很多安全報告說,生物識別技術(shù)會取代密碼,成為身份認證的主流方案。這件事真的靠譜嗎?早在2014年,Chaos Computer Club的安全研究人員Jan Krissler給德國聯(lián)邦部長隨便拍了幾張照——那些照片是這位部長在出席某次新聞會議時拍下的,僅是利用“普通相機”,Krissler就獲取到了部長同志的指紋。
他在年末的Chaos Computer Conference大會上表示,從不同的角度拍攝部長的手指,就能構(gòu)建精確的指紋數(shù)據(jù)。隨后在去年的某安全會議上,Krissler又展示了從互聯(lián)網(wǎng)照片中獲取虹膜數(shù)據(jù)的方式。這不是坑爹嗎?
銀行現(xiàn)階段似乎就看上了生物識別技術(shù),或者叫生物計量技術(shù)——將這種技術(shù)作為ATM取款的身份認證解決方案據(jù)說很安全,比如說指紋、虹膜。
過去針對ATM取款機的攻擊技術(shù),主要就集中在ATM Skimmer之上,我們也曾發(fā)布過不少介紹ATM Skimmer的文章,其奧義就在于偽裝成ATM取款機上的某個硬件部分,不管是鍵盤還是攝像頭,以此來獲取卡片信息。直到后來芯片密碼(chip-and-pin)支付卡出現(xiàn),Skimmer進化成了“shimmer”——后者實際上就是增加從卡片芯片中獲取信息的能力。
但顯然專攻ATM的黑客也不是吃素的,近期他們已經(jīng)在研究新一代ATM Skimmer了,完全可以搞定生物識別技術(shù)。
卡巴斯基實驗室針對ATM機攻擊,發(fā)布了一份30頁的報告,里面較多提及黑客對生物識別技術(shù)在ATM機上的應(yīng)用早就躍躍欲試了。一旦生物識別技術(shù)被黑客破解,那帶來的麻煩可不只是用戶的銀行卡密碼被盜這么簡單了。
生物識別認證技術(shù)已經(jīng)應(yīng)用到ATM機?
上的TouchID指紋識別按鈕就是典型的生物識別認證方式。其實在國外,生物識別認證在銀行解決方案上正逐漸有普及的趨勢。生物識別可以是基于形態(tài)的、行為的,也可以是心理的。現(xiàn)階段比較主流的身份識別技術(shù)包括了:虹膜識別、指紋識別、掌紋識別、血管識別、臉部識別、聲音識別、其他(比如手寫簽名)。
國外的某些ATM取款機已經(jīng)開始將生物體征數(shù)據(jù)作為多重身份認證的其中一重了(比如說銀行卡+PIN碼+生物識別);另外針對無卡認證方案(或者智能卡片),生物體征數(shù)據(jù)也用于在線或離線身份認證。
這里的智能卡片離線認證,也就是在無需連接到銀行的生物體征數(shù)據(jù)庫,就能對持卡人的身份進行認證。在此,生物體征數(shù)據(jù)(比如說指紋)是儲存在智能卡芯片之上的(所謂的match-on-card技術(shù))。
生物識別身份認證在ATM機上應(yīng)用的過程
其實在ATM取款設(shè)備上引入生物識別技術(shù),完全是為了增加交易的安全性,或者說進行所謂的“強加密”。
生物識別認證在ATM機上的應(yīng)用目前大致上有兩套方案,第一種是有卡生物識別認證,還有一種是無卡的。針對后一種,銀行卡用戶需要前往銀行,首先采集生物體征數(shù)據(jù),比如說指紋——通過某些特定的設(shè)備(如果掃描器)來采集。這些生物體征數(shù)據(jù)是存儲在數(shù)據(jù)庫中的(這與iPhone的TouchID將指紋存儲在芯片黑匣子中的方案存在本質(zhì)卻別),ATM機或者其他銀行設(shè)備在接受用戶請求的時候,首先就需要連接這個數(shù)據(jù)庫進行認證。
黑市正在籌備新版Skimmer上市
從卡巴斯基實驗室的這份報告來看(未具名來源信息),目前的地下論壇中已經(jīng)開始有不少針對生物識別認證技術(shù)的活動正在逐步開戰(zhàn)了。針對上述安全手法,黑客要做的主要就是制造能夠采集用戶生物體征數(shù)據(jù)的設(shè)備,將這樣的設(shè)備以偽裝的形式安裝到ATM機上(甚至制造假的ATM機)。這從本質(zhì)上來說,仍屬于Skimmer形態(tài)。
目前黑市最火的就是指紋識別讀取設(shè)備,因為這類設(shè)備比較簡單,且成本較低——地下黑市已經(jīng)有大約12家制造商已經(jīng)在試制偽裝的指紋讀取設(shè)備,另外還有3家在造掌紋和虹膜識別讀取設(shè)備。之所以指紋識別比較熱,是因為其他識別設(shè)備的難度成本較高,而且指紋識別是相對更為主流的方案。
