Společnost Synaptics diskutuje o zabezpečení otisků prstů a o potřebě šifrování napříč celým systémem

Ve snaze prokázat výhody nejnovějších řešení SentryPoint otisků prstů přišla společnost Synaptics na letošní akci Computex s velmi zajímavou ukázkou pro vloupání do počítače. Tím, že společnost využila výhod chyb snímače otisků prstů implementovaných bez šifrování typu end-to-end, byla schopna ukázat, jak snadné je zasáhnout do počítače pomocí takového senzoru. Konečným cílem samozřejmě je propagovat své vlastní výrobky: společnost uvádí, že její nejnovější řešení pro otisky prstů pro počítače (od pozdního 2016) nejenže používají šifrování typu end-to-end, ale mohou zpracovávat data v zabezpečených prostředích, jako jsou ta, která jsou povolena. společnosti Intel SGX a Microsoft Windows 10 VBS.

Zabezpečení založené na otiscích prstů bývalo exotické na spotřebních zařízeních již před lety 15 a v mnoha případech byla považována za silnější metodu než hesla. Dnes jsou snímače otisků prstů všudypřítomné a široce se používají na běžných mobilních zařízeních. Na jedné straně to celkově posiluje bezpečnost a umožňuje nové druhy služeb (např. Apple Pay). Na druhé straně všudypřítomné používání snímačů otisků prstů způsobuje, že pachatelé jsou příliš přitažliví k tomu, aby je používali jako způsob, jak se dostat do počítačů někoho, a získat přístup k osobním nebo profesionálním údajům. Výsledkem je, že správná implementace snímání otisků prstů a zpracování dat je kritická. Jak se zdá, ne všechny notebooky, které jsou dnes k dispozici, jsou vybaveny správnými snímači a správným softwarem.

Chcete-li ukázat, jak poměrně snadné je vložit do notebooku s nezašifrovaným snímačem otisků prstů, provedla společnost Synaptics následující:

  • Získal notebook s nešifrovaným čidlem a nainstaloval zařízení s dvěma čipy a vysílačem na flexibilním PCB, které zachytily vzorky otisků prstů a přenesly je přes Bluetooth do jiného počítače. Toto zařízení nebylo vidět zvnějšku a nemělo vliv na výkon kompromitovaného počítače.
  • Požádala oběť dobrovolníka o zapsání otisků prstů do kompromitovaného notebooku.
  • Zachytili je.
  • Vytiskli kopii těchto otisků prstů pomocí vodivého inkoustu na kousek papíru.
  • Útočící zařízení, která nepodporovala možnosti anti-spoofingu, společnost Synaptics použila tyto dokumenty k vniknutí do osobního, nekompromisního notebooku a telefonu oběti.
  • Funkce "opakování" zařízení se použila k vzdálenému vniknutí do poškozeného notebooku, aniž by se ho dotkla.

Níže jsou dvě videa zobrazující kulminaci akcí. Ze zřejmého důvodu nezveřejňujeme obrázky nainstalovaných zařízení, značek, modelů a dalších informací tohoto druhu. Demonstrace byla provedena ve snaze ukázat riziko nešifrovaných senzorů a výsledky jsou zřejmé.

Nejslabší odkazy

Zatímco senzory otisků prstů jsou snadno použitelné, jejich implementace je složitá architektura, která má různé slabé stránky. Níže je blokové schéma nejpokročilejší implementace architektury zabezpečení SentryPoint založené na čidlech otisků prstů, které popisuje, jak funguje vše: senzor shromažďuje vzorek otisků prstů, přenáší tato data na hostitele (nebo na zařízení Match-in-Sensor , MiS), který provádí shodu a generuje hlavní klíč pro přístup do systému. Architektura levné autentizační řešení s otiskem prstů bude vypadat podobně, ale nepoužívá šifrování MiS, end-to-end šifrování, spoof ochranu nebo bezpečné přizpůsobení, a ponechává několik oblastí, kde je takový systém potenciálně zranitelný.

Společnost senzor sám. Pokud se někdo podaří získat otisk prstů někoho jiného a pak jej předložit senzoru, je možné, že ho systém přijme. Existuje spousta videí YouTube, když telefon přijímá padělané otisky prstů vyrobené pomocí gumových medvědů, lepidla a dalších podobných předmětů. Spolehlivější metodou je tisknout otisky prstů pomocí inkoustové tiskárny a vodivého inkoustu, ale princip je v podstatě stejný: spoof fingerprint. Na veřejnosti se jedná o nejlépe pochopený útok a možná nejsnazší, když odtáhneme otisky prstů všude.

