如今,生物认证被用于访问政府和商业办公室、工业自动化系统、企业和个人笔记本电脑以及移动电话,这些技术的应用数量和种类都在不断增长。不幸的是,和许多其他最近迅速发展的技术一样,生物认证系统已经被证明有明显的缺点,其主要缺点与信息安全问题有关。
在这份报告中将讨论影响生物认证系统的众多信息安全问题,并提出相关研究结果,以提供更客观的评估与使用现有的生物认证系统相关的风险信息。
生物测定数据处理与存储
生物测定数据作为一种不可伪造的唯一个人标识符的概念从根本上讲是错误的。
其次,研究表明,许多人类生物特征可以被恶意伪造,复制数字化生物特征数据可能比复制物理生物特征更容易。
第三生物特征数据一旦被泄露,就会永远被泄露:用户不能像更改盗取密码那样更改被盗指纹。更重要的是,生物特征数据可能会同时对所有应用程序造成危害。因此,一个人的余生可能会受到影响。
随着生物认证系统应用的数量不断增加,生物认证数据不仅会引起特殊服务部门的兴趣,还会引起其他攻击者的兴趣。
风险评估
考虑到上述风险,我们决定评估生物测定数据处理系统(处理和存储数据的服务器,以及用于收集生物测定数据的工作站)在多大程度上容易受到恶意攻击。
三分之一的系统受到威胁
在2019年第三季度,37%行收集、处理和存储生物特征数据的的电脑检测到恶意软件,即每三台电脑中就有一台电脑面临恶意软件感染的风险。
威胁源
对威胁来源的分析表明,与许多其他需要加强安全措施的系统(如工业自动化系统、建筑管理系统等)一样,互联网是主要威胁来源。
14.4%的生物特征数据处理系统受到互联网上的威胁,包括在恶意网站和钓鱼网站,以及基于web的电子邮件服务。
可移动设备(8%)和网络文件夹(6.1%)最常用于分发蠕虫。蠕虫感染计算机后,通常会下载间谍软件,木马和勒索软件。
电子邮件客户端中的威胁中大多数情况下典型的钓鱼电子邮件(货物和服务交付假消息、付款、RFQ、RFP等),其中包含指向恶意网站的链接或带有恶意代码的office文档。
最危险因素
在生物特征数据处理和存储系统的潜在威胁中,间谍软件、钓鱼攻击的恶意软件、勒索软件和银行木马对此类系统构成最大威胁。
总的来说,在2019年第三季度,5.4%用于收集、处理和存储生物特征数据的计算机上被感染间谍软件,钓鱼攻击中使用的恶意软件和勒索软件分别占5.1%和1.9%。
其他类型的恶意软件还包括窃取银行数据的恶意程序(1.5%)。这些恶意程序不太可能是为了窃取生物特征数据。然而,可以预期窃取银行和金融系统生物特征数据的恶意软件将在不久的将来出现。
总结
在2019年第3季度,用于收集、处理和存储生物特征数据的计算机中,有37%面临恶意软件感染的风险,其中木马(占分析的所有计算机的5.4%)、用于钓鱼攻击的恶意软件(5.1%)、勒索软件(1.9%)和银行木马(1.5%)。
还应注意的是,生物测定数据处理和存储系统(特别是生物测定数据库)通常部署在与其他系统共享的应用服务器上,而不是专用计算机上。如果攻击者对邮件服务器或具有生物认证系统的组织的网站进行攻击,他们也有可能在同一服务器上找到生物认证数据库。
综上所述,生物认证数据安全至关重要,需要引起行业、政府监管机构、信息安全专家和公众的关注。
*参考来源: securelist ,由Kriston编译,转载请注明来自FreeBuf.COM
