Dünya çapında kritik tesislerde kullanılan bir biyometrik terminaldeki iki düzine güvenlik açığı, bilgisayar korsanlarının yetkisiz erişim elde etmesine, cihazı manipüle etmesine, kötü amaçlı yazılım dağıtmasına ve biyometrik verileri çalmasına olanak tanıyabilir. Ancak bunun kuruluşlar için tam olarak ne kadar zarar verici olabileceği tartışmaya açık.
Biyometrik güvenlik, kamu sektöründe yaygın olarak benimsenmesiyle bugün her zamankinden daha popüler. kanun yaptırımı, ulusal kimlik sistemlerivb. – ve ayrıca ticari endüstriler için seyahat Ve kişisel bilgisayar. Japonya’da metro yolcuları “yüz yüze ödeme” yapabiliyor ve Singapur’un göçmenlik sistemi, yolcuların ülkeye girmesine izin vermek için yüz taramalarına ve parmak izlerine dayanıyor. Gerçek şu ki Burger mekanları yüz taramasıyla deneyler yapıyor burada bir şeylerin gelişmekte olduğunu gösteriyor.
Ancak kısa sürede bilgisayar korsanları yollarını buldular ve bazen de güvenli olduğu iddia edilen bu sistemlerin içinde.
Yakın zamanda bir Kaspersky araştırmacısı Çinli üretici ZKTeco’nun sattığı açık terminalleri yırttı. Bu beyaz etiketli cihazlar, yüz taramaları ve QR kodları kullanarak dünya çapındaki kurumsal ve kritik tesisleri korumak için kullanılıyor. Araştırma sonuç verdi birkaç düzine bahçe çeşitliliği böceğiSQL enjeksiyonları, kullanıcı girişinin uygunsuz şekilde doğrulanması ve benzeri gibi bir dizi kategoriye ayrılmıştır.
Fiziksel güvenliğe yönelik riskler ciddidir ancak uzmanlar, biyometrik veri sızıntısının diğer kişisel veri türlerinin sızıntısı kadar ciddi olmadığına dikkat çekiyor. Yüzünün çalınmasından endişe duyan birinin ağlamasına gerek yok.
Biyometrik Terminallerdeki Güvenlik Açıkları
ZKTeco terminalinden faydalanmak herhangi bir siber saldırıya benzeyebilir veya oldukça yaratıcı fiziksel riskler içerebilir.
Yelpazenin ilk ucunda, kullanıcıların biyometrik verileri ve şifre karmaları da dahil olmak üzere dosyaların görüntülenmesine ve çıkarılmasına olanak tanıyan CVE-2023-3940 ve CVE-2023-3942 (sırasıyla bir yol geçişi ve SQL enjeksiyon kusuru) gibi hatalar bulunuyor. Ayrıca ayrıcalıklı komut yürütmeye izin veren CVE-2023-3939 ve CVE-2023-3943 vardır.
Kaspersky’nin kıdemli uygulama güvenliği uzmanı Georgy Kiguradze, “Cihaza kontrol komutlarını iletmek için kullanılan ikili protokolde önemli sayıda SQL enjeksiyon güvenlik açığı bulmak oldukça şaşırtıcıydı” diyor. “Ayrıca, cihazın kamerasına yerleştirilmiş QR kod okuyucusunda da benzer güvenlik açıkları keşfedildi; bu konum, genellikle uzaktan saldırılarla ilişkilendirildiği için böyle bir güvenlik açığı bulmanın beklenmeyeceği bir yer.”
Bir saldırganın SQL enjeksiyonu gerçekleştirmek için kötü amaçlı verileri QR koduna enjekte ettiği CVE-2023-3938’den bahsediyor. Terminal kodu okuduğunda, kodun en son yetkilendirilen meşru kullanıcıya ait olduğu hatasına düşer. Uygulamada, sahadaki bir saldırgan, bir terminali kandırarak, normalde kısıtlı olan bir alana erişmesine izin verebilir. Bu istismarın ekstra kötü amaçlı veriler içeren değiştirilmiş bir sürümü de taşmalara neden olabilir ve makinenin yeniden başlatılmasını tetikleyebilir.
