Введение
Ещё 25–30 лет назад в России почти не применялись банковские карты. Наличные были универсальным платёжным средством, а использование «заморских» карт считалось шиком.
Сейчас принято считать, что широкому распространению банковских карт в России способствовало удобство их применения. Думаю, это не совсем точно. Не берусь судить за всех, но моё доверие значительно выросло после того, как вместе с новой банковской картой я получил аналогичную по размерам вторую пластиковую карту, на которой были напечатаны 100 секретных кодов, скрытых под фольгой. Чтобы совершить банковскую операцию, требовалось стереть защитный слой и ввести находящийся под ним код для подтверждения совершаемой операции. Это вселяло уверенность в строгом и надёжном контроле.
Сейчас аналогичную функцию выполняют специализированные аппаратные устройства — токены. Они предназначены для верификации совершаемых действий в разных сферах. Конечно, за прошедшие годы вариантов такого подтверждения (или вторых факторов аутентификации) стало значительно больше и пользователь порой даже не замечает, что эту роль выполняет его телефон: ведь проверка выполняется в банковском приложении в фоновом режиме.
Тем не менее токены востребованны до сих пор. Более того, как мы покажем в конце, возможно их перерождение: меняющиеся риски заставляют искать новые решения для безопасности, а новое — это часто то, что уже было изобретено раньше и потом переосмыслено заново.
Токены для аутентификации и биометрия
Упомянутая выше таблица кодов предшествовала появлению современных токенов. Сейчас они развиваются в сторону использования биометрических данных.
Считается, что применение биометрии способно гарантировать надёжную защиту и контроль над безопасностью доступа к информационным ресурсам. Основой уверенности служат уникальность этих данных для каждого человека и применение криптостойких средств шифрования при их передаче.
Развитие дистанционных способов доступа привело к появлению программных средств аутентификации. Они стали массовым инструментом защиты, например, при совершении операций на криптобиржах. Однако при работе с особо важной информацией, совершении ответственных операций приоритет остаётся за аппаратными средствами биометрического контроля. Они подтверждают личность пользователя и исключают вероятность подмены, повышая тем самым уровень защищённости.
Как обстоят дела в этой области на российском рынке?
Об этом рассказал Андрей Шпаков, руководитель проектов по ИБ в компании «Актив». Компания «Актив»: 30 лет на рынке кибербезопасности Компания «Актив» была создана в 1994 году. С тех пор она выросла в крупного российского разработчика и производителя аппаратных и программных средств защиты информации. Сейчас «Актив» развивает три основных продуктовых направления: аппаратные устройства «Рутокен», системы контроля лицензирования Guardant и услуги консалтинга.
Продукты «Рутокен» служат для решения задач связанных с идентификацией, аутентификацией и обслуживанием электронной подписи. Можно сказать, что они уже стали стандартом де-факто в российских организациях. Решения Guardant занимают нишу защиты и контроля лицензирования программных продуктов; их долю в этой нише сам вендор оценивает как достигающую 85 %. Направление AKTIV.CONSULTING связано с предоставлением услуг в сфере консалтинга и аудита ИБ, с помощью которых «Актив» помогает другим компаниям соблюдать отраслевые стандарты и добиваться полного соответствия регуляторным требованиям.
Современная биометрия повышает надёжность парольной защиты
Использование биометрических данных находится сейчас под строгим регуляторным контролем со стороны государства. В частности, в декабре 2022 года президент РФ подписал федеральный закон № 572-ФЗ, запрещающий принудительный сбор биометрических персональных данных при оказании коммерческих и государственных услуг.
В то же время широкое распространение мобильных устройств и их применение для биометрической идентификации взамен парольной защиты оказывают серьёзное давление на рынок и создают риски, которые необходимо учитывать.
На необходимость биометрической идентификации при дистанционной работе с ответственными программными системами указывают результаты исследования компании «Солар», в котором ставилась цель выявить критические уязвимости в государственных информационных системах за 2022–2023 гг. Как оказалось, слабые пароли были выявлены на внешнем периметре у 59 % госпроектов. В 64 % госсистем используются одинаковые внутренние пароли. В 47 % случаев были зафиксированы серьёзные недостатки в организации контроля над парольным доступом.
Аппаратные токены «Рутокен» с поддержкой инфраструктуры PKI
Наилучшим способом защиты учётной записи при дистанционном доступе сегодня принято считать применение многофакторной аутентификации (MFA). Физический ключ с поддержкой биометрии (токен) становится наиболее безопасным вариантом реализации MFA, потому что он устойчив к фишингу. Злоумышленник не сможет обойти защиту, даже если сумеет каким-то образом заполучить логин и пароль.
Это направление компания «Актив» собирается развивать в линейке токенов «Рутокен». Сейчас выпускаются изделия версии 3.0 с поддержкой инфраструктуры открытых ключей (Public Key Infrastructure, PKI). Существуют разные модели под тот или иной вариант использования, например для безопасной аутентификации по бесконтактному интерфейсу («Рутокен NFC»).
Токены «Рутокен» реализовывают на аппаратном уровне технологии электронной подписи, шифрования и хеширования по национальным стандартам. Например, «Рутокен ЭЦП 3.0» можно использовать в качестве интеллектуального ключевого носителя и средства электронной подписи в российских комплексах юридически значимого электронного документооборота, государственных информационных системах. Он подходит для ЕГАИС, торгов, сдачи отчётности, работы на госпорталах.
«Рутокен» выполняет криптографические операции так, что закрытая ключевая информация никогда не покидает физических пределов токена. Благодаря этому исключена её компрометация. Имеется защищённая память объёмом в 128 кБ, что позволяет хранить более 30 сертификатов ЭП.
