25 apr. 2017 | 18:46

Corpul, folosit pentru confirmarea identității – când ar trebui să ne îngrijorăm

OPINII
Corpul, folosit pentru confirmarea identității - când ar trebui să ne îngrijorăm

De la mers, până la bătăile inimii, corpul tău e unic, iar industria soluțiilor de autentificare vrea să folosească acest lucru. Motivul este că în ultimii ani lumea a descoperit că în mediul online modalitățile tradiționale de confirmare a identității nu mai funcționează.

[related]

Pentru un atacator hotărât, care folosește instrumente complexe, dar chiar și pentru un oportunist, fără mari abilități, care a cumpărat niște programe malware de pe dark web, poate fi surprinzător de ușor să spargă conturi online și să își umple coșul cu date despre carduri și alte informații. Mai ales dacă parola victimei e chiar “parolă” sau un cuvând pe care l-a folosit cam de 20 de ori numai în ultimul an.

Soluția nu este să memorezi parole din ce în ce mai complexe. Este ca și cum ai urma o dietă sănătoasă, dar complicată. Știi că îți face bine, dar 20 de minute petrecute în fiecare zi pentru a curăța storcătorul de fructe îți vor tăia, în cele din urmă, entuziasmul creat de promisiunea că-ți va da o energie inepuizabilă.

Astfel, în industria soluțiilor de autentificare și în domeniile în care procesul de identificare a utilizatorului trebuie să fie foarte clar (de exemplu, bănci, organizații din domeniul sănătății, agenții guvernamentale), multe metode de autentificare se axează pe informațiile produse de corpurile noastre.

Corpul și tehnologia: în interior sau în exterior?

În mare, există două abordări: în primul caz, tehnologia se află în afara corpului și folosește aspecte ale acestuia care sunt unice, iar în cel de-al doilea, tehnologia este plasată în interior: microprocesoare implantate sub piele. Aici voi vorbi despre prima abordare.

Elementele care confirmă că ești cu siguranță tu, mai ales în lumea digitală, includ fața, amprentele, ochii, urechile, venele, bătăile inimii, mersul, modul în care tastezi și vocea. Tehnologia traduce aceste aspecte în date binare care mai departe sunt folosite pentru a autoriza accesul la conturile tale online, la dispozitivele digitale sau, în cazul pașapoartelor, pentru confirmarea identității.

Principalele elemente biologice de identificare

Ochii – Scanarea irisului provine, în mare, din scanarea retinei (folosind structura venelor din spatele ochiului). La fel ca majoritatea elementelor biometrice de identificare, irisul este unic pentru fiecare persoană și nu se schimbă în timp. Cu toate acestea, costul și echipamentul necesar pentru a implementa tehnicile de identificare au făcut ca până acum să fie folosite în principal în locuri unde accesul persoanelor este controlat extrem de strict: de exemplu, la CERN, unde se află Generatorul de Particule sau în clădirile folosite de armată. Mai nou, putem observa că tehnologia apare și în spațiul public, pe smartphone-uri: Samsung Galaxy S8, câteva telefoane Lumia Windowa și Fujitsu, precum și unele dispozitive iOS îți pot scana cu succes retina. Însă, în 2015, un hacker cunoscut ca Starbug a pretins că a replicat cu succes tehnologia de recunoaștere, reușind să copieze  irisul dintr-o fotografie online a Cancelarului German, Angela Merkel.

Amprentele – Probabil cea mai cunoscută și răspândită metodă de autentificare, recunoașterea digitală bazată pe amprentă a devenit populară după ce a fost introdusă pe telefoanele mobile de Apple, în 2013. La doar o zi după lansare, același Starbug a anunțat că a reușit să compromită această caracteristică, creând un “deget” fals din amprentele găsite pe telefon.

