УДК 004.056.5:004.421 ББК 32.973.26.018.2 Д 58
Довгаль В.А.
Кандидат технических наук, доцент кафедры автоматизированных систем обработки информации и управления инженерно-физического факультета Адыгейского государственного университета, Майкоп, тел. (8772) 593911, e-mail: [email protected] Довгаль Д.В.
Студент факультета энергетики и нефтегазопромышленности Донского государственного технического университета, Ростов-на-Дону, e-mail: [email protected]
Анализ перспективных методов поведенческой биометрии для аутентификации пользователей
(Рецензирована)
Аннотация. Рассматриваются основные современные перспективные методы поведенческой биометрии, используемые для защиты информации для аутентификации пользователей, анализируются их преимущества и риски применения.
Ключевые слова: поведенческая биометрия, аутентификация пользователей, концепции разработки систем искусственного интеллекта для защиты информации.
Dovgal V.A.
Candidate of Technical Sciences, Associate Professor of the Department of Automated Systems of Processing Information and Control of Engineering-Physics Faculty, Adyghe State University, Maikop, ph. (8772) 593911, email: [email protected]
Dovgal D.V.
Student of Faculty of Energy Production and Oil-Gas Industry, Don State Technical University, Rostov-on-Don, e-mail: [email protected]
Analysis of perspective methods of behavioral biometry for users authentication
Abstract. The paper discusses the main modern promising methods of behavioral biometry used for information security for users authentication. Their advantages and risks of application are analyzed.
Keywords: behavioral biometry, authentication of users, concepts of development of systems of an artificial intelligence for information security.
Традиционно для идентификации пользователя используется связка «логин - пароль», по которой уже достаточно давно были приведены доказательства слабости и неудачности такого решения для защиты доступа. Однако долгие годы достойной альтернативы указанному способу защиты информации не существовало.
Преодоление указанных недостатков информационной защиты специалисты видят в использовании «сильного пароля», для создания которого традиционно рекомендуется следовать четырем рекомендациям, повышающим стойкость пароля к взлому [1]:
• «сильные» пароли представляются длинными и непредсказуемыми последовательностями из разных символов (не только букв и цифр);
• каждый аккаунт или возможность подтверждения личности обязательно должны использовать свой уникальный пароль;
• для управления совокупностью отличающихся паролей рекомендуется использовать менеджер паролей, доступ к которому, в свою очередь, должен быть защищен особо сильной парольной последовательностью;
• заменять тривиальную связку «логин - пароль» многоступенчатой (мультифактор-ной) аутентификацией, подразумевающей использование других средств защиты: дополнительных одноразовых паролей, биометрического сканирования лица или пальца, электронных жетонов и т.д.
Очевидно, что в реальной жизни подавляющее большинство пользователей никогда не будут следовать перечисленным рекомендациям безопасности. Согласно опросам, минимум
две трети респондентов для доступа к разным службам регулярно используют один и тот же пароль, простые запоминающиеся словарные комбинации символов и т.п.
Кроме того, многие крупные производители аппаратных средств уже на протяжении нескольких лет заменяют скомпрометировавшую себя связку «логин - пароль» более прогрессивной процедурой аутентификации (например, в смартфонах добавляется биометрическое сканирование их владельцев). За рубежом существуют большие государственные программы, поощряющие такую замену (например, американский проект DARPA или Национальный центр кибербезопасности Великобритании). В фарватере им следуют крупнейшие банковско-финансовые структуры (например, Visa, MasterCard и национальные банковские системы Скандинавии), флагманы IT-индустрии, применяющие мобильные платежные системы Apple Pay, Android Pay или Samsung Pay.
В то же время в специальной литературе появились сообщения, утверждающие, что большинство устройств биометрического опознания можно достаточно легко обмануть, используя определенные методы подделки конкретной биометрии. Варьируется лишь их простота или стоимость метода, в свою очередь зависящие от универсальности используемых приемов (требуется ли мошенникам в начале хищение биометрических образцов жертвы).
По мере широкого внедрения и распространения на рынке биометрических технологий, ориентированных на уникальные особенности организма, становится очевидным, что злоумышленники обладают возможностью использования широкого набора универсальных методов взлома биометрических средств защиты.
