datasheet

卡巴斯基攻击实验:指纹取款并不安全

2016-11-04来源: FreeBuf.COM 关键字:卡巴斯基  指纹识别  ATM  安全

   很多安全报告说,生物识别技术会取代密码,成为身份认证的主流方案。这件事真的靠谱吗?早在2014年,Chaos Computer Club的安全研究人员Jan Krissler给德国联邦部长随便拍了几张照——那些照片是这位部长在出席某次新闻会议时拍下的,仅是利用“普通相机”,Krissler就获取到了部长同志的指纹。

  他在年末的Chaos Computer Conference大会上表示,从不同的角度拍摄部长的手指,就能构建精确的指纹数据。随后在去年的某安全会议上,Krissler又展示了从互联网照片中获取虹膜数据的方式。这不是坑爹吗?

  银行现阶段似乎就看上了生物识别技术,或者叫生物计量技术——将这种技术作为ATM取款的身份认证解决方案据说很安全,比如说指纹、虹膜。

  过去针对ATM取款机的攻击技术,主要就集中在ATM Skimmer之上,我们也曾发布过不少介绍ATM Skimmer的文章,其奥义就在于伪装成ATM取款机上的某个硬件部分,不管是键盘还是摄像头,以此来获取卡片信息。直到后来芯片密码(chip-and-pin)支付卡出现,Skimmer进化成了“shimmer”——后者实际上就是增加从卡片芯片中获取信息的能力。

  但显然专攻ATM的黑客也不是吃素的,近期他们已经在研究新一代ATM Skimmer了,完全可以搞定生物识别技术。

  卡巴斯基实验室针对ATM机攻击,发布了一份30页的报告,里面较多提及黑客对生物识别技术在ATM机上的应用早就跃跃欲试了。一旦生物识别技术被黑客破解,那带来的麻烦可不只是用户的银行卡密码被盗这么简单了。

  生物识别认证技术已经应用到ATM机?

  上的TouchID指纹识别按钮就是典型的生物识别认证方式。其实在国外,生物识别认证在银行解决方案上正逐渐有普及的趋势。生物识别可以是基于形态的、行为的,也可以是心理的。现阶段比较主流的身份识别技术包括了:

  虹膜识别;

  指纹识别;

  掌纹识别;

  血管识别;

  脸部识别;

  声音识别;

  其他(比如手写签名)

   国外的某些ATM取款机已经开始将生物体征数据作为多重身份认证的其中一重了(比如说银行卡+PIN码+生物识别);另外针对无卡认证方案(或者智能卡片),生物体征数据也用于在线或离线身份认证。

  这里的智能卡片离线认证,也就是在无需连接到银行的生物体征数据库,就能对持卡人的身份进行认证。在此,生物体征数据(比如说指纹)是储存在智能卡芯片之上的(所谓的match-on-card技术)。

生物识别身份认证在ATM机上应用的过程

  其实在ATM取款设备上引入生物识别技术,完全是为了增加交易的安全性,或者说进行所谓的“强加密”。

  生物识别认证在ATM机上的应用目前大致上有两套方案,第一种是有卡生物识别认证,还有一种是无卡的。针对后一种,银行卡用户需要前往银行,首先采集生物体征数据,比如说指纹——通过某些特定的设备(如果扫描器)来采集。这些生物体征数据是存储在数据库中的(这与iPhone的TouchID将指纹存储在芯片黑匣子中的方案存在本质却别),ATM机或者其他银行设备在接受用户请求的时候,首先就需要连接这个数据库进行认证。

  黑市正在筹备新版Skimmer上市

  从卡巴斯基实验室的这份报告来看(未具名来源信息),目前的地下论坛中已经开始有不少针对生物识别认证技术的活动正在逐步开战了。针对上述安全手法,黑客要做的主要就是制造能够采集用户生物体征数据的设备,将这样的设备以伪装的形式安装到ATM机上(甚至制造假的ATM机)。这从本质上来说,仍属于Skimmer形态。

