Сказки о безопасности: Голосовое преследование

11/05/2017

— Центральная! Это экипаж 505. Преследуем грабителей. Черный седан. Трое.

— Что еще можете о них сказать?

— При попытке ограбления отделения банка на 7-й авеню они ранили охранника. Вооружены автоматическим оружием. Да, вот еще, в банке велась аудио- и видеозапись. Увы, лиц их у нас нет, они скрыты масками. Но голоса на записи есть. Но нам это, увы, ничего не дает.

— Ну это вы зря, 505-й. Мы попробуем вам помочь. Как там у вас?

Минута тишины.

— 505-й, как вы?

— Высылайте скорую, ранен офицер полиции. Преследовать не могу.

— Успокойтесь, помощь на подходе.

— Мы их упустили. Автомобильная авария.

— Успокойтесь, мы все сделаем.

— Борт 15! Вызывает Центральная. У вас на борту курсанты Академии безопасности, верно?

— Да, Центральная. Мы проводим практическое занятие по перехвату мобильной связи.

— У нас к вам не практическое задание, а реальное.

— Борт 15! На связи ректор Академии! Включите связь с курсантами.

— Есть! Готово!

— Курсанты, с вами говорит ректор Академии. Ребята, практическое занятие отменено. У вас есть реальная работа. Нужно найти мобильные телефоны по образцам голосов. Файл пересылаю. Первые три, кто сумеют это сделать, считаются сдавшими мой экзамен прямо сейчас и поедут на 10 дней в отпуск. Я в вас верю!

Прошло еще 40 минут.

— Центральная, борт 15 на связи. Есть! Курсанты справились. Ловите три номера телефонов. Все трое сейчас находятся в городке Спрингфилд. Высылайте группу захвата.

Стоит отметить, что опознание телефона при наличии образца голоса требует до 30 с. И для розыска уже не нужен ни номер телефона, ни его IMEA. Все гораздо проще!

https://www.pcweek.ru/security/article/detail.php?ID=195316

 


Сказки о безопасности: Взлом биометрии

11/05/2017

— Доброе утро! Мне нужен дежурный офицер вашего отделения.

— Что случилось, мадам? У вас проблема? Да не плачьте, пожалуйста! Мы попробуем ее решить! Хотите воды? Чаю? С печеньем?

— Спасибо, господин офицер, вы так добры!

— И все же, пока мы с вами будем пить чай, давайте поговорим о ваших проблемах, ведь я не поверю, что вы просто зашли к нам на чашку чаю. Увы, к нам просто так не заходят. Что случилось? Может мне позвать женщину-офицера, вам будет проще с ней говорить?

— Нет. Не нужно, спасибо! Сегодня утром я шла в свой банк, снять деньги. Но когда пришла, мне сказали, что у меня на счету денег нет! Что я сама сняла их вчера вечером. В банкомате на 5-й авеню. Но ведь этого не может быть! Меня просто не было в городе. Вот мой билет, я приехала сегодня ночью.

— Может у вас кто-то просто украл вашу карту и PIN-код?

— Да нет! Вот моя карта. И банкомат защищен таким образом, что при снятии денег мне не нужен PIN. У меня сканируют радужку глаза и проверяют отпечаток пальца. У нас очень продвинутый на технологиях безопасности банк.

— Хорошо, пройдите в комнату напротив, сержант запишет ваши показания.

Прошло 10 минут.

— Господин комиссар, это уже пятое заявление от вкладчиков этого банка. И все карты привязаны к биометрии. Вам не кажется, что нам нужно запрашивать помощь у столичного офиса?

— Думаю, да. Я сейчас перезвоню туда.

Через час в кабинете Иоганна

— Шеф, СРОЧНО!

— Что случилось на этот раз, Мишель?

— Сбылся кошмар всех экспертов в области информационной безопасности!

— А подробнее?

— Шеф, произошла утечка биометрических данных по вине нескольких правительственных организаций.

— У нас?

— Вы правы. Несколько банков используют для подтверждения транзакций клиентов уникальные персональные номера, присваиваемые каждому гражданину империи в рамках идентификации граждан. Идентификация осуществляется на основе анкетных данных, изображений радужной оболочки глаза и отпечатков пальцев. Эти данные, в частности, используются для аутентификации и авторизации денежных переводов, а также для осуществления платежей.

— И что произошло?

— У этих банков буквально полностью очищены счета более 400 клиентов, использующих такую идентификацию. Очевидно, атаковано наше центральное хранилище уникальных персональных номеров. А сколько информации похищено в результате атаки — мы просто не знаем.

— Действительно кошмар. Самое страшное, что биометрические данные, в отличие от пароля, сменить нельзя. Следовательно, для этих людей биометрию использовать уже нельзя. А самое страшное — неизвестен точный размер утечки. Сколько пострадавших? Кому можно доверять? Кому нельзя? Фактически это крах аутентификации с помощью биометрических данных.

— Да, шеф, теперь я понимаю, почему вы всегда говорили, что аутентификация с помощью биометрических данных — это удобство, а отнюдь не безопасность!

— Да. Я действительно так считаю. Более того, на мой взгляд, взлом баз данных, содержащих биометрические данные, приведет к тому, что придется менять всю систему аутентификации граждан, а это и время, и огромные деньги.

— А что будет с этими несчастными?

— Пострадавшие получат свои деньги из имперского фонда страхования. Но что делать с фондом биометрии? Высылайте наших ребят в хранилище идентификационных номеров. До особого распоряжения система аутентификации работать не будет. Мы должны понять не только как произошла утечка, но и сколько и какие данные ушли наружу.

Прошел месяц. По окончании расследования был сделан вывод, что атака, скорее всего, пришлась на системы резервного копирования. Но идея биометрического распознавания клиента без пароля была закрыта в империи и теперь для проведения платежа все чаще и чаще используются аппаратные генераторы одноразовых паролей в сочетании с биометрией.

Недавно в Индии обнаружилась утечка более 100 млн. уникальных персональных номеров, присваиваемых каждому гражданину в рамках национальной программы идентификации.

А как вы считаете, аутентификация с помощью биометрии — это безопасность или просто удобство?

https://www.pcweek.ru/security/article/detail.php?ID=195309