最初,数字生物数据处理系统主要用于政府机构和特殊服务(警察、海关等)。成为我们日常生活的一部分,并逐渐增强和取代传统的身份验证方法。通过指纹、声音、面部形状或独特的眼睛结构等独特的生物特征来识别人是一种极其方便的方法。如今,生物识别身份验证用于访问政府和商业办公室、工业自动化系统、企业和个人笔记本电脑以及移动电话,其应用数量和种类不断增加。不幸的是,与最近迅速发展的许多其他技术一样,生物识别认证系统已被证明存在重大缺陷,其中主要缺陷与信息安全问题有关。在本报告中,将讨论影响生物认证系统的众多信息安全问题,并展示相关研究成果,以更客观地评估与使用现有生物认证系统相关的风险。生物识别数据处理和存储生物识别数据作为不可伪造的唯一个人标识符的概念从根本上说是错误的。首先,虽然认证系统中生物特征数据的识别准确率较高,但在很多应用中仍然存在不足。这个鉴别不是简单的计算两个哈希和是否相等。生物测定系统通常有可能出现假阴性和假阳性结果。其次,研究表明,许多人类生物特征可以被恶意伪造,复制数字生物特征数据可能比复制物理生物特征更容易。第三,生物特征数据一旦泄露,就永远泄露:用户无法像更改被盗密码那样更改被盗指纹。更重要的是,生物识别数据可以同时危害所有应用程序。结果,一个人的余生可能会受到影响。事实证明,生物识别数据可能以一种对攻击者友好的格式存储。例如,基于Web的生物安全智能锁平台BioStar2发现了一个重大漏洞,该服务拥有一个可公开访问的数据库,其中包含来自83个国家/地区的5,700家组织的员工的超过2,780万条记录,总数据为23G。该数据库还包含大约100万个指纹记录,以及面部识别信息。随着生物特征认证系统的应用越来越多,生物特征认证数据不仅会引起特殊服务的兴趣,也会引起其他攻击者的兴趣。风险评估考虑到上述风险,我们决定评估生物特征数据处理系统(处理和存储数据的服务器,以及用于收集生物特征数据的工作站)易受恶意攻击的程度。1.三分之一的系统遭到破坏2019年第三季度,在收集、处理和存储生物识别数据的计算机中有37%检测到恶意软件,即三分之一的计算机面临恶意软件感染风险。2.威胁源威胁源分析表明,与许多其他需要加强安全措施的系统(如工业自动化系统、楼宇管理系统等)一样,互联网是主要的威胁源。14.4%的生物识别数据处理系统受到互联网威胁,包括恶意网站和钓鱼网站,以及基于网络的电子邮件服务。可移动设备(8%)和网络文件夹(6.1%)最常用于传播蠕虫。蠕虫感染计算机后,通常会下载间谍软件、木马和勒索软件。电子邮件客户端中的威胁大多是典型的网络钓鱼电子邮件(商品和服务交付、付款、RFQ、RFP等的虚假消息),其中包含指向恶意网站或带有恶意代码的办公文档的链接。3.最危险的因素在生物识别数据处理和存储系统的潜在威胁中,间谍软件、网络钓鱼恶意软件、勒索软件和银行木马对此类系统构成的威胁最大。总体而言,2019年第三季度,用于收集、处理和存储生物识别数据的计算机中有5.4%感染了间谍软件,而用于网络钓鱼攻击的恶意软件和勒索软件分别占5.1%和1.9%。其他类型的恶意软件包括窃取银行数据的恶意程序(1.5%)。这些恶意程序不太可能旨在窃取生物识别数据。但是,可以预料在不久的将来会出现从银行和金融系统窃取生物识别数据的恶意软件。摘要在2019年第三季度,37%用于收集、处理和存储生物识别数据的计算机面临感染恶意软件的风险,包括木马(占所有分析的计算机的5.4%)、恶意软件(5.1%)、勒索软件(1.9%)和银行木马(1.5%)。这些恶意软件可以:窃取机密信息,加载和执行任意软件,并允许攻击者远程控制受感染的计算机。尽管这些威胁并非专门设计用于窃取或篡改生物识别数据,但其中一些已经具备这样做的能力。这就是为什么我们认为在线公开生物识别系统对服务提供商和个人用户来说都是巨大的风险。还需要注意的是,生物特征数据处理和存储系统(尤其是生物特征数据库)通常部署在与其他系统共享的应用服务器上,而不是部署在专用计算机上。如果攻击者攻击邮件服务器或具有生物认证系统的组织的网站,他们也有可能在同一台服务器上找到生物认证数据库。总之,生物识别数据安全至关重要,需要引起行业、政府监管机构、信息安全专家和公众的注意。