 

  目前黑市最火的就是指纹识别读取设备,因为这类设备比较简单,且成本较低——地下黑市已经有大约12家制造商已经在试制伪装的指纹读取设备,另外还有3家在造掌纹和虹膜识别读取设备。之所以指纹识别比较热,是因为其他识别设备的难度成本较高,而且指纹识别是相对更为主流的方案。

   首批预售测试的生物识别Skimmer早在去年9月份就已经造出来了,目前第二批货预计很快也会抵达欧洲黑市。据说在首批测试中,开发者们还是发现了不少BUG的。主要问题就在于早期的这些生物识别Skimmer采用GSM模块来传输数据,而生物体征数据量又比较大,所以传输起来会很慢。

  部署这种Skimmer的方法和一般的Skimmer是一样的:首先找一台目标ATM机,然后将做好的Skimmer以非常隐蔽的方式覆盖在ATM机原本进行生物识别的地方。这样一来,攻击者就能获取到受害者的生物体征数据。

  如果说用户的生物体征数据是存储在EMV芯片银行卡上的,那么攻击者也有特别的设备能够从中提取数据——不过需要首先采用社工的方式,拿到受害者的银行卡(或者也可以直接偷)。随后,攻击者再利用恶意设备来获取卡片数据。如果这张卡用上了防篡改机制,似乎暂时还没有可从中获取数据的方案。

  在此,卡片本身其实是不值钱的,真正值钱的是获取到的生物体征数据。这些数据的用途包括:用来授权使用各种银行服务(比如网上银行);进行在线欺诈交易;也可以将这些生物体征数据在黑市出售,如下图所示:

  除此之外,针对脸部识别技术的破解也在进行中。当前比较主流的方案是,从受害人的社交网络中找张照片,然后将这张脸作为面具戴到攻击者的脸上,以此来欺骗ATM即的脸部识别系统。据说地下市场正在开发这套方案的移动应用。

  更多潜在攻击手法

  卡巴斯基实验室针对当前ATM机应用的生物识别技术,认为其攻击方式实际还可以从网络层面入手。比如说并不直接针对ATM机,而是看准生物体征数据库——这个数据库存储着所有用户的生物体征数据。

  攻击方法基本也是社工:首先调查银行选择的维护支持方,也就是维护数据库的第三方,向其内部员工发起钓鱼邮件。如果说维护这个体征数据库的第三方企业员工打开了这封邮件,攻击者就能利用恶意程序来获取到管理员身份凭证;或者说利用漏洞进行提权操作,获取数据库管理员凭证。通过上传恶意程序的方式,攻击者就能从数据库中盗取生物识别数据。大致的攻击方案如下图所示:

  在攻击提权阶段,攻击者还能在ATM管理员主机上找到远程管理工具——这些工具是针对ATM机进行远程操作的。由于这些ATM管理员主机已经被攻陷,利用其上的远程管理工具,可以直接向ATM机上传恶意程序,感染XFS Manager中间件,然后和吐钞部件直接交互,就能吐出现金了。

  这究竟有多恐怖?

  应该说,如果黑客只是贪图ATM机中的那些现金,即便存在损失,这样的损失也在可控范围内。可是如果针对的是生物体征数据,想一想,你的指纹在黑市上被人出售,这是多么恐怖的一件事!

  生物体征数据具有唯一性,而且恒定不变、不可抛弃,这是其最大特色。生物识别的确在某种程度上加强了安全性,而且关键是很方便。但这种方案有个问题,生物体征数据用得越多,被盗的可能性也越大。

  实际上,如今的生物体征数据是记录在e-passports(电子通行证)之上的。一旦这个e-passports被盗,则意味着生物体征数据被盗,这种识别方案宣告永久失效。它不像PIN之类的方案,一旦被窃,用户还可以通知用户进行修改。这才是现如今生物识别技术发展的最可怕之处。

