Zabezpieczenia biometryczne też można złamać

Spoglądam ukradkiem na kalendarz i widzę rok 2020. Za moment rozpocznie się kolejna dekada, w którą wchodzimy, testując drony w roli kurierów, autonomiczne samochody, technologie haptyczne i zabezpieczenia biometryczne. I tym ostatnim właśnie chciałbym poświęcić ten wpis.

 

Aktywność cyberprzestępców nie pozostawia złudzeń – obecnie zagwarantowanie sobie bezpieczeństwa wymaga już dużo więcej niż tylko ustawienia hasła. Tylko w pierwszej połowie 2019 roku hakerzy weszli w posiadanie ponad 4 miliardów różnego typu cennych danych, co oznacza wzrost o 54% rok do roku. W tej sytuacji nie dziwi fakt, że coraz większa liczba organizacji i użytkowników indywidualnych kieruje swoją uwagę w stronę zabezpieczeń biometrycznych. Ale czy rzeczywiście dają one całkowitą pewność, że informacje są chronione? 

Spersonalizowany samochód na odcisk palca

Postanowiłem przyjrzeć się temu tematowi w kontekście branży automotive, która bliska jest mi oraz wielu specjalistom z GlobalLogic. Koncerny motoryzacyjne dostrzegają potencjał technologii, która może nie tylko zwiększyć poziom ochrony pojazdów przed kradzieżą, ale również wpływać na poprawę komfortu kierowców. W jaki sposób? Zgodnie z przedstawionymi założeniami, kierowcy np. nie będą już musieli nosić przy sobie kluczyków, bo otworzą auto za pomocą połączonego z pojazdem za pomocą bluetooth smartfona, na którym potwierdzą tożsamość odciskiem palca. Następnie, już w środku, skanując twarz czy zostawiając swój odcisk na panelu, aktywują zapisany w pamięć profil użytkownika z dopasowanymi wcześniej ustawieniami fotela, lusterek, kierownicy czy klimatyzacji. 

W dalszej perspektywie wspomina się o wykorzystaniu czujników biometrycznych do monitorowania zachowania kierowcy, by za pomocą algorytmów zweryfikować, czy nie prowadzi pod wpływem środków odurzających lub nie jest już zbyt zmęczony i nie powinien zrobić sobie przerwy. Biometryka ma być również szybkim i wygodnym sposobem dla wynajmowanych samochodów. Pilotażowy projekt tego typu na początku roku wystartował w Chinach, gdzie użytkownicy mogą wypożyczyć i opłacić auto za pomocą skanu twarzy w specjalnym, samoobsługowym kiosku. Odbiegam jednak trochę od tematu, a chciałem skupić się przede wszystkim na kwestii cyberbezpieczeństwa. Czy samochód zabezpieczony rozwiązaniem biometrycznym nie padnie nigdy łupem złodzieja? 

Biometryka gwarancją bezpieczeństwa?

Łatwo ulec złudzeniu, inspirowanemu dziełami prosto z Hollywood, że do oszukania systemów biometrycznych potrzeba tak „wysublimowanych” sposobów, jak zdobycie gałki ocznej czy odcisków palców danej osoby. Filmowcy wielokrotnie w taki sposób przedstawiali agentów, złodziei czy złoczyńców, włamujących się do pilnie strzeżonych laboratoriów.  Można więc pomyśleć, że zabezpieczenia biometryczne dają pewność ochrony danych na nieznanym wcześniej poziomie. Wielu użytkowników w to wierzy i deklaruje, że dzięki nim czuje się bardzo komfortowo. Rzeczywistość pokazuje jednak, że dla nieustannie poszukujących nowych sposobów cyberprzestępców nic nie jest niemożliwe i także tę formę bariery mogą pokonać.

