18 марта, 2019, BIS Journal №1(32)/2019

Технология защиты от угрозы подмены биометрического сканера


Федотенко Максим

руководитель направления Центра внутрикорпоративного взаимодействия (Сбербанка)

Часть 1. Риски биометрического процесса

В ближайшую пару лет Россию ждёт технологический прорыв: применение биометрии станет по-настоящему массовым. Российские банки уже сейчас начали предлагать клиентам использование государственной Единой биометрической системы, которая позволит получать множество услуг онлайн. Единожды зарегистрировав свой биометрический образец, можно проходить удалённую идентификацию в различных банках без личного присутствия. Сбербанк не только участвует в общенациональной биометрической системе, но и строит собственную платформу, которая охватит отделения и устройства самообслуживания банка, а также системы дистанционного банковского обслуживания (ДБО).

Мы осознаём, что использование современных биометрических технологий — это не только удобство и скорость, но и определённые риски, связанные с угрозой мошенничества. Поэтому перед внедрением нового процесса мы разрабатываем меры для минимизации рисков. На каких принципах основана наша модель угроз биометрии, и какие риски мы оцениваем?

МОДЕЛЬ УГРОЗ БИОМЕТРИЧЕСКОЙ СИСТЕМЫ

В качестве основы мы взяли модель, приведённую в рекомендации Международного союза электросвязи (МСЭ) ITU-T X.1086 «Telebiometrics protection procedures — Part 1: A guideline to technical and managerial countermeasures for biometric data security», и документ Международной организации по стандартизации ISO/IEC 30107 «Biometric presentation attack detection». Для начала рассмотрим функциональную биометрическую модель (Рис.1).

Рис. 1. Функциональная биометрическая модель

В соответствии с ней биометрический сканер сначала собирает характеристики человека: например, отпечатки пальцев. Затем он преобразует их в биометрический образец (растровый рисунок) и отправляет в модуль обработки. Из биометрического образца выделяются определённые признаки. Если человек только регистрирует свою биометрию, биометрические признаки записываются в базу данных (далее они называются биометрическим шаблоном). В дальнейшем признаки направляются на сравнение с биометрическим шаблоном (в случае верификации) или для поиска наиболее подходящего шаблона (в случае идентификации). При этом модуль поиска и сравнения выдаёт оценку соответствия (скор-балл), на основании которой модуль принятия решения информирует систему об успешной или неудачной попытке идентификации/верификации.

Практически при каждом действии функциональной биометрической модели возникают угрозы безопасности (Рис. 2).

Рис. 2. Угрозы в функциональной биометрической модели

Рассмотрим эти угрозы по порядку. Место снятия биометрических характеристик — одно из самых проблемных во всей биометрической технологии. Здесь возникает большое количество возможностей для атак, и методы защиты не всегда за ними успевают. Эти угрозы можно разделить на три основных класса:

Неавторизованный сканер. Биометрический сканер может быть подменён или просто отсутствовать. Действительно, зачем злоумышленнику сканер, если можно просто отправить фотографию жертвы в модуль обработки? Другим примером подобной атаки может стать отключение функции liveness detection сканера. В этом случае любое изображение на экране смартфона или силиконовый отпечаток пальца могут сойти за действительные биометрические характеристики.

Кража. Биометрический образец, создаваемый сканером, может быть украден и использован в дальнейшем для подмены.

Атаки подмены или презентационные атаки. Описанию этого класса атак и его типов посвящён стандарт ISO/IEC 30107-1. Если коротко, то их можно разделить на синтетические и естественные. К синтетическим атакам можно отнести, например, видеоизображения человека, искусственный отпечаток пальца из желатина или просто очки от солнца. Естественные атаки – это, например, отрезанный палец, принуждение, методы социальной инженерии и т.п.