Kiguradze ayrıca yüz tanıma yoluyla bir fiziksel saldırı yöntemi de buldu. Kullanıcı girişinin doğrulanmasıyla ilgili bir sorun olan CVE-2023-3941 gibi bir hatayla, davetsiz misafir makinenin biyometrik veritabanına erişebilir ve uzaktan değiştirebilir. Bu noktada meşru girişlerin yanı sıra kendi yüzlerini de sisteme yükleyebiliyorlar.
ZKTeco’nun bu güvenlik açıklarından herhangi birine yama yapıp yapmadığı henüz belli değil. Dark Reading daha fazla bilgi için üreticiye ulaştı.
Biyometrik Sistemlerin Güvenliğinin Sağlanması
Biyometri genellikle tipik kimlik doğrulama mekanizmalarının (en hassas cihazlar ve en ciddi ortamlar için gerekli olan ekstra James Bond düzeyindeki güvenlik) üzerinde bir adım olarak kabul edilir.
Örneğin ZKTeco terminalleri dünya çapında nükleer ve kimya tesislerinde, hastanelerde ve benzerlerinde konuşlandırılmıştır. Sunucu odalarını, yönetici odalarını ve hassas ekipmanları korurlar. Yukarıda açıklananlar gibi güvenlik açıkları, finansal motivasyona sahip siber suçlular için pek uygun olmayabilir, ancak bir siber suçlu için son derece yararlı olabilir. içeriden bilgi veya gelişmiş ulus devlet tehdit aktörü verileri çalmak ve hatta güvenlik açısından kritik süreçleri manipüle etmek niyetindedir.
Bu sistemlerin sıklıkla konuşlandırıldığı ortamların kritik doğası, kuruluşların bütünlüklerini sağlamak için daha da ileri gitmelerini gerektirir. Ve bu iş, yeni keşfedilen güvenlik açıklarının kapatılmasından çok daha fazlasını gerektiriyor.
Kiguradze, “Öncelikle potansiyel saldırı vektörlerini sınırlamak için biyometrik okuyucuyu ayrı bir ağ bölümünde izole edin” diye öneriyor. Ardından, “güçlü yönetici şifreleri uygulayın ve varsayılan kimlik bilgilerini değiştirin. Genel olarak, cihazın güvenlik ayarlarının kapsamlı denetimlerinin yapılması ve herhangi bir varsayılan yapılandırmanın değiştirilmesi tavsiye edilir, çünkü bunların bir siber saldırıda kullanılması genellikle daha kolaydır.”
Entrust ürün pazarlama müdürü Rohan Ramesh, “Son zamanlarda güvenlik ihlalleri yaşandı; muhtemelen bunları okumuşsunuzdur” diyor. Ancak genel olarak donanım güvenlik modülleri ve diğer gelişmiş şifreleme teknolojileriyle veritabanlarını korumanın yolları olduğunu söylüyor.
Alternatif olarak, biyometri konusunda emin olmayan kuruluşlar, mümkün olduğunca bunların ölçeğini küçültmeye odaklanabilir veya mevcut tek koruma olmadığından emin olmak. İşin püf noktası, biyometrinin çekiciliğinin bir kısmının sürtünmesizliği olduğu göz önüne alındığında, bu ek korumaların kullanıcı tarafından görülmemesini sağlamaktır.
“Çok faktörlü kimlik doğrulamamı (MFA) sıfırlamak veya sisteme bir kullanıcı eklemek istersem, kişisel olarak tanımlanabilir bilgileri (PII) veya diğer kritik verileri barındıran bir sunucuyu değiştirmek istersem veya bir bankacılık işlemi yapıyorsam — Biyometri yoluyla ekstra doğrulamadan geçmem gerekiyor. Biyometrinin belirli durumlar için kusursuz bir seçenek olmasını istiyorsunuz” diyor Ramesh.
