如今,生物認證被用于訪問政府和商業辦公室、工業自動化系統、企業和個人筆記本電腦以及移動電話,這些技術的應用數量和種類都在不斷增長。不幸的是,和許多其他最近迅速發展的技術一樣,生物認證系統已經被證明有明顯的缺點,其主要缺點與信息安全問題有關。
在這份報告中將討論影響生物認證系統的眾多信息安全問題,并提出相關研究結果,以提供更客觀的評估與使用現有的生物認證系統相關的風險信息。
生物測定數據處理與存儲
生物測定數據作為一種不可偽造的唯一個人標識符的概念從根本上講是錯誤的。
首先,雖然認證系統對生物特征數據的識別精度相對較高,但在許多應用中仍然存在不足,這種識別不是簡單地計算兩個散列和是否相等。生物測定系統通常具有假陰性和假陽性結果的概率。
其次,研究表明,許多人類生物特征可以被惡意偽造,復制數字化生物特征數據可能比復制物理生物特征更容易。
第三生物特征數據一旦被泄露,就會永遠被泄露:用戶不能像更改盜取密碼那樣更改被盜指紋。更重要的是,生物特征數據可能會同時對所有應用程序造成危害。因此,一個人的余生可能會受到影響。
事實證明,生物特征數據可能會以攻擊者易訪問的格式存儲。一個例子是,在基于網絡的生物安全智能鎖平臺BioStar2中發現了一個重大漏洞,這項服務有一個可公開訪問的數據庫——超過2780萬條記錄,來自83個國家的5700個組織的員工數據總計23G。該數據庫還包含約100萬份指紋記錄以及面部識別信息。
隨著生物認證系統應用的數量不斷增加,生物認證數據不僅會引起特殊服務部門的興趣,還會引起其他攻擊者的興趣。
風險評估
考慮到上述風險,我們決定評估生物測定數據處理系統(處理和存儲數據的服務器,以及用于收集生物測定數據的工作站)在多大程度上容易受到惡意攻擊。
1.三分之一的系統受到威脅
在2019年第三季度,37%行收集、處理和存儲生物特征數據的的電腦檢測到惡意軟件,即每三臺電腦中就有一臺電腦面臨惡意軟件感染的風險。
2.威脅源
對威脅來源的分析表明,與許多其他需要加強安全措施的系統(如工業自動化系統、建筑管理系統等)一樣,互聯網是主要威脅來源。
14.4%的生物特征數據處理系統受到互聯網上的威脅,包括在惡意網站和釣魚網站,以及基于web的電子郵件服務。
可移動設備(8%)和網絡文件夾(6.1%)最常用于分發蠕蟲。蠕蟲感染計算機后,通常會下載間諜軟件,木馬和勒索軟件。
電子郵件客戶端中的威脅中大多數情況下典型的釣魚電子郵件(貨物和服務交付假消息、付款、RFQ、RFP等),其中包含指向惡意網站的鏈接或帶有惡意代碼的office文檔。
3.最危險因素
在生物特征數據處理和存儲系統的潛在威脅中,間諜軟件、釣魚攻擊的惡意軟件、勒索軟件和銀行木馬對此類系統構成最大威脅。
總的來說,在2019年第三季度,5.4%用于收集、處理和存儲生物特征數據的計算機上被感染間諜軟件,釣魚攻擊中使用的惡意軟件和勒索軟件分別占5.1%和1.9%。
其他類型的惡意軟件還包括竊取銀行數據的惡意程序(1.5%)。這些惡意程序不太可能是為了竊取生物特征數據。然而,可以預期竊取銀行和金融系統生物特征數據的惡意軟件將在不久的將來出現。
總結
在2019年第3季度,用于收集、處理和存儲生物特征數據的計算機中,有37%面臨惡意軟件感染的風險,其中木馬(占分析的所有計算機的5.4%)、用于釣魚攻擊的惡意軟件(5.1%)、勒索軟件(1.9%)和銀行木馬(1.5%)。
這些惡意軟件能夠:竊取機密信息、加載和執行任意軟件、使攻擊者能夠遠程控制受感染的計算機。盡管這些威脅并不是專門用來竊取或篡改生物特征數據的,但其中已經具備這樣的能力。這就是為什么我們認為,將生物識別系統暴露在網絡下對服務提供商和用戶個人來說都是一個巨大的風險。
還應注意的是,生物測定數據處理和存儲系統(特別是生物測定數據庫)通常部署在與其他系統共享的應用服務器上,而不是專用計算機上。如果攻擊者對郵件服務器或具有生物認證系統的組織的網站進行攻擊,他們也有可能在同一服務器上找到生物認證數據庫。
綜上所述,生物認證數據安全至關重要,需要引起行業、政府監管機構、信息安全專家和公眾的關注。