Oczywiście nie jest to łatwe. W wielu przypadkach złamanie takich zabezpieczeń wymaga czasu i zasobów, których nakłady podważają opłacalność w oczach cyberprzestępców. Powinniśmy jednak mieć na uwadze, że nawet metoda rozpoznawania żył palcowych, wydawałoby się tak pewna, okazała się nieodporna na atak. Przeprowadzone przez niemieckich badaczy eksperymenty to potwierdziły – wystarczyła im do tego sztuczna ręka z wosku. W podobnie sprytny sposób złamane zostały zabezpieczenia biometryczne wykorzystujące siatkówkę czy głos. Jeśli tylko cyberprzestępcy zdobyliby wysokiej jakości zdjęcie oka wziętej na cel osoby lub nagrania jej kilkunastu wypowiedzi, byliby wówczas w stanie dokonać skutecznego ataku. 

Najsłabszy punkt zabezpieczeń biometrycznych nie występuje na etapie bezpośredniego kontaktu z użytkownikiem. Celem hakerów stają się rozwiązania sprzętowe i oprogramowanie służące do przechowywania danych do weryfikacji, uczestniczące w procesie komunikacji lub dokonujące oceny zgodności. Udany atak w jedno z tych miejsc otwiera drogę do dalszych działań i niesie ze sobą nieznane nam do tej pory zagrożenia dla użytkowników. W przeciwieństwie bowiem do tradycyjnych haseł, w przypadku kradzieży danych biometrycznych, użytkownik nie może zwyczajnie wymienić ich na nowe – odcisku palca, siatkówki czy twarzy nie zmienia się kilkoma kliknięciami na klawiaturze. Nie dziwi więc, że takie dyskusje wywołał ubiegłoroczny wyciek danych z jednej z międzynarodowych organizacji z branży security, w wyniku którego w niepowołane ręce dostały się ponad 23 GB danych dotyczących jej klientów – niemal 28 milionów rekordów, w tym zdjęcia twarzy, odciski palców i dane wykorzystywane w procesie rozpoznawania twarzy.

Potrzebna ekspercka wiedza

Sektor automotive doskonale zdaje sobie sprawę z potencjału biometryki, ale jednocześnie wie, że zaimplementowanie konkretnych rozwiązań na masową skalę wymaga jeszcze ogromnych nakładów pracy. Wizja connected cars zakłada, że po drogach poruszać się będą pojazdy regularnie wymieniające ogromne ilości danych, a każdy taki punkt kontaktu to miejsce potencjalnego ataku hakerskiego. Jednocześnie nie ma możliwości całkowitego „odcięcia” technologii od całego procesu komunikacji, ponieważ rozwiązania biometryczne, jak każde inne, wymagają ciągłych aktualizacji, by odeprzeć nowe próby kradzieży informacji. Opracowanie bezpiecznych i funkcjonalnych rozwiązań wymaga więc eksperckiej wiedzy. Niezbędna staje się doskonała znajomość obecnego hardware’u i software’u, jak i trendów, które wpływają na branżę motoryzacyjną. Dlatego tak cenni są dzisiaj zaufani partnerzy, którzy mogą wesprzeć organizacje praktycznymi doświadczeniami. O tym, jak ważna jest taka współpraca, przekonujemy się w GlobalLogic regularnie, mogąc choćby dzielić się spostrzeżeniami zdobytymi w ramach projektów z zakresu secure element.   

Auto rozpoznające użytkownika, spersonalizowane i zawsze bezpieczne? Nim którykolwiek model będziemy mogli opisać w ten sposób, minie jeszcze trochę czasu. Postęp jest jednak zauważalny i wierzę, że jeszcze w najbliższej dekadzie zobaczymy duże zmiany w branży motoryzacyjnej. Jednym ze źródeł ewolucji samochodów będą z pewnością technologie biometryczne. Cieszę się na myśl, że wraz z koleżankami i kolegami z GlobalLogic dołożę do tego swoją małą cegiełkę.

Thank You.

The white paper will open in a new window.

If you experience issues with accessing or downloading the white paper, please contact info@globallogic.com.

click here to go back to the Insights page.