В апреле 2017 года специалисты по информационной защите из Нью-Йоркского и Мичиганского университетов США продемонстрировали возможность вычисления и изготовления методом «умного подбора» «мастер-ключа» для биометрических сканеров пальца, позволяющего открывать сразу множество биометрических замков как «свои» [2].
Перчатка с пятью разными накладками отпечатков «мастер-пальцев» позволит злоумышленнику получить доступ к любому произвольно выбранному смартфону с 65% вероятностью, что является недопустимо высокой компрометацией «надежного средства защиты», считающегося стойким к подобного рода атакам.
Аналогично в мае 2017 года предъявлением поддельных реквизитов клиента под видом настоящих (спуфингом) была скомпрометирована другая новейшая система опознания пользователя по радужке глаза, защищающая доступ к смартфонам Samsung Galaxy S8. Немецкие хакеры из клуба Chaos Computer Club (CCC) опубликовали официальный пресс-релиз, сообщающий об успешном взломе биометрической системы фирмы Princeton Identity с помощью фотографии глаза законного владельца с небольшими хакерскими дополнениями [3]. Ранее эта же группа демонстрировала обман биометрического дактилоскопического датчика защиты Touch ID в смартфонах Apple iPhone.
В пресс-релизе утверждается: «Риски безопасности, связанные с распознаванием по радужке, для конечных пользователей оказываются даже выше, чем с отпечатками пальцев. Потому что снимок радужки глаза сделать скрытно от владельца намного проще, чем снять качественный отпечаток пальца. Более того, зачастую не требуется делать снимок - достаточно взятой из Интернета фотографии жертвы в высоком разрешении...» [3].
Кроме того, получить качественные снимки радужки можно фотографированием цифровой камерой в режиме ночной съемки или с удаленным фильтром инфракрасного излучения. В инфракрасном спектре - который обычно в камерах отфильтровывается автоматически - особенно хорошо фиксируются тонкие, трудновыделяемые детали в рисунке радужки глаза (который в обычном свете выглядит темновато). Группа хакеров показала, что хорошей цифровой камеры с 200-миллиметровым объективом и приближением к клиенту на расстояние порядка пяти метров оказывается вполне достаточно, чтобы сделать подходящую фотографию глаза.
В зависимости от качества картинки на снимке, яркость и контрастность подстраивается вручную, а затем картинка радужки распечатывается лазерным принтером на листе бумаги. Для имитации естественной кривизны поверхности настоящего глаза поверх распечатки
помещается обычная контактная линза.
В настоящее время специалисты в области безопасности рекомендуют применять другие биометрические данные, набор которых принято называть Behavioral Biometrics (поведенческая биометрия, BB). В отличие от старых методов идентификации, адаптированных под нужды и особенности компьютеров, они, наоборот, позволяют компьютеру опознавать пользователя по его поведению. Американское агентство передовых исследований DARPA предложило именовать этот класс новаторских подходов к опознанию «активной аутентификацией» (Active Authentication, АА). Указанный набор концепций и моделей «поведенческого анализа» позволит компьютерам без использования длинных и труднозапоминаемых паролей самостоятельно распознавать своих пользователей по тем видам активности, которые строго индивидуальны для обычной деятельности всякого отдельно взятого человека. В качестве примера можно назвать клавиатурный почерк, особенности движений пальцев при работе с мышью, экраном, сенсорной панелью и прочими манипуляторами [4]. При этом активное отслеживание аутентичности предусматривается на протяжении всего времени доступа пользователя к устройству.
Кроме того, существующее аппаратное обеспечение смартфонов и планшетов позволяет эффективно распознавать людей по особенностям их походки или местоположения, специфике стиля одежды или окружающих интерьеров, характеристиках дыхания и сердцебиения.
Таким образом, АА постоянно осведомляет компьютер о своем операторе, а процесс аутентификации пользователя происходит на фоне основной работы системы.
Лидерами по внедрению новых подходов аутентификации на основе AA считаются такие компании, как BioCatch (Израиль), BehavioSec (Швеция) и транснациональная NuData Security (поглощенная MasterCard в апреле 2017 года).