首批預(yù)售測試的生物識別Skimmer早在去年9月份就已經(jīng)造出來了,目前第二批貨預(yù)計很快也會抵達歐洲黑市。據(jù)說在首批測試中,開發(fā)者們還是發(fā)現(xiàn)了不少BUG的。主要問題就在于早期的這些生物識別Skimmer采用GSM模塊來傳輸數(shù)據(jù),而生物體征數(shù)據(jù)量又比較大,所以傳輸起來會很慢。
部署這種Skimmer的方法和一般的Skimmer是一樣的:首先找一臺目標ATM機,然后將做好的Skimmer以非常隱蔽的方式覆蓋在ATM機原本進行生物識別的地方。這樣一來,攻擊者就能獲取到受害者的生物體征數(shù)據(jù)。
如果說用戶的生物體征數(shù)據(jù)是存儲在EMV芯片銀行卡上的,那么攻擊者也有特別的設(shè)備能夠從中提取數(shù)據(jù)——不過需要首先采用社工的方式,拿到受害者的銀行卡(或者也可以直接偷)。隨后,攻擊者再利用惡意設(shè)備來獲取卡片數(shù)據(jù)。如果這張卡用上了防篡改機制,似乎暫時還沒有可從中獲取數(shù)據(jù)的方案。
在此,卡片本身其實是不值錢的,真正值錢的是獲取到的生物體征數(shù)據(jù)。這些數(shù)據(jù)的用途包括:用來授權(quán)使用各種銀行服務(wù)(比如網(wǎng)上銀行);進行在線欺詐交易;也可以將這些生物體征數(shù)據(jù)在黑市出售,如下圖所示:
除此之外,針對臉部識別技術(shù)的破解也在進行中。當前比較主流的方案是,從受害人的社交網(wǎng)絡(luò)中找張照片,然后將這張臉作為面具戴到攻擊者的臉上,以此來欺騙ATM即的臉部識別系統(tǒng)。據(jù)說地下市場正在開發(fā)這套方案的移動應(yīng)用。
更多潛在攻擊手法
卡巴斯基實驗室針對當前ATM機應(yīng)用的生物識別技術(shù),認為其攻擊方式實際還可以從網(wǎng)絡(luò)層面入手。比如說并不直接針對ATM機,而是看準生物體征數(shù)據(jù)庫——這個數(shù)據(jù)庫存儲著所有用戶的生物體征數(shù)據(jù)。
攻擊方法基本也是社工:首先調(diào)查銀行選擇的維護支持方,也就是維護數(shù)據(jù)庫的第三方,向其內(nèi)部員工發(fā)起釣魚郵件。如果說維護這個體征數(shù)據(jù)庫的第三方企業(yè)員工打開了這封郵件,攻擊者就能利用惡意程序來獲取到管理員身份憑證;或者說利用漏洞進行提權(quán)操作,獲取數(shù)據(jù)庫管理員憑證。通過上傳惡意程序的方式,攻擊者就能從數(shù)據(jù)庫中盜取生物識別數(shù)據(jù)。大致的攻擊方案如下圖所示:
在攻擊提權(quán)階段,攻擊者還能在ATM管理員主機上找到遠程管理工具——這些工具是針對ATM機進行遠程操作的。由于這些ATM管理員主機已經(jīng)被攻陷,利用其上的遠程管理工具,可以直接向ATM機上傳惡意程序,感染XFS Manager中間件,然后和吐鈔部件直接交互,就能吐出現(xiàn)金了。
這究竟有多恐怖?
應(yīng)該說,如果黑客只是貪圖ATM機中的那些現(xiàn)金,即便存在損失,這樣的損失也在可控范圍內(nèi)??墒侨绻槍Φ氖巧矬w征數(shù)據(jù),想一想,你的指紋在黑市上被人出售,這是多么恐怖的一件事!
生物體征數(shù)據(jù)具有唯一性,而且恒定不變、不可拋棄,這是其最大特色。生物識別的確在某種程度上加強了安全性,而且關(guān)鍵是很方便。但這種方案有個問題,生物體征數(shù)據(jù)用得越多,被盜的可能性也越大。
實際上,如今的生物體征數(shù)據(jù)是記錄在e-passports(電子通行證)之上的。一旦這個e-passports被盜,則意味著生物體征數(shù)據(jù)被盜,這種識別方案宣告永久失效。它不像PIN之類的方案,一旦被竊,用戶還可以通知用戶進行修改。這才是現(xiàn)如今生物識別技術(shù)發(fā)展的最可怕之處。
卡巴斯基的這篇題為《針對ATM通訊和認證系統(tǒng)的未來攻擊場景》報告,比較詳細地敘述了當代ATM機的各種弱點和針對這些弱點的攻擊思路,比如說針對NFC近場通訊技術(shù)的,還有ATM機內(nèi)部的一些缺陷,有興趣的同學(xué)可前往閱讀完整版報告。