Неочевидные угрозы биометрической аутентификации

Организации переходят на биометрическую аутентификацию для оптимизации пропускного режима, а также в качестве основного или дополнительного фактора аутентификации при входе в информационные системы предприятия. В такой роли биометрия действительно привлекательна — ее невозможно забыть, как пароль, потерять, как пропуск, и сложно подделать. Службе безопасности не надо администрировать забытые и утерянные карточки, а команде ИБ — придумывать системы OTP. Конечно, есть целый ряд «но», которые тоже нужно учесть, оценивая такие внедрения:

• риски хранения и обработки биометрической информации (во многих странах регулируется законодательно, например, в РФ недавно введен 572-ФЗ);

• практические затруднения, связанные с ложноположительными и ложноотрицательными срабатываниями (сильно зависят от вида биометрии и условий ее проверки);

• риски обхода аутентификации;

• риски кибератак, проводимых при помощи уязвимостей в биометрическом терминале.

Первые два пункта ответственные за безопасность обычно прорабатывают, а вот остальные часто недооценивают. Они далеко не надуманны, как показало исследование популярных биометрических терминалов производства ZKTeco. В них нашлось 24 уязвимости, позволяющих атакующим тривиально обойти аутентификацию, захватить устройство, прочитать или изменить список пользователей, скачать их фото и другие данные, а также эксплуатировать доступ к устройству для развития атаки на сеть предприятия. Вот как злоумышленники могут использовать эти уязвимости.

QR-код вместо лица

Изученная нашими экспертами модель биометрического терминала способна локально хранить базу пользователей и аутентифицировать их одним из нескольких способов: пароль, QR-код, биометрия по фото лица и электронный пропуск. Как выяснилось, если предъявить камере QR-код, содержащий тривиальную SQL-инъекцию, устройство посчитает аутентификацию успешной и откроет двери. Если же зашить в QR-код слишком много данных, то терминал уходит в перезагрузку. Для проведения этих атак достаточно подойти к терминалу с телефоном или даже бумажной карточкой.

Небезопасный сетевой доступ

Управление терминалом можно осуществлять локально, а также по сети, при помощи SSH или проприетарного сетевого протокола на TCP-порту 4370. Протокол требует аутентификации, однако эта процедура реализована с серьезными ошибками. Пароль является целым числом от 0 до 999999 и подвержен тривиальному перебору, а его значение по умолчанию, конечно же, ноль. Протокол подписи сообщений (MAC) использует обратимые операции, поэтому несложно анализировать сетевой трафик и при необходимости восстановить пароль через него.

Захват устройства

Производителем предусмотрены дистанционный доступ к данным пользователей, скачивание их фотографий, загрузка новых пользователей и так далее. С учетом небезопасной реализации фирменного протокола это создает риски утечки персональных данных, включая биометрические. Также атакующие могут вносить в базу нужных людей и исключать легитимных сотрудников.

Но ошибки в обработке протокольных команд позволяют злоумышленнику добиться и большего. Можно внедрять в команды по обработке изображений системные команды Unix-оболочки, а также читать произвольные системные файлы на терминале, вплоть до /etc/shadow, содержащего пароли.

Как снизить риски атаки с биометрических терминалов

• тщательно выбирать поставщика биометрических терминалов. Проводить предварительный анализ ранее известных уязвимостей в его оборудовании и скорости их устранения. Запросить информацию о применяемых поставщиком методах разработки, предпочитать производителей, использующих безопасный цикл разработки (SDL). Запросить подробное описание способов хранения информации, включая биометрическую;

• глубоко изучить настройки оборудования и использовать их максимально безопасную конфигурацию. Рекомендуется отключить ненужные и небезопасные методы аутентификации, неиспользуемые сервисы и возможности. Заменить все стандартные учетные данные, установив сложные и уникальные пароли для всех администраторов и пользователей биометрического терминала;

• физически заблокировать ненужные разъемы и интерфейсы на терминале, чтобы исключить дополнительные векторы атаки;

• включить терминалы в процессы управления обновлениями и уязвимостями;

• обеспечить сетевую изоляцию. Если терминал подключен к локальной сети и связан с управляющим сервером, рекомендуется вынести их в отдельную физическую или виртуальную подсеть (VLAN), чтобы доступ к терминалам с обычных компьютеров и серверов и, наоборот, доступ к серверам из биометрического терминала был невозможен. Для настройки доступа рекомендовано использовать изолированную от обычной сетевой активности администраторскую рабочую станцию (privileged access workstation);

• рассматривать телеметрию с терминалов как один из источников информации в SIEM и других применяемых средствах мониторинга.

А для защиты своих устройств рекомендуем использовать Kaspersky Premium: https://digital.wildberries.ru/offer/197822