   卡巴斯基的这篇题为《针对ATM通讯和认证系统的未来攻击场景》报告,比较详细地叙述了当代ATM机的各种弱点和针对这些弱点的攻击思路,比如说针对NFC近场通讯技术的,还有ATM机内部的一些缺陷,有兴趣的同学可前往阅读完整版报告。

关键字:卡巴斯基  指纹识别  ATM  安全

编辑:鲁迪 引用地址:http://www.eeworld.com.cn/afdz/article_201611049933.html
本网站转载的所有的文章、图片、音频视频文件等资料的版权归版权所有人所有,本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如果本网所选内容的文章作者及编辑认为其作品不宜公开自由传播,或不应无偿使用,请及时通过电子邮件或电话通知我们,以迅速采取适当措施,避免给双方造成不必要的经济损失。

上一篇:盘点2016北京安博会,智能安防创新闪耀(下)
下一篇:2016最深度的安防市场情况分析报告!

关注eeworld公众号 快捷获取更多信息
关注eeworld公众号
快捷获取更多信息
关注eeworld服务号 享受更多官方福利
关注eeworld服务号
享受更多官方福利

推荐阅读

卡巴斯基调查:2017年四分之一手机遭恶意攻击

  根据俄罗斯卡巴斯基实验室的调查结果,2017年,每4个人手机用户就有一个遭受过恶意软件的攻击和劫持,目前他们已经发现超过23中不同类型的专门针对安卓用户的恶意软件。下面就随手机便携小编一起来了解一下相关内容吧。  而在这些被恶意软件攻击的案例中,卡巴斯基的研究人员发现有超过120万人是因为点击了手机上的成人内容小广告或者安装了相关的应用程序导致的。   卡巴斯基调查:2017年四分之一手机遭恶意攻击  卡巴斯基的专家表示,犯罪分子越来越“利用色情作为诱惑”,以病毒或恶意软件感染受害者的设备,或者作为勒索钱财的一种方式。  研究发现,最多的一种恶意软件是利用虚假色情小广告吸引用户下载应用程序,感染此类病毒后,手机网
发表于 2018-02-07
卡巴斯基调查:2017年四分之一手机遭恶意攻击

卡巴斯基调查:2017年四分之一手机遭恶意攻击

根据俄罗斯卡巴斯基实验室的调查结果,2017年,每4个人手机用户就有一个遭受过恶意软件的攻击和劫持,目前他们已经发现超过23中不同类型的专门针对安卓用户的恶意软件。而在这些被恶意软件攻击的案例中,卡巴斯基的研究人员发现有超过120万人是因为点击了手机上的成人内容小广告或者安装了相关的应用程序导致的。卡巴斯基的专家表示,犯罪分子越来越“利用色情作为诱惑”,以病毒或恶意软件感染受害者的设备,或者作为勒索钱财的一种方式。研究发现,最多的一种恶意软件是利用虚假色情小广告吸引用户下载应用程序,感染此类病毒后,手机网页被恶意广告劫持,迅速消耗掉手机话费。其次是伪装成色情视频播放器的银行木马程序。而通常的情况是当用户浏览一些引诱性内容时,木马
发表于 2018-02-05
卡巴斯基调查:2017年四分之一手机遭恶意攻击

卡巴斯基遭美方下达永久禁令:怒起诉讨要说法

上周,美国通过2018财年国防授权法案(NDAA),并由总统特朗普签署,其中将封禁卡巴斯基旗下的安全软件正式写入,直接上升到国家高度。对此,卡巴一方面在重新运作自己在北美的业务,即把重心调整为金融领域的企业,同时,巨头也表示,已经就这项点名封杀自己的法案提起诉讼。双方之所以闹得这么僵,是美国国土安全部门雇员RealityWinner的检举揭发,他说卡巴从自己电脑获取了敏感资料并外泄。随后,卡巴承认从扫描中拿到了Winner一些文件资料,但察觉到不对后便立即删除。甚至,卡巴还号称将源码提交给了独立、客观、第三方的机构对比查验,以证明清白,只是依然无法挽回美国方面的信任。与诉讼一同公布的还有卡巴的一封公开信,信中,他们表示,从禁令最早
发表于 2017-12-20
卡巴斯基遭美方下达永久禁令:怒起诉讨要说法