Jedním z důvodů, proč funguje žuvačka / vodivá trysková tiskárna, je to, že snímání hardwaru / softwaru téměř nikdy nezapisuje obraz skutečného otisku prstu, ale udržuje abstraktní / hash svých charakteristických rysů (nazývají se minutiae) formát. Jakmile se aplikuje / shromažďuje nový vzorek otisků prstů, hardware / software porovnává znaky, nikoli obrazy. Existuje mnoho důvodů, včetně bezpečnostních a praktických důsledků. Dokonce i v případě, že je proprietární formát napaden, nelze z něj odstranit otisk prstu z abstraktní / minutiae a získat tak přístup k jiným zařízením, které mohou používat odlišný snímač s jiným algoritmem pro shromažďování detailů. Zatímco otisky prstů jedné osoby zůstávají stejné po celou dobu jejich života, jejich obrazy s vysokým rozlišením se mění kvůli malým řezům, mikropáskům apod., Což dělá vše, co je těžší zpracovat a / nebo prostě nedovolí legitimnímu člověku,

Společnost propojení mezi senzorem a hostitelem. Pokud se člověk podaří získat fyzický přístup k počítači, který má být napaden, může nainstalovat drobné zařízení, které zachycuje data, která snímač otisků prstů odešle hostiteli, a poté tyto údaje přes Bluetooth přesměrovat na jiné zařízení, které patří pachateli . To v podstatě dovoluje útočníkovi, aby získal přímou kontrolu otisků prstů oběti. Existuje zřejmý problém s tímto druhem man-in-the-middle útoku. Zaprvé musí pachatel získat fyzický přístup k osobě svého oběti, což není snadné, ale je to možné, pokud se jedná o skupinu lidí nebo někdo má právě příslušné dovednosti. Zadruhé musí pachatel přesně vědět, jaký typ snímače je použit a jaký typ zachycovacího zařízení se instaluje (s rozhraním SPI nebo USB). V nejhorším scénáři to znamená, že potřebují mít fyzický přístup k PC oběti dvakrát. Ve své ukázce specialisté společnosti Synaptics používali levný nástroj nainstalovaný do počítače a kopírovali snímky otisků prstů, které byly následně používány k získání přístupu k různým zařízením.

Existuje několik notebooků na trhu, které používají čipy založené na technologii SPI určené pro mobilní telefony a nepodporují šifrování podle společnosti Synaptics. Takové snímače jsou o něco levnější, ale vzhledem k tomu, že sběrnice SPI je určena pro krátké vzdálenosti, a proto má omezení délky stopy, výrobci počítačů používají mikrokontrolér, který převádí SPI na USB. A zatímco vše může být zašifrováno z USB a dále, část SPI spojení je nechráněná a je tedy zranitelná. Mezitím lze tomuto útoku typu "man-in-the-middle" zabránit použitím senzorů, které se spoléhají na sběrnici USB a podporují šifrované připojení TLS 1.2 / AES-256 k hostiteli. Je zřejmé, že senzory SPI používané v smartphonech a tabletách mohou být stále zranitelné, ale záchranné nástroje se nemohou snadno instalovat do prvního (kvůli rozměru), zatímco ty budou muset používat senzory založené na USB, aby se staly bezpečnějšími.

Společnost hostitelský systém sám. Řešení ověřování otisků prstů v počítači provádí odlišné odlišení otisků prstů. Většina patří do kategorie typu match-on-host (MoH) a provádí shodu během procesu, který běží na hostitelském systému. Klíčovou výhodou řešení MoH je jejich flexibilita: mohou být použity různé čtečky, ovladače, software a dokonce i speciální IC, které odpovídají čtečkám otisků prstů k šablonám. Zjevnou zvláštností MZ je využití více propojení. Kromě toho, když CPU (nebo speciální IC odpovídající) zpracovává otisky prstů a vypočítává hlavní kód, zabývá se skutečným obrazem otisků prstů (nebo jeho abstraktem). Proto je-li instalován software sniffer (například infikováním počítače s virem), může pachatel získat jak otisk prstu, tak i hlavní kód. Ty mohou být použity pro přístup k určitému počítači a první může být použit pro přístup ke všem ostatním zařízením zabezpečeným otisku prstů patřící k této oběti. Tady je jasné a jednoduché: v úplném bezpečí je nutné, aby řešení otisků prstů MoH byla šifrována pomocí koncového klíče AES-256 (nebo podobného), který nelze dešifrovat.

K dispozici jsou také autentifikační řešení otisků prstů, která používají architekturu Match-in-Sensor (MiS), která provádí všechny potřebné operace uvnitř snímače IC. MiS IC obsahuje mikroprocesorové, paměťové a kryptografické schopnosti a následně fyzicky izoluje shodu s hostitelským operačním systémem. MiS odešle identifikační výsledek, který je zašifrován a podepsán pomocí klíče specifického pro senzory.

Co je v tomto scénáři naprosto děsivé, je to, že jakmile jsou snímané otisky prstů zachyceny (nezáleží na tom, kde byly chyceny: na hostitelském systému, když byly zpracovány nebo když byly přeneseny pomocí nechráněného připojení SPI nebo USB), mohou pachatelé vykonávat tzv. replay útoky a získat přístup k ohroženým počítačům, aniž by se ho dotýkali jednoduše "vkládáním" ukradených dat pomocí zařízení, které bylo používáno k jejich ukrácení.

