很多安全報告說����,生物識別技術會取代密碼,成為身份認證的主流方案�����。這件事真的靠譜嗎?早在2014年,Chaos Computer Club的安全研究人員Jan Krissler給德國聯(lián)邦部長隨便拍了幾張照——那些照片是這位部長在出席某次新聞會議時拍下的����,僅是利用“普通相機”,Krissler就獲取到了部長同志的指紋��。
他在年末的Chaos Computer Conference大會上表示���,從不同的角度拍攝部長的手指�����,就能構建精確的指紋數(shù)據(jù)�����。隨后在去年的某安全會議上�,Krissler又展示了從互聯(lián)網(wǎng)照片中獲取虹膜數(shù)據(jù)的方式����。這不是坑爹嗎?
銀行現(xiàn)階段似乎就看上了生物識別技術,或者叫生物計量技術——將這種技術作為ATM取款的身份認證解決方案據(jù)說很安全��,比如說指紋�、虹膜����。
過去針對ATM取款機的攻擊技術�,主要就集中在ATM Skimmer之上,我們也曾發(fā)布過不少介紹ATM Skimmer的文章�����,其奧義就在于偽裝成ATM取款機上的某個硬件部分����,不管是鍵盤還是攝像頭,以此來獲取卡片信息�。直到后來芯片密碼(chip-and-pin)支付卡出現(xiàn),Skimmer進化成了“shimmer”——后者實際上就是增加從卡片芯片中獲取信息的能力����。
但顯然專攻ATM的黑客也不是吃素的�����,近期他們已經(jīng)在研究新一代ATM Skimmer了����,完全可以搞定生物識別技術�����。
卡巴斯基實驗室針對ATM機攻擊��,發(fā)布了一份30頁的報告�����,里面較多提及黑客對生物識別技術在ATM機上的應用早就躍躍欲試了��。一旦生物識別技術被黑客破解�����,那帶來的麻煩可不只是用戶的銀行卡密碼被盜這么簡單了���。
生物識別認證技術已經(jīng)應用到ATM機?
上的TouchID指紋識別按鈕就是典型的生物識別認證方式。其實在國外�,生物識別認證在銀行解決方案上正逐漸有普及的趨勢。生物識別可以是基于形態(tài)的���、行為的��,也可以是心理的?���,F(xiàn)階段比較主流的身份識別技術包括了:虹膜識別、指紋識別�、掌紋識別、血管識別��、臉部識別����、聲音識別、其他(比如手寫簽名)�����。
國外的某些ATM取款機已經(jīng)開始將生物體征數(shù)據(jù)作為多重身份認證的其中一重了(比如說銀行卡+PIN碼+生物識別);另外針對無卡認證方案(或者智能卡片)��,生物體征數(shù)據(jù)也用于在線或離線身份認證����。
這里的智能卡片離線認證��,也就是在無需連接到銀行的生物體征數(shù)據(jù)庫����,就能對持卡人的身份進行認證��。在此�����,生物體征數(shù)據(jù)(比如說指紋)是儲存在智能卡芯片之上的(所謂的match-on-card技術)�����。
生物識別身份認證在ATM機上應用的過程
其實在ATM取款設備上引入生物識別技術���,完全是為了增加交易的安全性,或者說進行所謂的“強加密”�����。
生物識別認證在ATM機上的應用目前大致上有兩套方案����,第一種是有卡生物識別認證,還有一種是無卡的����。針對后一種,銀行卡用戶需要前往銀行���,首先采集生物體征數(shù)據(jù)�����,比如說指紋——通過某些特定的設備(如果掃描器)來采集��。這些生物體征數(shù)據(jù)是存儲在數(shù)據(jù)庫中的(這與iPhone的TouchID將指紋存儲在芯片黑匣子中的方案存在本質(zhì)卻別)�����,ATM機或者其他銀行設備在接受用戶請求的時候����,首先就需要連接這個數(shù)據(jù)庫進行認證。
黑市正在籌備新版Skimmer上市
從卡巴斯基實驗室的這份報告來看(未具名來源信息)��,目前的地下論壇中已經(jīng)開始有不少針對生物識別認證技術的活動正在逐步開戰(zhàn)了��。針對上述安全手法��,黑客要做的主要就是制造能夠采集用戶生物體征數(shù)據(jù)的設備����,將這樣的設備以偽裝的形式安裝到ATM機上(甚至制造假的ATM機)。這從本質(zhì)上來說����,仍屬于Skimmer形態(tài)。
目前黑市最火的就是指紋識別讀取設備���,因為這類設備比較簡單����,且成本較低——地下黑市已經(jīng)有大約12家制造商已經(jīng)在試制偽裝的指紋讀取設備�����,另外還有3家在造掌紋和虹膜識別讀取設備�����。之所以指紋識別比較熱���,是因為其他識別設備的難度成本較高�,而且指紋識別是相對更為主流的方案���。