杀毒软件被禁用后 卡巴斯基在美国起诉特朗普政府

网易科技讯 12月19日消息,据路透社报道,俄罗斯安全软件制造商卡巴斯基实验室(Kaspersky Lab)周一表示,已向美国联邦法院提起诉讼,要求推翻特朗普政府禁止在美国政府网络中使用其产品的禁令,称此举剥夺了该公司通过正当程序进行申诉的权利。今年9月份,美国国土安全部发布了一项指令,要求美国行政机构在90天内将卡巴斯基软件从各自网络中移除。此前,美国官员越来越担心,卡巴斯基软件可能会被俄罗斯间谍所利用,并威胁到国家安全。卡巴斯基驳斥了有关该公司易受克里姆林宫影响的指控,多次否认与任何政府有关联,并表示不会帮助政府进行网络间谍活动。周一,该公司创始人尤金·卡巴斯基(Eugene Kaspersky)在一封致美国国土安全部的公开信
发表于 2017-12-19

卡巴斯基从美国电脑上获得疑似NSA黑客工具源代码

  北京时间10月26日上午消息,俄罗斯杀毒软件公司卡巴斯基周三表示,该公司的安全软件从美国的一台PC中获取了一款美国秘密黑客工具的源代码。  今年9月,美国官员下令从政府电脑中删除卡巴斯基的产品,认为该公司可能受到克里姆林宫的影响,使用其软件破坏美国国家安全。  在发布这项声明后,《华尔街日报》于10月5日报道称,效力于俄罗斯政府的黑客似乎在2015年瞄准了美国国家安全局(NSA)的一名员工,通过卡巴斯基的软件找到了一些机密文件。《纽约时报》也在10月10日报道称,以色列黑客入侵卡巴斯基的网络后发现了针对美国的行动。  俄罗斯政府否认参与此事。  为了恢复外界信任,卡巴斯基启动了内部调查。该公司本周三表示,他们是2014年偶然
发表于 2017-10-26
卡巴斯基从美国电脑上获得疑似NSA黑客工具源代码

战斗民族就是剽悍:卡巴斯基创始人推出反间谍手机

    你永远无法想象战斗民族的潜力有多大。20年前卡巴斯基实验室成立,专注于深度威胁情报和安全专业技术;10年前安全公司InfoWatch成立,为企业提供安全综合解决方案。  巧合的是,它们的创始人是同一位传奇女性:NATALIA KASPERSKAYA。  在本周的莫斯科商业论坛上,InfoWatch推出反间谍手机TaigaPhone,售价区间为12000卢布-15000卢布(约合1376元-1720元人民币)。  核心配置方面,TaigaPhone的稍显寒酸:正面搭载一块5英寸1280×720分辨率的屏幕,配备2GB RAM+16GB ROM;前置400万像素、后置800万像素摄像头;电池容量仅为
发表于 2017-09-29
战斗民族就是剽悍:卡巴斯基创始人推出反间谍手机

小广播

About Us 关于我们 客户服务 联系方式 器件索引 网站地图 最新更新 手机版

站点相关: 视频监控 智能卡 防盗报警 智能管理 处理器 传感器 其他技术 综合资讯 安防论坛

北京市海淀区知春路23号集成电路设计园量子银座1305 电话:(010)82350740 邮编:100191

电子工程世界版权所有 京ICP证060456号 京ICP备10001474号 电信业务审批[2006]字第258号函 京公海网安备110108001534 Copyright © 2005-2018 EEWORLD.com.cn, Inc. All rights reserved
pt type="text/javascript" src="//v3.jiathis.com/code/jia.js?uid=2113614" charset="utf-8">