Řešení

Být jedním z největších světových dodavatelů řešení otisků prstů, společnost Synaptics má řadu způsobů, jak předejít výše zmíněným druhům útoků. Klíčovým bodem, který se společnost snaží udělat, je skutečnost, že jedna technologie není dostačující, pokud někdo chce opravdu bezpečný notebook - autentizační systémy otisků prstů potřebují být znovu zatvrzeny několika typy útoků.

Nejprve, mnoho moderních snímačů otisků prstů společnosti Sapphire od společnosti Synaptics podporuje technologii společnosti PurePrint proti falšování, která zajišťuje, že senzor se zabývá skutečným prstem a není falešným. Zajímavé je, že PurePrint není hardwarová součást, takže Synaptics může časem lépe aktualizovat ovladače SentryPoint. Například PurePrint byl nedávno aktivován na doplňkových doplňcích USB otisků prstů od společností PQI a Kensington pomocí služby Windows Update společnosti Microsoft.

Za druhé, současné dodávky řešení otisků prstů od firmy Synaptics podporuje technologii šifrování SecureLink založenou na hardwaru, která využívá klíče TLS 1.2 / AES-256, a proto nemůže být v reálném čase hackována. Jedním z problémů je, že někteří výrobci počítačů mají omezení, která jim brání v použití šifrování linek, takže ne všechny řešení autentizace založené na syntaxi založené na syntaxi jsou vlastně šifrovány. Proto se ujistěte, že víte, jak funguje vaše technologie otisků prstů před nákupem nového notebooku, pokud nosíte citlivá data.

Dalším krokem je technologie Synaptics Quantum Matcher, která provádí porovnávání otisků prstů v zabezpečených prostředích s podporou SGX společnosti Microsoft nebo společnosti Microsoft. Windows 10 VBS. Vzhledem k tomu, že nejnovější notebooky jsou založeny na procesorech Intel Kaby Lake, šance jsou vysoké, že jejich firmware má SGX povoleno. Quantum Matcher je také součástí ovladače Synaptics, takže může být v průběhu času aktualizován, pokud to společnost považuje za nezbytné.

Nejbezpečnější možností, kterou společnost Synaptics nyní nabízí, je hardwarový snímač otisku prstů. Vzhledem k tomu, že je utěsněným řešením, neposkytuje vždy dostatek volnosti pro návrháře notebooků, což je důvod, proč není všude používán, přestože společnost Synaptics poprvé představila společnost MiS téměř před dvěma lety. V současné době společnost pracuje na své druhé generaci MiS, která slibuje ještě větší bezpečnost. V každém případě společnost MiS poskytuje maximální úroveň zabezpečení v rámci produktového portfolia společnosti Synaptics a je v kombinaci s dalšími komponentami SentryPoint (např. PurePrint) navržena tak, aby umožňovala prakticky nerozbitné notebooky.

Některé myšlenky

Použití biometrického zabezpečení se stane více populárním, neboť náklady na snímače budou dále klesat v ceně a protože faktory, jako jsou otisky prstů nebo snímky sítnice, jsou mimořádně vhodné pro autentizaci. Nemůžete zapomenout na svůj otisk prstu, a nemůžete ztrácet vaši duhovku. Mezitím se hackerské nástroje a další metody útoku stanou pokročilejšími, takže společnosti jako Synaptics budou muset své technologie vylepšit. Je těžké si představit, že biometrie jsou v tomto ohledu něco jiného než trvalý závod ve zbrojení.

Velkým problémem v současnosti je to, že výrobci počítačů, smartphonů a tablet neustále inzerují, jaké typy autentifikačních řešení otisků prstů používají, a proto nikdy nevíte, co přesně kupujete a jak je to bezpečné. Pokud používáte firemní počítač, který získal IT oddělení vaší společnosti, můžete předpokládat, že ověřování otisků prstů je zvuková (tj. Má šifrované připojení a podporuje možnosti proti spoofingu). Pokud však získáte svůj vlastní přenosný počítač společně s telefonem a tabletem, můžete si stěží ujistit, co je uvnitř, dokud si nepřečtete recenzi produktu, který se dotkl hardwaru otisků prstů.

Nakonec, kromě sofistikovaného hardwaru otisků prstů, výrobci počítačů potřebují změnit svůj postoj a sdělit své bezpečnostní mechanismy svým zákazníkům. Až příliš mnoho zveřejnění způsobí, že počítače jsou zranitelnější vůči cíleným útokům, což je jeden z důvodů, proč společnost Synaptics nezjistila seznam notebooků, které používají nebo nepoužívají šifrované řešení MoH nebo MiS od začátku do konce.

Zdroj

Napsat komentář

Tyto stránky používají Akismet k omezení spamu. Zjistěte, jak jsou vaše údaje komentářů zpracovávány.