Büyük, Şişman Gümüş Astar
Güvenlik ekipleri için temel soru şu: Veriler aynı şekilde depolanıp korunuyorsa, biyometri diğer kimlik doğrulama yöntemlerinden maddi olarak daha güvenli midir?
Evet, çoğunlukla uzmanlar söylüyor.
iProov’un kurucusu ve CEO’su Andrew Bud, “Yaygın bir yanlış kanıya değinmek istiyorum” diyor: “Biyometrinin bir şekilde şifreye benzediği ve dolayısıyla şifre gibi çalınması veya ele geçirilmesi durumunda değersiz hale geleceği yönünde. Bu temel bir kavramsal hatadır, çünkü biyometrik (yüz gibi) bir sır değildir.”
Şöyle açıklıyor: “Parola iyidir çünkü gizlidir. Ancak modern dünyada bir yüz sır değildir. İnsanların yüzlerini yakalamak için LinkedIn veya Facebook’a bakmak yeterlidir. Bir yüzü veya herhangi bir biyometriyi bu kadar değerli kılan şey nedir? gizli olması değil, orijinal makalenin benzersiz olması, şifremi çalabilirsin ama yüzümü çalamazsın.”
O halde pratikte biyometrik tarayıcıdan sızdırılan fotoğraflar, parmak izleri veya iris taramaları dünyanın sonu değildir. Bir bilgisayar korsanının kendi fotoğraflarını tutması fikri içgüdüsel olarak ürkebilir, ancak gerçeğin kopyaları günümüzün en ileri tanıma teknolojilerini yanıltmamalıdır. Örneğin ZKTeco terminalleri, kişinin kim olduğunu doğrulayan ve davetsiz misafirlerin, örneğin basılı fotoğrafları yüz tanıma terminalini kandırmak için kullanmasını önleyen bir sıcaklık algılama mekanizmasına sahiptir.
Alternatif olarak Ramesh, “Biyo-biyo-permütasyon yapabilirsiniz” diyor. “Yapay zeka tabanlı hesaplamalara ve tahminlere dayanarak Mayıs 2024 ve Mayıs 2025’te fotoğrafınızı çekersem, nasıl olabileceğinizi tahmin edebiliriz. [physically] değiştirmek.”
Ya da Bud şöyle diyor: “Bir kişinin yüzünü kontrol ettiğinizde, sahneye öngörülemeyen bir şey katabilirsiniz ve bu da yüzün benzersiz şekillerde tepki vermesine neden olabilir. Deepfake veya kopyayla karşılaştırıldığında“
Şöyle ekliyor: “Yaptığımız şey, kullanıcının cihazının ekranını kullanarak kullanıcının yüzünü aydınlatan öngörülemeyen ve benzersiz bir renk dizisi oluşturmak ve yüzün videosunu sunucularımıza geri göndermek. Işığın bir insanın vücudundan yansıma şekli yüz ve yansımanın ortam ışığıyla etkileşim şekli… bu çok, çok, çok tuhaf, alışılmadık ve öngörülemez bir zorluktur ve taklit edilmesi son derece zordur.”
Yüz tanıma mekanizması kopyalara karşı dayanıklıysa şöyle açıklıyor: “Prensipte, verilerin toplandığı cihazın güvenliğine güvenmek zorunda değilsiniz. Aslında, cihaza güvenilemeyeceği varsayımıyla başlıyoruz hiç.”
Maalesef bir uyarı var. Yüzler, gözler ve parmak izleri gibi fiziksel özelliklerden farklı olarak, “Çok zor, hatta derin sahte bir sesi tespit etmek imkansız,” diyor Bud. “Ses izlerinde o kadar az bilgi var ki, bulunacak çok fazla sahtelik sinyali yok” – dolayısıyla biyometrinin gelişmiş versiyonları gidilecek yol.