Система «Рутокен ЭЦП 3.0» совместима с различными криптографическими пакетами: «КриптоПро», Signal-COM, ViPNet, OpenSSH, OpenSSL, OpenVPN, «Эникриптер».
Устройства «Рутокен OTP» позволяют генерировать одноразовые пароли для аутентификации в корпоративных сервисах и порталах, приложениях и службах управления паролями, а также в других системах, поддерживающих OATH TOTP. Аутентификация считается успешно пройденной, когда токен и запрашиваемый им сервис генерируют одинаковые одноразовые пароли. Алгоритм создания пароля опирается на метку времени и секретный ключ, что является стандартом для OATH-сервисов.
MFA-токены предназначены для веб-аутентификации по FIDO2 — открытому стандарту универсальной аутентификации пользователей, который был разработан консорциумом FIDO Alliance. Они выступают в качестве единого средства защиты учётных записей в онлайн-сервисах и опираются на применение двух факторов аутентификации: владение физическим устройством и знание ПИН-кода. Такие токены позволяют защитить аккаунты в сервисах поддерживающих спецификацию WebAuthn, в т. ч. от VK, Google, Apple, Microsoft.
Дополнительным достоинством токенов «Рутокен MFA» является их «секретная кнопка». Для аутентификации требуется подтвердить физическое присутствие, нажав на аппаратную кнопку, расположенную на токене. Поэтому, например, оставленный на время без присмотра авторизованный ноутбук не станет точкой компрометации, если его владелец будет пользоваться таким токеном.
Как сообщает производитель, в операционную систему устройств «Рутокен» теперь входят биометрические технологии. В ближайшем будущем можно ожидать новых модификаций токенов и смарт-карт, поддерживающих биометрическое распознавание владельца.
Биометрические системы защиты: новые угрозы
Интересный пример приводит компания Group-IB, чьи эксперты оказались первыми в выявлении нового трояна, умеющего красть изображения лиц. Он маскировался под приложение для получения пенсий. С помощью социальной инженерии пользователей заставляли согласиться на сканирование не только удостоверяющих личность документов, но и лица. На базе таких данных злоумышленники могут создавать дипфейки, используя инструменты искусственного интеллекта (ИИ).
Эта вредоносная программа получила название GoldPickaxe. Её впервые обнаружили в июне 2023 года, а происхождение связали с китайской хакерской группой GoldFactory.
Троян GoldPickaxe был нацелен как на Android-, так и на iOS-устройства (клон GoldPickaxe.iOS). Сгенерированные на базе украденных данных дипфейки были замечены позднее при кибератаках против финансовых учреждений Вьетнама и Таиланда. Доказанный ущерб от инцидентов оценили в несколько десятков тысяч долларов.
Ранее в текущем году британская компания iProov опубликовала исследование, проведённое ею на протяжении 2023 года с целью оценки угроз от дипфейков. Было выявлено более 60 различных групп численностью от 100 до более чем 100 000 человек, занимавшихся генерацией синтетических изображений. Особенность этих групп состоит в том, что в явном виде они не являются преступными. Среди участников немало тех, кто просто интересуется развитием технологий. Но есть среди них и такие, кто имеет вполне конкретный злой умысел.
В чём состоит цель объединения такого большого числа хакеров? Большинство участников занимаются поиском артефактов, которые возникают при использовании ИИ. Найденные артефакты обсуждаются в закрытых группах. Там же оцениваются пути обхода автоматизированного биометрического контроля при проверке личности.
По мнению участников таких сообществ, достоверность создаваемого дипфейка становится заметно выше, если вручную управлять выбором мимики при реакции на запросы проверяющей стороны. Этот вывод подтверждается и независимым исследованием, проведённым хакерами немецкого сообщества Chaos Computer Club.
Биометрические СЗИ на пороге нового витка развития
Развитие технологий ИИ сопряжено не только с получением полезных результатов. Ожидается, что в равной степени вырастут и риски из-за применения инновационных инструментов ИИ злоумышленниками. Одно из направлений связано с созданием правдоподобных дубликатов лиц и применением различных методов управления дипфейками.
По прогнозам Gartner, уже к 2026 году ИБ-службы 30 % предприятий перестанут считать нынешние биометрические инструменты контроля надёжными средствами защиты доступа. Всё указывает на то, что они должны претерпеть определённые изменения, чтобы обеспечить эффективную проверку не только подлинности самого изображения лица, но и его «прямой принадлежности» тому, кто запрашивает дистанционный доступ.
Казалось бы, обычная инженерная задача, для которой можно предложить разные решения. Но есть ещё один риск, который даже более важен, чем уже названный: в случае кражи биометрических данных, которые являются уникальными по своей сущности, исправить ситуацию значительно труднее, чем при любом другом сценарии идентификации. Ведь человек сам является источником и носителем биометрических данных, поэтому их невозможно заменить, как пароли или ключи шифрования.
Очевидно, что необходимо создавать новые средства защиты, которые будут сочетать биометрию с дополнительными параметрами иного типа. Это необходимо делать срочно, пока эпидемия дипфейков ещё не достигла глобальных масштабов и они не сделали биометрическую идентификацию бесполезной. Если это произойдет, то проблемы коснутся и биометрической аутентификации – процесса обеспечения безопасности на базе технологии распознавания личности человека по его биологическим характеристикам. Уникальность этих характеристик станет фальсифицируемой, поскольку они перестанут подтверждать, является ли человек именно тем пользователем, за которого себя выдает.
Выводы
Биометрические токены стали эффективным инструментом защиты дистанционного доступа к важным ресурсам, таким как государственные информационные системы. В то же время сектор биометрической идентификации в целом испытывает давление со стороны новых угроз, таких как появление дипфейков, и рынок ждёт новых решений для безопасности с учётом этих рисков.