統外,商業辦公、筆記本電腦和智能手機也開始將生物識別納入發展。這類技術逐漸擴大並取代了傳統的如基於賬號密碼的身份驗證方法。的確,利用每個人獨特的指紋、聲音、面部形狀或眼睛結構來識別人,似乎是一種顯著且方便的辦法。
但是,與許多迅速發展的其他技術一樣,生物特徵認證系統也被證明有明顯的缺陷,主要與信息安全問題有關。
在這份報告中,我們將以卡巴斯基收集的2019年第三季度數據為基準,討論影響生物認證系統的信息安全問題,並評估現有生物認證系統的相關風險。
生物特徵數據處理和存儲系統所面臨的威脅
有種觀念認為,能將生物特徵數據作為一種無法偽造的唯一個人標識符,但這種概念從根本上來說是錯誤的,可能會給人一種虛假的安全感。
首先,認證系統對生物特徵數據識別的準確性雖然較高,但在許多應用中仍然存在不足,畢竟這種識別不是簡單地計算兩個散列和是否相等,生物測定系統的假陰性和假陽性結果的概率通常大於零。
其次研究表明,許多人類生物特徵可以被造偽,而複製數字化的生物特徵數據甚至可能比複製物理特徵還要容易。
第三(也是最重要的一點),生物特徵數據一旦被泄露,用戶是無法像更改密碼那樣更改被盜指紋的,因此一個人的餘生都有可能受到影響。
鑒於上述問題,開發人員如何保障系統和數據安全就顯得至關重要,而現實是許多相關技術公司在這方面仍可能存在許多不足。比如今年8月份,安全智能鎖平台BioStar 2被曝出存在嚴重漏洞,能輕易獲得Biostar 2 資料庫的訪問許可權,由於資料庫缺乏應有的保護,且大多數據處於未加密的存儲狀態,很容易訪問到總量超過 2780 萬條(23GB )的記錄,這些數據包括了指紋 / 面部識別數據、未加密的用戶名和密碼、甚至員工的個人信息。除了敏感信息,安全研究人員還能夠輕鬆監控存儲的生物識別數據的實際使用情況。比如實時查看哪個用戶通過特定的安全門進入任何設施,甚至能查看管理員賬戶的密碼。而之所以能這麼輕易獲取到數據,就是因為BioStar 2未采散列式指紋數據存儲(無法進行逆向工程),偷工減料地讓攻擊者能夠輕易複製實際的指紋數據、並將之用於惡意的目的。
BioStar 2的狀況並非個例,在2015年就曾發生過一起以生物特徵數據為目標網路攻擊事件,被盜信息中包含近600萬美國政府相關人的指紋信息。
隨著生物認證系統應用數量的增長,可以容易設想,未來生物特徵數據也將會是攻擊者所針對的目標之一。
考慮到上述風險,我們決定評估生物特徵數據處理系統(處理和存儲數據的伺服器以及用於收集生物特徵數據的工作站)在多大程度上容易受到惡意軟體攻擊,因此我們分析了卡巴斯基產品在此類系統上檢測到的威脅。
研究目標
安裝了卡巴斯基產品,用於收集、處理和存儲生物特徵數據(如指紋、手的幾何形狀、面部、聲音和虹膜模板)的計算機(伺服器和工作站)。
數據截取時間
2019年第三季度。
研究結果
根據卡巴斯基安全網路(KSN)的數據,在2019年第三季度,裝有收集、處理和存儲生物特徵數據功能的計算機中,約有37%檢測到過惡意軟體的存在——也就是說,約有三分之一的計算機存在被惡意軟體感染的風險。
從下面的季度數據可以看出,自2019年初以來,儘管檢測到惡意軟體的計算機的百分比已下降6.6個百分點,但仍處於高位水平。
圖1.2019年第一季度/第三季度檢測到惡意軟體的生物識別處理系統計算機的百分比
威脅源
對威脅來源的分析表明,與許多需要加強安全措施的系統(如工業自動化系統、建築管理系統等)一樣,互聯網是生物特徵數據處理系統的主要威脅源。
圖2.生物特徵數據處理和存儲系統的主要威脅來源,2019年第三季度
在所有生物識別數據處理系統中,來自互聯網的威脅佔比達到14.4%。這類威脅包括惡意網站、釣魚網站以及基於web的電子郵件服務。
可移動設備(8%)和網路文件夾(6.1%)最常用於蠕蟲分發,感染計算機後,蠕蟲通常會下載間諜軟體和遠程訪問木馬以及勒索軟體。
至於電子郵件客戶端中的威脅,在大多數情況下是典型的釣魚郵件(比如發貨信息、支付發票、RFQ、RFP等),包含惡意網站鏈接或嵌入惡意代碼的附件。
最主要威脅
間諜軟體、釣魚攻擊中使用的惡意軟體(主要是間諜軟體下載器和下載器)、勒索軟體和銀行木馬構成了最大威脅。
圖3.在生物特徵數據處理和存儲系統上阻止的某些惡意軟體類型
惡意軟體類型中,5.4%為間諜軟體,而釣魚攻擊中使用到的惡意軟體以及勒索軟體分別佔到了5.1%和1.9%。
值得注意的是,銀行惡意軟體佔比為1.5%,但這類惡意程序不太可能以竊取生物特徵數據為目標,不過可以預見的是,隨著生物識別技術與銀行業務關聯得越來越緊密,竊取金融系統生物識別數據的大規模分散式惡意軟體將在不久後出現。
結論
以2019年第三季度收集到的數據來看,用於收集、處理和存儲生物特徵數據的計算機中有37%面臨著惡意軟體感染風險,其中遠程訪問木馬佔到了5.4%,網路釣魚中使用的惡意軟體佔到了5.1%,勒索軟體佔到了1.9%,銀行木馬佔到了1.5%。
雖然分析的樣本中,惡意軟體並不總是以生物特徵數據處理系統為目標,但它們中的一些具有這樣的技術能力,另外也可能嚴重影響身份驗證系統的可用性和生物特徵數據的完整性。
還應該指出的是,生物特徵數據處理和存儲系統(特別是生物特徵資料庫)通常部署在與其他系統共享的應用伺服器上,而不是專用計算機上。換句話說,如果攻擊者破壞了某一組織的使用的郵件伺服器或資料庫,就很可能也會在同一台伺服器上發現生物特徵資料庫。因此,這類威脅所造成的影響不應被低估。
考慮到上述所有因素,我們認為生物識別數據安全性的現狀至關重要,需要引起行業、政府監管機構、信息安全專家、社區以及公眾的注意。畢竟,無論其職業,專業背景和技能如何,任何人都可能面臨這種風險。
本文翻譯自:https://securelist.com/biometric-data-processing-and-storage-system-threats/95364/