首批預售測試的生物識別Skimmer早在去年9月份就已經(jīng)造出來了�����,目前第二批貨預計很快也會抵達歐洲黑市��。據(jù)說在首批測試中�����,開發(fā)者們還是發(fā)現(xiàn)了不少BUG的�����。主要問題就在于早期的這些生物識別Skimmer采用GSM模塊來傳輸數(shù)據(jù)�����,而生物體征數(shù)據(jù)量又比較大����,所以傳輸起來會很慢。
部署這種Skimmer的方法和一般的Skimmer是一樣的:首先找一臺目標ATM機����,然后將做好的Skimmer以非常隱蔽的方式覆蓋在ATM機原本進行生物識別的地方。這樣一來����,攻擊者就能獲取到受害者的生物體征數(shù)據(jù)���。
如果說用戶的生物體征數(shù)據(jù)是存儲在EMV芯片銀行卡上的���,那么攻擊者也有特別的設備能夠從中提取數(shù)據(jù)——不過需要首先采用社工的方式����,拿到受害者的銀行卡(或者也可以直接偷)�。隨后,攻擊者再利用惡意設備來獲取卡片數(shù)據(jù)����。如果這張卡用上了防篡改機制,似乎暫時還沒有可從中獲取數(shù)據(jù)的方案�����。
在此��,卡片本身其實是不值錢的���,真正值錢的是獲取到的生物體征數(shù)據(jù)�����。這些數(shù)據(jù)的用途包括:用來授權使用各種銀行服務(比如網(wǎng)上銀行);進行在線欺詐交易;也可以將這些生物體征數(shù)據(jù)在黑市出售��,如下圖所示:
除此之外�,針對臉部識別技術的破解也在進行中。當前比較主流的方案是����,從受害人的社交網(wǎng)絡中找張照片,然后將這張臉作為面具戴到攻擊者的臉上�,以此來欺騙ATM即的臉部識別系統(tǒng)。據(jù)說地下市場正在開發(fā)這套方案的移動應用�����。
更多潛在攻擊手法
卡巴斯基實驗室針對當前ATM機應用的生物識別技術�,認為其攻擊方式實際還可以從網(wǎng)絡層面入手。比如說并不直接針對ATM機����,而是看準生物體征數(shù)據(jù)庫——這個數(shù)據(jù)庫存儲著所有用戶的生物體征數(shù)據(jù)。
攻擊方法基本也是社工:首先調(diào)查銀行選擇的維護支持方��,也就是維護數(shù)據(jù)庫的第三方���,向其內(nèi)部員工發(fā)起釣魚郵件����。如果說維護這個體征數(shù)據(jù)庫的第三方企業(yè)員工打開了這封郵件,攻擊者就能利用惡意程序來獲取到管理員身份憑證;或者說利用漏洞進行提權操作���,獲取數(shù)據(jù)庫管理員憑證����。通過上傳惡意程序的方式�����,攻擊者就能從數(shù)據(jù)庫中盜取生物識別數(shù)據(jù)�����。大致的攻擊方案如下圖所示:
在攻擊提權階段�����,攻擊者還能在ATM管理員主機上找到遠程管理工具——這些工具是針對ATM機進行遠程操作的�����。由于這些ATM管理員主機已經(jīng)被攻陷���,利用其上的遠程管理工具�����,可以直接向ATM機上傳惡意程序�,感染XFS Manager中間件�,然后和吐鈔部件直接交互,就能吐出現(xiàn)金了��。
這究竟有多恐怖?
應該說���,如果黑客只是貪圖ATM機中的那些現(xiàn)金�����,即便存在損失��,這樣的損失也在可控范圍內(nèi)�����?��?墒侨绻槍Φ氖巧矬w征數(shù)據(jù)��,想一想���,你的指紋在黑市上被人出售,這是多么恐怖的一件事!
生物體征數(shù)據(jù)具有唯一性�����,而且恒定不變����、不可拋棄�����,這是其最大特色�����。生物識別的確在某種程度上加強了安全性����,而且關鍵是很方便���。但這種方案有個問題,生物體征數(shù)據(jù)用得越多�,被盜的可能性也越大。
實際上�����,如今的生物體征數(shù)據(jù)是記錄在e-passports(電子通行證)之上的����。一旦這個e-passports被盜,則意味著生物體征數(shù)據(jù)被盜���,這種識別方案宣告永久失效���。它不像PIN之類的方案,一旦被竊�����,用戶還可以通知用戶進行修改�����。這才是現(xiàn)如今生物識別技術發(fā)展的最可怕之處。
卡巴斯基的這篇題為《針對ATM通訊和認證系統(tǒng)的未來攻擊場景》報告����,比較詳細地敘述了當代ATM機的各種弱點和針對這些弱點的攻擊思路,比如說針對NFC近場通訊技術的��,還有ATM機內(nèi)部的一些缺陷��,有興趣的同學可前往閱讀完整版報告�����。