Теперь рассмотрим угрозы модуля обработки биометрического образца. На входе в него подаётся образец (например, фотография), а на выходе он генерирует математическую модель, называемую биометрическими признаками. Именно эта модель и хранится в базе данных под названием биометрического шаблона. Здесь так же, как и в биометрическом сканере, характерны угрозы неавторизованного модуля, который, например, вне зависимости от предъявляемого образца будет выдавать всегда одни и те же биометрические признаки, а также угрозы подмены и кражи этих признаков.

В случае первичной регистрации биометрического шаблона нужно отметить такой риск, как плохое качество биометрических данных. В этом случае в дальнейшем при идентификации или верификации пользователя заметно увеличиваются ошибки как первого (отказать своему), так и второго рода (принять чужого за своего).

Собранные биометрические шаблоны, а зачастую и биометрические образцы пользователей, хранятся в базе данных, которая также является одним из самых проблемных мест с точки зрения рисков безопасности. Здесь можно выделить следующие угрозы:

Подмена биометрических шаблонов, кража биометрических образцов и шаблонов.

Повреждение или полный отказ базы данных, что может привести к невозможности идентификации/верификации пользователей, а также утере всех или части биометрических шаблонов.

Регуляторная угроза. Необходимо не забывать о законодательстве: например, хранение биометрического шаблона без письменного согласия клиента на обработку его биометрических персональных данных (ПДн), после окончания срока действия или отзыва пользователем согласия может привести к административной ответственности (штрафам).

Как уже было сказано, биометрические шаблоны, хранящиеся в базе данных, используются для идентификации или верификации пользователя. Эту функциональность реализует модуль поиска и сравнения. Он выдаёт оценку доверия (скор-балл), говорящую о точности биометрической процедуры. Здесь возможна та же угроза подмены модуля, в том числе изменения его настроек для неправильного вычисления скор-балла, а также кражи передаваемых в модуль биометрических признаков и шаблонов.

Отдельным пунктом нужно отметить новый тип угрозы — подбор биометрических признаков. Он может осуществляться как на основе имеющихся данных (например, базы данных фотографий), так и синтетическими методами: с помощью так называемой атаки Hill-Climbing. Этот термин был введён в статье C. Soutar, R. Gilroy, and A. Stoianov. Biometric system performance and security. In Proc. IEEE Automatic Identification Advanced technologies (AIAT), 1999.

Алгоритм такой атаки для процедуры верификации описан, например, для отпечатка пальца в статье Umut Uludag, Anil K. Jain «Attacks on Biometric Systems: A Case Study in Fingerprints» (Рис. 3).

Рис. 3. Схема атаки Hill-Climbing

Результат биометрической идентификации/верификации может быть подменён на уровне модуля принятия решения. В данном случае актуальна угроза подмены самого модуля на неавторизованный или изменение его настроек, например, пороговых значений (threshold) для «смягчения» решения.

Также необходимо отметить, что везде, где биометрические образцы, признаки или шаблоны передаются из модуля в модуль, возможна реализация угроз, связанных с подменой биометрических данных или их перехватом.

МОДЕЛИ БИОМЕТРИЧЕСКОГО ПРОЦЕССА

В рекомендациях ITU-T X.1084 выделяется четыре модели биометрического процесса (Таблица 1), которые классифицируются на основе следующих признаков:

места хранения биометрических шаблонов (базы данных);
места расположения модуля сравнения биометрических признаков и биометрических шаблонов.

Суть этих моделей легко показать графически (Рис. 4).

Таблица 1. Модели биометрического процесса

Рис. 4. Локальная модель

При использовании локальной модели сбор биометрических характеристик, их обработка и преобразование в признаки, а также сравнение и получение решения по идентификации/верификации производится на клиентской стороне. Решение о биометрической аутентификации принимает или сервер (в случае если он получает оценку соответствия), или клиент, который устанавливает с сервером авторизованную сессию.

Локальная модель на данный момент — наиболее распространённая схема аутентификации при помощи биометрии. Такая модель используется, например, в мобильных устройствах Apple iOS (Рис. 5) и на базе операционной системы Android.


