Чи створять численні одночасні біометричні датчики непорушну безпеку для пристроїв?

9

У цій статті цитується генеральний директор Image Ware,

[Рішення], за словами Міллера, є мультимодальною біометрикою, яка, за його словами, практично не дає доступу до комп'ютерних систем неправильній людині.

Його компанія використовує існуючі апаратні засоби та платформи, з'єднуючи алгоритми розпізнавання фізичних особливостей (палець, долонька, рука та відбитки, а також обличчя, око, райдужка) з іншими алгоритмами, використовуючи загальні біометричні датчики даних, знайдені на сучасних мобільних пристроях.

Моє відчуття кишки полягає в тому, що він якось завищив це, але я не можу покласти пальця на те, чому це лунає неправдою. Мені здається, що якби мультисенсорний підхід був справді ефективним, ми б зараз бачили апаратне та програмне забезпечення для подібних стратегій.

Чи може мережа IoT різноманітних датчиків бути ефективною та ефективною стратегією безпеки? (Чи ефективний мультисенсорний підхід?)

Які підводні камені?

security  sensors  machine-learning  biometrics 
grldsndrs
джерело

Відповіді:

10

Технічна відповідь на те, чи не є ця безпека недоторканою? є "ні". Основна причина полягає в тому, що біометричні ознаки не є секретами. Деякі легко копіюються, як відбитки пальців або зображення облич . Деякі складніше підробляти, як іриси . Але як тільки біометричний атрибут захоплений, він може бути відтворений. І біометричні ознаки фіксовані. Якщо атрибут користувача коли-небудь копіюється, ви, очевидно, не можете сказати користувачеві, "ми мали порушення, зміни свій райдужної оболонки".

Вкрай малоймовірно, що середній злодій зможе сфабрикувати всі біометричні датчики одночасно. Однак, завзятий, витончений нападник не зможе створити такий подвиг.

Окрім підробки датчиків, можливо, можливо здійснити атаку повторного використання, використовуючи дані, випромінені датчиками. Однак це буде залежати від реалізації, і можна було б очікувати, що компанія створить захист своїх пристроїв від цього типу атак.

Саме тут підхід IoT може забезпечити гіршу безпеку, ніж комплексне рішення. Якщо датчики не пов'язані один з одним, зловмисник може одночасно компрометувати один пристрій, не викликаючи підозр. Зловмисник може вправлятись з фальшивим відбитком ведмедя на гуммі, доки він не вдосконалиться, тоді він використовує цей підроблений відбиток пальців, коли він практикує фотографію, щоб обдурити датчик зображення. Інтегрований датчик може бути архітектурно вимагати, щоб усі атрибути були присутні одночасно; підхід IoT може бути реалізований поодиноко, із вразливими місцями, що створюються розривами між системами.

Практично такий підхід все ще звучить дуже захищено, і це буде краща безпека, ніж простий пароль або єдине біометричне вимірювання.