Mâinile – Acest aspect include geometria tridimensională a unui deget sau a mâinii, precum și rețeaua de vene de pe mână sau deget. Barclays Bank a introdus recunoașterea pe baza venelor de pe deget pentru clienții săi corporate. În plus, peste 80.000 de ATM-uri din Japonia își identifică posesorii de conturi prin intermediul scanării venelor din palmă sau de pe deget. Forma urechii sau o analiză mai complexă a trăsăturilor faciale sunt folosite, printre altele, pe Microsoft Xbox ONE și Playstation 4. Chiar dacă nu există niciun indiciu că acești markeri ar fi fost compromiși, există dovezi că ei încep să atragă atenția infractorilor cibernetici.

Unele analize recente Kaspersky Lab asupra activității infracționale au scos la iveală cel puțin doisprezece furnizori de skimmere de card capabile să fure amprentele victimelor. Iar cel puțin trei dintre ele sunt dispozitive de cercetare care ar putea obține ilegal date din sistemele de recunoaștere bazate pe venele din palmă și iris. Cercetătorii au mai descoperit discuții pe forum-uri online  în legătură cu dezvoltarea unei aplicații mobile pentru “măști faciale false”. O astfel de aplicație i-ar permite unui atacator să preia de pe Internet fotografia cuiva cu scopul de a păcăli sistemul de recunoaștere facială.

Bătăile inimii – Această metodă de identificare este relativ nouă. Sunt câteva produse în curs de a fi dezvoltate, unul dintre ele fiind Nymi: o brățară care îți poate confirma identitatea prin intermediul unor impulsuri electrice unice, generate de bătăile inimii. În august 2015, Nymi și Mastercard au anunțat că au lansat prima soluție de plăți mobile autentificate pe baza bătăilor inimii. Este, însă, prea devreme pentru a evalua soluția din punct de vedere al vulnerabilității de securitate.

Vocea – Recunoașterea vocală este folosită deja pe scară largă în domeniul serviciilor financiare, de obicei împreună cu alte metode de autentificare. Este un proces complex, care implică analiza mai multor parametri și tipare, printre care intonația, defecte specifice de vorbire, ordinea cuvintelor și compararea lor.

Profunzimea analizei și volumul mare de date luate în calcul la fiecare înregistrare micșorează destul de mult riscul ca identificarea pe bază de voce să fie compromisă de atacatori.  Acest lucru nu ne garantează, însă, că metoda este sigură. La sfârșitul anului 2016, Adobe a anunțat o nouă tehnologie de editare a vocii – Voco – care le-ar permite utilizatorilor să creeze și să modifice înregistrări vocale folosind doar 20 de minute de conversație. Mai există și alte soluții similare, dar nu atât de simplu de folosit. Dacă mai punem la socoteală și înregistrările vocale, în continuă creștere, colectate de noile dispozitive smart din casele noastre, cum ar fi Echo sau Dot, ipoteza unui atacator care colectează suficiente date pentru a recrea vocea cuiva, cu scopul de a păcăli sistemele de autentificare, devine – dintr-odată – mult mai realistă.

Mersul, stilul de tastare și alte elemente de biometrie comportamentală – De cele mai multe ori, aceste metode sunt îmbinate cu alte elemente, oferind un nivel suplimentar de securitate. Mersul măsoară postura, viteza, lungimea pasului și mișcarea tălpilor, printre altele. În ultimul timp, a atras atenția modul în care oamenii interacționează cu dispozitivele lor (de exemplu, stilul de tastare și mișcările mouse-ului).

Compania noastră este una dintre cele care implementează astfel de tehnologii. Noua soluție cloud de prevenire a fraudelor, de exemplu, include urmărirea mouse-ului și a navigării, pentru a detecta activitatea frauduloasă în cadrul sesiunii de online banking. Fiecare are un mod unic de a mișca mouse-ul pe ecran. În cazul în care se schimbă ceva, sistemul va trage un semnal de alarmă pentru că altcineva ți-ar putea folosi contul sau poate un program malware este instalat pe stația ta. De exemplu, dacă sistemul detectează faptul că mouse-ul se mișcă pe pagină cu o viteză constantă sau nu există nicio mișcare de mouse, sunt șanse mari ca un program automat malware sau un troian să fi fost instalat pe calculatorul tau. De asemenea, este un potențial indiciu că cineva folosește un instrument de administrare de la distanță (RAT – remote administrative tool).