Рис. 5. Использование биометрической аутентификации в Apple iOS

Верхнеуровнево обычный процесс аутентификации пользователя на сервере при помощи биометрии для некоторого приложения Apple iOS выглядит следующим образом. Сканер отпечатков пальцев мобильного устройства (TouchID) снимает образ отпечатка и отправляет его в Secure Enclave. Secure Enclave[1] — это защищённый сопроцессор, который использует шифрованную память, включает в себя аппаратный генератор случайных чисел и обеспечивает выполнение всех криптографических операций для управления ключами защиты данных. Secure Enclave, используя пароль пользователя, ключ устройства, ключи классов и т. п., предоставляет доступ к связке ключей или защищённому файлу[2]. В них хранится тот самый аутентификатор, при помощи которого приложение может аутентифицироваться на сервере. Например, в случае мобильного приложения дистанционного банковского обслуживания Сбербанка — это PIN-код, а протокол аутентификации — Secure Remote Protocol (SRP)[3]. Этот протокол был выбран, так как он не предусматривает ни в каком виде передачу от приложения на сервер самого секрета (PIN-кода) при аутентификации. Аутентификация производится двухэтапным протоколом, основанном на применении технологии криптографии с открытым ключом.

Такой же принцип аутентификации по биометрии предлагается использовать организацией FIDO Alliance[4] в спецификации Universal Authentication Framework (UAF)[5] (Рис. 6).

Рис. 6. Процесс аутентификации в соответствии со спецификацией FIDO UAF

Аутентификатором могут служить различные устройства или программы, прошедшие аттестацию в альянсе. Основным принципом в данном случае является начальное распределение закрытых и открытых ключей между аутентификатором и сервером (см. рисунок 6). Ключи генерируются в аутентификаторе, закрытый сохраняется в нём, а открытый передаётся на сервер для проведения аутентификации в дальнейшем. Доступ к закрытому ключу, находящемуся в аутентификаторе, пользователь может получить после прохождения локальной аутентификации при помощи различных технологий, которые поддерживает производитель аутентификатора, в том числе биометрических признаков

(Рис. 7).

Рис. 7. Процесс локальной аутентификации FIDO UAF

Уже большое количество производителей провели аттестацию своих технологий
в альянсе. В случае биометрической аутентификации можно привести пример российской компании VisionLabs для технологии распознавания лиц в мобильном телефоне на базе Android.

Локальная модель биометрического процесса обладает очень высокой степенью защищённости, и уже существуют качественные стандарты на разработку средств, которые используют данную концепцию.

Промежуточные модели биометрического процесса — модель с загрузкой шаблона и модель с присоединением данных — являются переходными между локальной и централизованной моделями. Они не очень распространены и используются в специфических приложениях (Рис. 8).


Рис. 8. Промежуточные модели

И, наконец, мы подошли к самой интересной для нас модели биометрического процесса — централизованной (Рис. 9).

Рис. 9. Централизованная модель

В этой парадигме биометрический сканер снимает биометрические признаки пользователя, возможно, предобрабатывает их, а затем отправляет на серверную часть, где и происходит сравнение с биометрическим шаблоном для вынесения резолюции. Централизованная модель удобна тем, что, однажды предоставив на сервер свои биометрические признаки определённой модальности, пользователь может в дальнейшем выбирать практически любой канал доступа к серверу при аутентификации. Такой подход называется омниканальностью. Он очень удобен и для клиентов, и для организации.

Локальная модель успешно применяется на собственных устройствах пользователя (например, на мобильном устройстве), однако в случае экстраполяции на многопользовательские устройства такой подход не работает — ведь локально на биометрическом сканере хранить отпечатки миллионов клиентов, мягко говоря, затруднительно.

