很多安全報(bào)告說(shuō)��,生物識(shí)別技術(shù)會(huì)取代密碼�,成為身份認(rèn)證的主流方案���。這件事真的靠譜嗎?早在2014年,Chaos Computer Club的安全研究人員Jan Krissler給德國(guó)聯(lián)邦部長(zhǎng)隨便拍了幾張照——那些照片是這位部長(zhǎng)在出席某次新聞會(huì)議時(shí)拍下的���,僅是利用“普通相機(jī)”�����,Krissler就獲取到了部長(zhǎng)同志的指紋�����。
他在年末的Chaos Computer Conference大會(huì)上表示���,從不同的角度拍攝部長(zhǎng)的手指�����,就能構(gòu)建精確的指紋數(shù)據(jù)�。隨后在去年的某安全會(huì)議上�,Krissler又展示了從互聯(lián)網(wǎng)照片中獲取虹膜數(shù)據(jù)的方式。這不是坑爹嗎?
銀行現(xiàn)階段似乎就看上了生物識(shí)別技術(shù)���,或者叫生物計(jì)量技術(shù)——將這種技術(shù)作為ATM取款的身份認(rèn)證解決方案據(jù)說(shuō)很安全����,比如說(shuō)指紋����、虹膜。
過(guò)去針對(duì)ATM取款機(jī)的攻擊技術(shù)�����,主要就集中在ATM Skimmer之上���,我們也曾發(fā)布過(guò)不少介紹ATM Skimmer的文章�����,其奧義就在于偽裝成ATM取款機(jī)上的某個(gè)硬件部分�,不管是鍵盤(pán)還是攝像頭�,以此來(lái)獲取卡片信息。直到后來(lái)芯片密碼(chip-and-pin)支付卡出現(xiàn)�����,Skimmer進(jìn)化成了“shimmer”——后者實(shí)際上就是增加從卡片芯片中獲取信息的能力����。
但顯然專攻ATM的黑客也不是吃素的,近期他們已經(jīng)在研究新一代ATM Skimmer了���,完全可以搞定生物識(shí)別技術(shù)�。
卡巴斯基實(shí)驗(yàn)室針對(duì)ATM機(jī)攻擊�,發(fā)布了一份30頁(yè)的報(bào)告,里面較多提及黑客對(duì)生物識(shí)別技術(shù)在ATM機(jī)上的應(yīng)用早就躍躍欲試了��。一旦生物識(shí)別技術(shù)被黑客破解�,那帶來(lái)的麻煩可不只是用戶的銀行卡密碼被盜這么簡(jiǎn)單了�。
生物識(shí)別認(rèn)證技術(shù)已經(jīng)應(yīng)用到ATM機(jī)?
上的TouchID指紋識(shí)別按鈕就是典型的生物識(shí)別認(rèn)證方式�。其實(shí)在國(guó)外,生物識(shí)別認(rèn)證在銀行解決方案上正逐漸有普及的趨勢(shì)�����。生物識(shí)別可以是基于形態(tài)的���、行為的����,也可以是心理的?,F(xiàn)階段比較主流的身份識(shí)別技術(shù)包括了:虹膜識(shí)別、指紋識(shí)別��、掌紋識(shí)別�����、血管識(shí)別��、臉部識(shí)別�����、聲音識(shí)別、其他(比如手寫(xiě)簽名)�����。
國(guó)外的某些ATM取款機(jī)已經(jīng)開(kāi)始將生物體征數(shù)據(jù)作為多重身份認(rèn)證的其中一重了(比如說(shuō)銀行卡+PIN碼+生物識(shí)別);另外針對(duì)無(wú)卡認(rèn)證方案(或者智能卡片)��,生物體征數(shù)據(jù)也用于在線或離線身份認(rèn)證����。
這里的智能卡片離線認(rèn)證�,也就是在無(wú)需連接到銀行的生物體征數(shù)據(jù)庫(kù),就能對(duì)持卡人的身份進(jìn)行認(rèn)證�。在此,生物體征數(shù)據(jù)(比如說(shuō)指紋)是儲(chǔ)存在智能卡芯片之上的(所謂的match-on-card技術(shù))���。
生物識(shí)別身份認(rèn)證在ATM機(jī)上應(yīng)用的過(guò)程