Джон Детерс
джерело
1
Чи капітал, необхідний для реалізації такої стратегії, вигідно порівнюється з капіталом, необхідним для його перемоги?
grldsndrs
Ви повинні спочатку розглянути ризики втрат, а потім порівняти капітал, необхідний для реалізації багатофакторної біометричної стратегії, з капіталом, необхідним для реалізації іншої стратегії, яка може бути менш безпечною. Я не можу витратити 25 000 доларів на захист активу в розмірі 250 000 доларів, але я можу витратити 5000 доларів. Якщо це актив у розмірі 10 000 000 доларів, я був би готовий витратити більше на його захист. Але в цьому випадку я можу вирішити витратити свій бюджет на забезпечення кращого страхового покриття замість надзвичайної системи безпеки.
Джон Детерс
Також врахуйте простоту використання. Майте на увазі, що операційна безпека законних користувачів майже завжди є найслабшим ланкою, оскільки користувачі створюватимуть обхідні шляхи для системи, яка складна у використанні. Біометричні системи, як правило, прості - торкніться пристрою зчитування відбитків пальців, загляньте в камеру. Простіші у використанні системи мають кращу відповідність, тому ви отримуєте більш стійку безпеку. Відбиток пальця та зображення можуть забезпечити кращу безпеку, ніж складний пароль.
Джон Детерс
Важливий момент щодо того, що біометричні дані можуть бути копіюються, не є секретними і не міняються (але потенційно руйнуються). Навіть якщо копіювання біометричного зараз здається важким, подумайте, як змінився 3D-друк за останні кілька років.
Шон Хуліхане
2
@grldsndrs, справа не в вартості підробляти якусь конкретну біометрику. Справа в тому, що вартість завжди знижується в міру того, як люди повторюють та інновації. Підроблені відбитки пальців стали прогресивніше і дешевше виготовити, коли хтось з'ясував, щоб використовувати желатин замість латексу, і травити відбиток пальця на друкованій платі, яку вони потім використовували як форму. Обдурити сканер райдужної оболонки сьогодні може коштувати 1000 доларів, але якщо сканери райдужної оболонки стануть всюдисущими, хтось, мабуть, придумає, як це зробити за допомогою лазерного принтера та прозорої плівки за 0,50 доларів у матеріалах.
Джон Детерс
2

По-перше, цитата, здається, стосувалася захисту мобільних пристроїв, а не про "мережу IoT різноманітних датчиків", але деякі уроки, можливо, ще можна зробити.

На відміну від мобільного пристрою, "IoT-мережа" датчиків, як правило, означає, що вони не всі в одному місці, тому користувач, швидше за все, не може отримати право оцінювати їх усіх відразу. Це означає, що система повинна мати дуже попередній характер щодо справжності користувача:

Ти ходиш, як Джо, і знаєш пароль Джо, тому, можливо, ти Джо, і я дозволяю тобі робити менш критичні речі Джо, якщо я не підозрюю, що ти не Джо, але щоб зробити щось більш критичне, ти повинен будеш піти. ось і зроби це, іди туди, дивись у це, і повторюй наступну фразу, і ...

Але як критично, так і спільно з корпусом мобільного пристрою, така схема закріплює лише вхідні двері . Він не забезпечує захисту від принаймні трьох інших типів вразливості.

  • Багато використання подій від сучасних систем походить не від шкідливого користувача, а від шкідливих даних, що надходять через мережу, USB-накопичувач або подібні, або у вигляді небажаного трафіку, або небажаних корисних навантажень, що сприймають речі, які користувач хоче. Зазвичай такі дані використовують помилку безпеки в дизайні - або незахищену додаткову функцію, якої не повинно бути там (файли автозапуску Windows), або класичну помилку даних для коду помилки, як переповнення буфера.

  • Як системи IoT, так і мобільні телефони, як правило, тісно інтегровані з мережевими серверами, причому останні часто мають високий ступінь доступу до одних і тих же даних або можливостей, якими намагається захистити безпека мобільної системи. Відсутність таких речей, як токени шифрування та аутентифікації, невідомі серверній інфраструктурі , успішна атака або неправильне використання серверної інфраструктури часто може досягти більшості того, що може обійти захист пристрою.

  • Системи IoT, ймовірно, навіть більше, ніж мобільні пристрої, можуть бути досить вразливими до фізичної атаки. Телефони можуть намагатися захистити ключі, які використовуються для шифрування даних користувача перед готовим доступом за допомогою налагоджувача JTAG, але те, що система IoT містить локально , часто не стільки даних, скільки здатності робити різні дії. Це фактично не має значення для місцевого зловмисника, наскільки захищеною є комп'ютерна частина пристрою IoT, якщо вони можуть просто спливати кришку і використовувати відвід кліпу для активації вихідного реле - або, з цього приводу, обрізати дроти, що збираються приводу і торкніться їх до власного акумулятора. Або зловмисник може створити помилкові умови на місці датчиків пристрою IoT (свічка під датчиком тепла, мокра губка на вологу тощо), і призвести до її висхідної лінії зв'язку або до помилкових показань.

Кріс Страттон
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.