Navigarea online poate spune și ea destul de multe lucruri despre noi. Utilizatorii tind să se îndrepte mai întâi către paginile de tranzacționare pentru a se ocupa de facturi și alte probleme. Programele malware sau utilizatorii frauduloși nu sunt interesați să-ți plătească factura de electricitate, dar vor să știe ce limite de credit ai și să-ți afle informațiile personale. Așa că acolo se duc prima dată, ridicând un semn de întrebare prin graba lor.

Folosirea modului specific de a tasta ca element de identificare devine însă mai puțin relevantă pentru că dispozitivele mobile sunt tot mai folosite pentru a accesa Internetul, iar tastatura, mai puțin.

Nu în ultimul rând, mai sunt cei care vor să te identifice folosind cam tot ce se poate. Noul proiect Abacus  va verifica identitatea cu ajutorul unui scor de încredere “cumulativ”, prin care telefonul tău te monitorizează constant și recunoaște elemente specifice privind localizarea, modul în care mergi și tastezi sau trăsăturile faciale. Experiența noastră ne arată că folosirea multiplilor markeri biometrici aduce un plus de securitate,  dar există și riscul de pierdere  a oricărei noțiuni de intimitate.

Posibile soluții pentru riscurile de securitate

Markerii biometrici sunt ideali ca elemente de identificare pentru că sunt unici și nu se schimbă în timp. Acest lucru îi face, în același timp, foarte vulnerabili. Dacă ei ar fi compromiși, consecințele ar fi foarte grave pentru victime.

Prin natura lor, elementele de identificare biometrică sunt adesea publice – de exemplu, oricine ți-ar putea fotografia în orice moment  urechea sau irisul. Mai mult, în ciuda faptului că sunt deja folosite pentru verificarea identității, utilizarea informațiilor despre părțile corpului tău este, în mare parte, nereglementată. Prin urmare, trebuie să venim cu o soluție înainte ca atacatorii să găsească o modalitate de a le exploata.

[related]

Noi – și alții din industrie – am început să ne facem griji în legătură cu acest lucru în urmă cu doi ani. Pe lângă noile tehnologii de prevenție a fraudei, mai deținem un patent pentru autentificare biometrică multi-factor și contextuală și vom continua să studiem această zonă în continuare, din perspectiva securității. Toate acestea confirmă teoria, recunoscută în cadrul industriei de securitate, că un singur sistem de măsurare este prea vulnerabil. Cea mai eficientă protecție va îmbina cel puțin două dintre următoarele metode: ceva ce ești (corpul tău), ceva ce știi (informații personale) și ceva ce ai (o parolă sau ceva similar).

Colaborarea va fi cheia: între dezvoltatorii autentificării biometrice și tehnologiile de identificare, industria de securitate și organizațiile care vor implementa produsele finale. Misiunea noastră este să dezvoltăm soluții de securitate performante, să facem viața utilizatorilor mai simplă și mai sigură, iar pentru infractori, să o facem mai grea, dacă nu de-a dreptul imposibilă.

Problema e că nu prea ne putem permite să dăm greș. Fiecare dintre noi vine cu un singur corp. Dacă poți să înlocuiești un card de credit furat sau un număr de cont, ca să nu mai vorbim că poți să setezi o nouă parolă, cum înlocuiești retina, urechea sau chiar amprentele compromise? Nu poți, pur și simplu, să bifezi o căsuță și, în schimb, să primești un email cu un link pentru a crea un nou ritm cardiac.

Dan este Security Researcher în cadrul echipei globale de cercetare a Kaspersky, GReAT (Global Research and Analysis Team). Principalele lui domenii de interes sunt sistemele distribuite și atacurile ... vezi toate articolele