其實(shí)在ATM取款設(shè)備上引入生物識(shí)別技術(shù)�����,完全是為了增加交易的安全性�����,或者說(shuō)進(jìn)行所謂的“強(qiáng)加密”�。
生物識(shí)別認(rèn)證在ATM機(jī)上的應(yīng)用目前大致上有兩套方案,第一種是有卡生物識(shí)別認(rèn)證��,還有一種是無(wú)卡的�����。針對(duì)后一種����,銀行卡用戶需要前往銀行,首先采集生物體征數(shù)據(jù)���,比如說(shuō)指紋——通過(guò)某些特定的設(shè)備(如果掃描器)來(lái)采集�。這些生物體征數(shù)據(jù)是存儲(chǔ)在數(shù)據(jù)庫(kù)中的(這與iPhone的TouchID將指紋存儲(chǔ)在芯片黑匣子中的方案存在本質(zhì)卻別)��,ATM機(jī)或者其他銀行設(shè)備在接受用戶請(qǐng)求的時(shí)候����,首先就需要連接這個(gè)數(shù)據(jù)庫(kù)進(jìn)行認(rèn)證。
黑市正在籌備新版Skimmer上市
從卡巴斯基實(shí)驗(yàn)室的這份報(bào)告來(lái)看(未具名來(lái)源信息)�,目前的地下論壇中已經(jīng)開(kāi)始有不少針對(duì)生物識(shí)別認(rèn)證技術(shù)的活動(dòng)正在逐步開(kāi)戰(zhàn)了。針對(duì)上述安全手法����,黑客要做的主要就是制造能夠采集用戶生物體征數(shù)據(jù)的設(shè)備�,將這樣的設(shè)備以偽裝的形式安裝到ATM機(jī)上(甚至制造假的ATM機(jī))�。這從本質(zhì)上來(lái)說(shuō),仍屬于Skimmer形態(tài)����。
目前黑市最火的就是指紋識(shí)別讀取設(shè)備,因?yàn)檫@類設(shè)備比較簡(jiǎn)單��,且成本較低——地下黑市已經(jīng)有大約12家制造商已經(jīng)在試制偽裝的指紋讀取設(shè)備�,另外還有3家在造掌紋和虹膜識(shí)別讀取設(shè)備�����。之所以指紋識(shí)別比較熱��,是因?yàn)槠渌R(shí)別設(shè)備的難度成本較高����,而且指紋識(shí)別是相對(duì)更為主流的方案。
首批預(yù)售測(cè)試的生物識(shí)別Skimmer早在去年9月份就已經(jīng)造出來(lái)了����,目前第二批貨預(yù)計(jì)很快也會(huì)抵達(dá)歐洲黑市。據(jù)說(shuō)在首批測(cè)試中�����,開(kāi)發(fā)者們還是發(fā)現(xiàn)了不少BUG的。主要問(wèn)題就在于早期的這些生物識(shí)別Skimmer采用GSM模塊來(lái)傳輸數(shù)據(jù)����,而生物體征數(shù)據(jù)量又比較大,所以傳輸起來(lái)會(huì)很慢���。
部署這種Skimmer的方法和一般的Skimmer是一樣的:首先找一臺(tái)目標(biāo)ATM機(jī)���,然后將做好的Skimmer以非常隱蔽的方式覆蓋在ATM機(jī)原本進(jìn)行生物識(shí)別的地方。這樣一來(lái)��,攻擊者就能獲取到受害者的生物體征數(shù)據(jù)���。
如果說(shuō)用戶的生物體征數(shù)據(jù)是存儲(chǔ)在EMV芯片銀行卡上的�����,那么攻擊者也有特別的設(shè)備能夠從中提取數(shù)據(jù)——不過(guò)需要首先采用社工的方式�����,拿到受害者的銀行卡(或者也可以直接偷)��。隨后�����,攻擊者再利用惡意設(shè)備來(lái)獲取卡片數(shù)據(jù)�����。如果這張卡用上了防篡改機(jī)制���,似乎暫時(shí)還沒(méi)有可從中獲取數(shù)據(jù)的方案�。
在此�����,卡片本身其實(shí)是不值錢的��,真正值錢的是獲取到的生物體征數(shù)據(jù)����。這些數(shù)據(jù)的用途包括:用來(lái)授權(quán)使用各種銀行服務(wù)(比如網(wǎng)上銀行);進(jìn)行在線欺詐交易;也可以將這些生物體征數(shù)據(jù)在黑市出售��,如下圖所示:
除此之外,針對(duì)臉部識(shí)別技術(shù)的破解也在進(jìn)行中����。當(dāng)前比較主流的方案是,從受害人的社交網(wǎng)絡(luò)中找張照片���,然后將這張臉作為面具戴到攻擊者的臉上����,以此來(lái)欺騙ATM即的臉部識(shí)別系統(tǒng)�����。據(jù)說(shuō)地下市場(chǎng)正在開(kāi)發(fā)這套方案的移動(dòng)應(yīng)用����。
更多潛在攻擊手法
卡巴斯基實(shí)驗(yàn)室針對(duì)當(dāng)前ATM機(jī)應(yīng)用的生物識(shí)別技術(shù),認(rèn)為其攻擊方式實(shí)際還可以從網(wǎng)絡(luò)層面入手����。比如說(shuō)并不直接針對(duì)ATM機(jī),而是看準(zhǔn)生物體征數(shù)據(jù)庫(kù)——這個(gè)數(shù)據(jù)庫(kù)存儲(chǔ)著所有用戶的生物體征數(shù)據(jù)���。
攻擊方法基本也是社工:首先調(diào)查銀行選擇的維護(hù)支持方�����,也就是維護(hù)數(shù)據(jù)庫(kù)的第三方���,向其內(nèi)部員工發(fā)起釣魚(yú)郵件���。如果說(shuō)維護(hù)這個(gè)體征數(shù)據(jù)庫(kù)的第三方企業(yè)員工打開(kāi)了這封郵件,攻擊者就能利用惡意程序來(lái)獲取到管理員身份憑證;或者說(shuō)利用漏洞進(jìn)行提權(quán)操作�,獲取數(shù)據(jù)庫(kù)管理員憑證。通過(guò)上傳惡意程序的方式��,攻擊者就能從數(shù)據(jù)庫(kù)中盜取生物識(shí)別數(shù)據(jù)�����。大致的攻擊方案如下圖所示:
在攻擊提權(quán)階段��,攻擊者還能在ATM管理員主機(jī)上找到遠(yuǎn)程管理工具——這些工具是針對(duì)ATM機(jī)進(jìn)行遠(yuǎn)程操作的�。由于這些ATM管理員主機(jī)已經(jīng)被攻陷�����,利用其上的遠(yuǎn)程管理工具����,可以直接向ATM機(jī)上傳惡意程序�,感染XFS Manager中間件�,然后和吐鈔部件直接交互,就能吐出現(xiàn)金了�。
這究竟有多恐怖?
應(yīng)該說(shuō),如果黑客只是貪圖ATM機(jī)中的那些現(xiàn)金�����,即便存在損失��,這樣的損失也在可控范圍內(nèi)���?����?墒侨绻槍?duì)的是生物體征數(shù)據(jù)�����,想一想�,你的指紋在黑市上被人出售�����,這是多么恐怖的一件事!
生物體征數(shù)據(jù)具有唯一性,而且恒定不變��、不可拋棄���,這是其最大特色���。生物識(shí)別的確在某種程度上加強(qiáng)了安全性,而且關(guān)鍵是很方便���。但這種方案有個(gè)問(wèn)題�����,生物體征數(shù)據(jù)用得越多�����,被盜的可能性也越大��。
實(shí)際上,如今的生物體征數(shù)據(jù)是記錄在e-passports(電子通行證)之上的�����。一旦這個(gè)e-passports被盜,則意味著生物體征數(shù)據(jù)被盜���,這種識(shí)別方案宣告永久失效�����。它不像PIN之類的方案��,一旦被竊��,用戶還可以通知用戶進(jìn)行修改�����。這才是現(xiàn)如今生物識(shí)別技術(shù)發(fā)展的最可怕之處����。
卡巴斯基的這篇題為《針對(duì)ATM通訊和認(rèn)證系統(tǒng)的未來(lái)攻擊場(chǎng)景》報(bào)告���,比較詳細(xì)地?cái)⑹隽水?dāng)代ATM機(jī)的各種弱點(diǎn)和針對(duì)這些弱點(diǎn)的攻擊思路�����,比如說(shuō)針對(duì)NFC近場(chǎng)通訊技術(shù)的�����,還有ATM機(jī)內(nèi)部的一些缺陷����,有興趣的同學(xué)可前往閱讀完整版報(bào)告。