Однако у многих технологий АА по-прежнему остается уязвимое звено - возможность похищать собираемую в процессе слежения за пользователем информацию и подделать обрабатывающие ее алгоритмы. Для предотвращения подобных утечек перспективным представляется использование искусственного интеллекта (ИИ) на основе нейросетей.
Системы ИИ разрабатываются на основе двух принципиально разных концепций: строго алгоритмической и самообучающейся. В отличие от систем ИИ на основе нейросетей, логику и работу алгоритмического ИИ злоумышленники могут проанализировать и в дальнейшем использовать. В системах «поведенческой биометрии» для защиты доступа рекомендуется использовать именно нейросети, так как разработчики всех самообучающихся систем с трудом представляют логику их работы.
Например, в 2017 году корпорация Nuance Communications выпустила новый многорежимный комплект «биометрических решений безопасности» Nuance Security Suite на основе системы искусственного интеллекта, в комплект которой вошли базовые биометрические технологии распознавания голоса и лица, а также широкий набор поведенческой биометрии. В своей работе комплекс применяет глубокие нейросети DNN (Deep Neural Networks), продвинутые алгоритмы для выявления атак типа синтезированной речи, а также интегрирует лицевую и поведенческую биометрию для выявления мошенничества со спуфингом по множеству разных каналов.
Высокая стоимость указанного средства защиты пока позволяет использовать его в основном крупными структурами. Например, налоговая служба Австралии, банки Barclays, ING Netherlands, Tatra Bank, компании связи Turkcell и Vodacom South Africa. Удешевление этой технологии приведет к ее интеграции в массовой бытовой электронике.
В мае 2017 года корпорация Apple сообщила о новом чипе Neuro Engine (вольный перевод - «нейродвижок»). Указанный процессор, по данным издания Bloomberg, является аппаратным вариантом реализации нейросетей для систем искусственного интеллекта, позволяющим понизить важность пароля для идентификации пользователя. При этом сама корпорация Apple не раскрывает цели его создания, прикрываясь понятием «коммерческая тайна».
Таким образом, тренд в разработках систем аутентификации пользователей направлен на широкое внедрение нейросетей, анализирующих поведенческие характеристики пользователей. При этом реализация осуществляется на аппаратной части в целях высокой скорости обработки собираемых биометрических данных.
Примечания:
1. Марков А.С., Цирлов В.Л. Безопасность доступа: подготовка к CISSP // Вопросы кибербезопасности. 2015. Вып. 2 (10). С. 60-68.
2. Aditi Roy and Arun Ross, MasterPrint: Exploring the Vulnerability of Partial Fingerprint-based Authentication Systems // IEEE Transactions on Information Fo-rensics and Security. 2017. Vol. 12. P. 2013-2025.
3. Chaos Computer Clubs breaks iris recognition system of the Samsung Galaxy S8. URL: https://www.ccc.de/en/updates/2017/iriden (дата обращения: 18.06.2017).
4. Довгаль В.А. Захват параметров клавиатурного почерка и его особенности // Информационные системы и технологии в моделировании и управлении: сб. материалов Всерос. науч.-практ. конф., 5-7 июня 2017 г. Симферополь: АРИАЛ, 2017. С. 230-236.
References:
1. Markov A.S., Tsirlov V.L. Access security: preparation for CISSP // Cybersecurity Issues. 2015. Vol. 2 (10). P. 60-68.
2. Aditi Roy and Arun Ross, MasterPrint: Exploring the Vulnerability of Partial Fingerprint-based Authentication Systems // IEEE Transactions on Information Fo-rensics and Security. 2017. Vol. 12. P. 2013-2025.
3. Chaos Computer Clubs breaks iris recognition system of the Samsung Galaxy S8. URL: https://www.ccc.de/en/updates/2017/iriden (дата обращения: 18.06.2017).
4. Dovgal V.A. Capturing the parameters of the keyboard handwriting and its features // Information systems and technologies in modeling and control: coll. of proceedings of Russian scient. and pract. conf., June 5-7, 2017. Simferopol: ARIAL, 2017. P. 230236.