生物特征数据处理系统最初主要用于警察、海关之类的政府机构,但随着信息技术的快速发展,生物识别技术也开始走入我们的日常生活,除了政府机构和工业自动化系统外,商业办公、笔记本电脑和智能手机也开始将生物识别纳入发展。这类技术逐渐扩大并取代了传统的如基于账号密码的身份验证方法。的确,利用每个人独特的指纹、声音、面部形状或眼睛结构来识别人,似乎是一种显著且方便的办法。
但是,与许多迅速发展的其他技术一样,生物特征认证系统也被证明有明显的缺陷,主要与信息安全问题有关。
在这份报告中,我们将以卡巴斯基收集的2019年第三季度数据为基准,讨论影响生物认证系统的信息安全问题,并评估现有生物认证系统的相关风险。
生物特征数据处理和存储系统所面临的威胁
有种观念认为,能将生物特征数据作为一种无法伪造的唯一个人标识符,但这种概念从根本上来说是错误的,可能会给人一种虚假的安全感。
首先,认证系统对生物特征数据识别的准确性虽然较高,但在许多应用中仍然存在不足,毕竟这种识别不是简单地计算两个散列和是否相等,生物测定系统的假阴性和假阳性结果的概率通常大于零。
其次研究表明,许多人类生物特征可以被造伪,而复制数字化的生物特征数据甚至可能比复制物理特征还要容易。
第三(也是最重要的一点),生物特征数据一旦被泄露,用户是无法像更改密码那样更改被盗指纹的,因此一个人的余生都有可能受到影响。
鉴于上述问题,开发人员如何保障系统和数据安全就显得至关重要,而现实是许多相关技术公司在这方面仍可能存在许多不足。比如今年8月份,安全智能锁平台BioStar 2被曝出存在严重漏洞,能轻易获得Biostar 2 数据库的访问权限,由于数据库缺乏应有的保护,且大多数据处于未加密的存储状态,很容易访问到总量超过 2780 万条(23GB+)的记录,这些数据包括了指纹 / 面部识别数据、未加密的用户名和密码、甚至员工的个人信息。除了敏感信息,安全研究人员还能够轻松监控存储的生物识别数据的实际使用情况。比如实时查看哪个用户通过特定的安全门进入任何设施,甚至能查看管理员账户的密码。而之所以能这么轻易获取到数据,就是因为BioStar 2未采散列式指纹数据存储(无法进行逆向工程),偷工减料地让攻击者能够轻易复制实际的指纹数据、并将之用于恶意的目的。
BioStar 2的状况并非个例,在2015年就曾发生过一起以生物特征数据为目标网络攻击事件,被盗信息中包含近600万美国政府相关人的指纹信息。
随着生物认证系统应用数量的增长,可以容易设想,未来生物特征数据也将会是攻击者所针对的目标之一。
考虑到上述风险,我们决定评估生物特征数据处理系统(处理和存储数据的服务器以及用于收集生物特征数据的工作站)在多大程度上容易受到恶意软件攻击,因此我们分析了卡巴斯基产品在此类系统上检测到的威胁。
研究目标
安装了卡巴斯基产品,用于收集、处理和存储生物特征数据(如指纹、手的几何形状、面部、声音和虹膜模板)的计算机(服务器和工作站)。
数据截取时间
2019年第三季度。
研究结果
根据卡巴斯基安全网络(KSN)的数据,在2019年第三季度,装有收集、处理和存储生物特征数据功能的计算机中,约有37%检测到过恶意软件的存在——也就是说,约有三分之一的计算机存在被恶意软件感染的风险。
从下面的季度数据可以看出,自2019年初以来,尽管检测到恶意软件的计算机的百分比已下降6.6个百分点,但仍处于高位水平。
图1.2019年第一季度/第三季度检测到恶意软件的生物识别处理系统计算机的百分比
威胁源
对威胁来源的分析表明,与许多需要加强安全措施的系统(如工业自动化系统、建筑管理系统等)一样,互联网是生物特征数据处理系统的主要威胁源。
图2.生物特征数据处理和存储系统的主要威胁来源,2019年第三季度
在所有生物识别数据处理系统中,来自互联网的威胁占比达到14.4%。这类威胁包括恶意网站、钓鱼网站以及基于web的电子邮件服务。
可移动设备(8%)和网络文件夹(6.1%)最常用于蠕虫分发,感染计算机后,蠕虫通常会下载间谍软件和远程访问木马以及勒索软件。
至于电子邮件客户端中的威胁,在大多数情况下是典型的钓鱼邮件(比如发货信息、支付发票、RFQ、RFP等),包含恶意网站链接或嵌入恶意代码的附件。
最主要威胁
间谍软件、钓鱼攻击中使用的恶意软件(主要是间谍软件下载器和下载器)、勒索软件和银行木马构成了最大威胁。
图3.在生物特征数据处理和存储系统上阻止的某些恶意软件类型
恶意软件类型中,5.4%为间谍软件,而钓鱼攻击中使用到的恶意软件以及勒索软件分别占到了5.1%和1.9%。
值得注意的是,银行恶意软件占比为1.5%,但这类恶意程序不太可能以窃取生物特征数据为目标,不过可以预见的是,随着生物识别技术与银行业务关联得越来越紧密,窃取金融系统生物识别数据的大规模分布式恶意软件将在不久后出现。
结论
以2019年第三季度收集到的数据来看,用于收集、处理和存储生物特征数据的计算机中有37%面临着恶意软件感染风险,其中远程访问木马占到了5.4%,网络钓鱼中使用的恶意软件占到了5.1%,勒索软件占到了1.9%,银行木马占到了1.5%。
虽然分析的样本中,恶意软件并不总是以生物特征数据处理系统为目标,但它们中的一些具有这样的技术能力,另外也可能严重影响身份验证系统的可用性和生物特征数据的完整性。
还应该指出的是,生物特征数据处理和存储系统(特别是生物特征数据库)通常部署在与其他系统共享的应用服务器上,而不是专用计算机上。换句话说,如果攻击者破坏了某一组织的使用的邮件服务器或数据库,就很可能也会在同一台服务器上发现生物特征数据库。因此,这类威胁所造成的影响不应被低估。
考虑到上述所有因素,我们认为生物识别数据安全性的现状至关重要,需要引起行业、政府监管机构、信息安全专家、社区以及公众的注意。毕竟,无论其职业,专业背景和技能如何,任何人都可能面临这种风险。