Читаем Старший брат следит за тобой. Как защитить себя в цифровом мире полностью

В то же время злоумышленнику достаточно украсть ваш смартфон, а все ваши отпечатки уже есть на его корпусе, их можно снять и сделать слепок, например с помощью 3D-принтера[79] и клея[80], или изготовить «универсальный» отпечаток[81]. Многие биометрические системы среагируют и на поддельный силиконовый отпечаток, который можно наклеить поверх любого пальца, чтобы обмануть датчик, реагирующий на температуру тела. Причем в некоторых случаях злоумышленнику даже не нужно искать отпечатки пальцев владельца на предметах – достаточно фотографий рук в высоком разрешении. Это доказали исследователи на конференции Chaos Communication Congress 2014, продемонстрировав добытые таким образом отпечатки пальцев министра обороны Германии Урсулы фон дер Ляйен[82]. А еще преступники учитывают то, что, скорее всего, владелец использует для аутентификации указательный или большой пальцы. Это удобно, но и неправильно, так как в работе человек пользуется чаще всего именно этими пальцами, а значит, именно их отпечатки есть на устройстве.

Еще одна опасность биометрических систем – возможность кражи баз данных, содержащих в числе прочего биометрическую информацию клиентов. Например, в августе 2019 г. в интернете была обнаружена незащищенная база данных с 27,8 млн записей пользователей системы безопасности Suprema Biostar 2. Эта система обеспечивает биометрическими средствами защиты организации по всему миру, в том числе банковские и правительственные[83]. Среди данных есть незашифрованные имена пользователей с паролями[84], их домашние и электронные адреса, списки сотрудников с указанием уровня доступа и дат доступа на охраняемые объекты, а также биометрические записи (в частности, сведения о распознавании лиц и отпечатков пальцев). Проникнув в такую базу данных, злоумышленник может внести в нее изменения, в том числе заблокировать доступ сотрудников в помещение (например, в полицейском управлении) или создать фиктивные учетные записи на свое имя, получив доступ к любой зарегистрированной в базе организации. Кроме того, биометрические данные могут быть похищены и использованы для проникновения в другие организации, при получении доступа в которые сканируется подушечка пальца или лицо; для проведения целевых фишинговых атак; для взлома личных устройств и систем безопасности пользователей, данные которых находятся в базе данных (особенно если учесть записи о домашних адресах пользователей) и т. п.[85]

Также важно отметить, что многие современные дактилоскопические сканеры реагируют и на отпечаток умершего или находящегося в бессознательном состоянии человека – это существенный недостаток технологии, потенциально угрожающий здоровью и даже жизни владельца особенно ценной информации. К другим недостаткам можно отнести чувствительность сканеров к чистоте и влажности рук, а также изменению рисунка из-за травм и ожогов. Для распознавания отпечатка в таких случаях разработчики биометрических систем прибегают к упрощению хранимых отпечатков (т. е. допускают определенный уровень погрешности). Это отрицательно сказывается на уровне защиты, так как подделать отпечаток для менее «требовательного» сканера становится проще.

Учитывая все перечисленные недостатки, производители дактилоскопических систем продолжают совершенствовать свои технологии и реализуют механизмы защищенного обмена биометрическими данными без доступа к ним внешних процессов (чтобы преступник не мог перехватить данные на их пути от датчика к хранилищу). Сообщалось о том, что французская компания Idemia работает над технологией бесконтактного сканирования отпечатков пальцев: достаточно провести рукой в паре сантиметров от поверхности сканера и несколько встроенных видеокамер зафиксируют движение руки. Компания CrucialTec для повышения надежности своих систем внедрила в них датчик сердечного ритма, а китайский разработчик Real iDentity добавил в сканер датчик микроскопических капель пота: они могут находиться только на коже живых людей. Такие системы не обманешь ни распечатками, ни даже отрезанными пальцами[86]. Вероятно, преступники смогут обойти и эти способы защиты, но это явно будет сложнее.

Устройства компании Apple