Именно поэтому как Единая биометрическая система (ЕБС), так и собственная биометрическая платформа Сбербанка используют централизованную модель биометрического процесса. ЕБС предполагает, что регистрировать биометрические признаки, а это пока что лицевая и голосовая биометрия, клиенту нужно в отделениях банка, а использовать биометрию при идентификации и верификации можно будет уже в разных каналах обслуживания. Сбербанк же планирует открыть для своих клиентов возможность регистрации биометрических признаков в том числе и удалённо: с помощью мобильного приложения или устройства самообслуживания. Наш банк использует для биометрической регистрации и аутентификации риск-ориентированный подход.

РИСКИ БИОМЕТРИЧЕСКОГО РАСПОЗНАВАНИЯ В ЦЕНТРАЛИЗОВАННОЙ МОДЕЛИ

Централизованная модель несёт больше киберрисков, нежели локальная. Основной её риск — подмена данных, которые направляются клиентской компонентой на серверную часть (Рис. 10). Действительно, сервер «не знает», откуда пришли данные. А для получения такого знания ему необходимо каким-то образом аутентифицировать клиентскую компоненту, передающую биометрический образец, которая может находиться и на другой стороне земного шара.

Рис. 10. Выделяемые риски централизованной модели

При использовании биометрических процессов во внутренней сети особенных рисков при использовании централизованной модели не возникает. Однако при предоставлении биометрии во вне, как услуги, — всё меняется.

ЕБС предоставляет банкам открытое API и, по сути, уходит от решения проблемы, перекладывая её на плечи самих банков. Биометрический образец нужного формата должен попасть в ЕБС от имени банка, а перед этим сам банк должен удостовериться, что это не «липа».

Когда-то серверное API было закрытым, и передать через него подложный биометрический образец было практически невозможно. Однако сегодня провести реверс-инжиниринг не составляет каких-либо проблем, поэтому сохранение в тайне протокола взаимодействия своего API нельзя считать мерой защиты. Кроме того, в самых разных индустриях, включая финансы, побеждает концепция открытого API. Например, Сбербанк стремится превратиться в финансовую экосистему и начал предоставлять финтеху открытое API[6]. Поэтому необходимо говорить о полноценном встраивании в открытое API функций по идентификации и аутентификации клиентских компонент. Это может быть как некоторый API-ключ, так и использование криптографической подсистемы, например, на базе PKI.

Основной проблемой при таком встраивании становится распределение ключей аутентификации клиентской компоненты. Например, если мы говорим об отделениях банка, то такой компонентой является компьютер операциониста. Такие компьютеры в банке учитываются, они используют встроенные или наложенные средства защиты, и на них могут быть распределены их аутентификаторы. Однако биометрические технологии приходят не только на стационарные места операционистов, но и на собственные устройства клиентов банка, обычно мобильные, контролировать которые банк не может, да и не имеет такого права.

Статическое распределение аутентификаторов для мобильных устройств клиентов, к сожалению, проблематично. Если встроить ключ доступа или криптографический закрытый ключ в код мобильного приложения, то завтра он будет известен всем. А если распределять такие аутентификаторы на каждое приложение, то как удалённо связать аутентификатор с конкретным приложением?

(Продолжение в следующем номере)

[1] Безопасность iOS. iOS 10. Март 2017 г. Раздел “Безопасность системы” пункт “Secure Enclave” (https://images.apple.com/ru/business/docs/iOS_Security_Guide.pdf)

[2] Процесс предоставления доступа достаточно сложный и многоуровневый. Его описание — не цель данной статьи. Подробнее можно посмотреть в Безопасность iOS. iOS 10. Март 2017 г. Раздел “Шифрование и защита данных” (https://images.apple.com/ru/business/docs/iOS_Security_Guide.pdf)

[3] RFC: https://tools.ietf.org/html/rfc2945

[4] https://fidoalliance.org/

[5] https://fidoalliance.org/download/

[6] https://developer.sberbank.ru/

 

Смотрите также

ЕБС набирает высоту

29 декабря, 2018

Право на ЕИСПСА

18 декабря, 2018

А был ли мальчик?

14 декабря, 2018
Подпишись на новости!
Подписаться