很多安全報告說,生物識別技術會取代密碼����,成為身份認證的主流方案。這件事真的靠譜嗎?早在2014年�����,Chaos Computer Club的安全研究人員Jan Krissler給德國聯邦部長隨便拍了幾張照——那些照片是這位部長在出席某次新聞會議時拍下的���,僅是利用“普通相機”�,Krissler就獲取到了部長同志的指紋�。
他在年末的Chaos Computer Conference大會上表示,從不同的角度拍攝部長的手指,就能構建精確的指紋數據����。隨后在去年的某安全會議上,Krissler又展示了從互聯網照片中獲取虹膜數據的方式����。這不是坑爹嗎?
銀行現階段似乎就看上了生物識別技術,或者叫生物計量技術——將這種技術作為ATM取款的身份認證解決方案據說很安全���,比如說指紋、虹膜�。
過去針對ATM取款機的攻擊技術,主要就集中在ATM Skimmer之上���,我們也曾發布過不少介紹ATM Skimmer的文章��,其奧義就在于偽裝成ATM取款機上的某個硬件部分�,不管是鍵盤還是攝像頭���,以此來獲取卡片信息��。直到后來芯片密碼(chip-and-pin)支付卡出現����,Skimmer進化成了“shimmer”——后者實際上就是增加從卡片芯片中獲取信息的能力。
但顯然專攻ATM的黑客也不是吃素的��,近期他們已經在研究新一代ATM Skimmer了���,完全可以搞定生物識別技術�����。
卡巴斯基實驗室針對ATM機攻擊����,發布了一份30頁的報告�����,里面較多提及黑客對生物識別技術在ATM機上的應用早就躍躍欲試了�。一旦生物識別技術被黑客破解,那帶來的麻煩可不只是用戶的銀行卡密碼被盜這么簡單了���。
生物識別認證技術已經應用到ATM機?
上的TouchID指紋識別按鈕就是典型的生物識別認證方式���。其實在國外�,生物識別認證在銀行解決方案上正逐漸有普及的趨勢�����。生物識別可以是基于形態的��、行為的����,也可以是心理的。現階段比較主流的身份識別技術包括了:虹膜識別��、指紋識別�、掌紋識別����、血管識別、臉部識別�、聲音識別、其他(比如手寫簽名)�����。
國外的某些ATM取款機已經開始將生物體征數據作為多重身份認證的其中一重了(比如說銀行卡+PIN碼+生物識別);另外針對無卡認證方案(或者智能卡片)�����,生物體征數據也用于在線或離線身份認證。
這里的智能卡片離線認證�,也就是在無需連接到銀行的生物體征數據庫,就能對持卡人的身份進行認證��。在此�,生物體征數據(比如說指紋)是儲存在智能卡芯片之上的(所謂的match-on-card技術)。
生物識別身份認證在ATM機上應用的過程
其實在ATM取款設備上引入生物識別技術����,完全是為了增加交易的安全性,或者說進行所謂的“強加密”����。
生物識別認證在ATM機上的應用目前大致上有兩套方案,第一種是有卡生物識別認證�,還有一種是無卡的。針對后一種��,銀行卡用戶需要前往銀行���,首先采集生物體征數據��,比如說指紋——通過某些特定的設備(如果掃描器)來采集���。這些生物體征數據是存儲在數據庫中的(這與iPhone的TouchID將指紋存儲在芯片黑匣子中的方案存在本質卻別)�,ATM機或者其他銀行設備在接受用戶請求的時候�����,首先就需要連接這個數據庫進行認證��。
黑市正在籌備新版Skimmer上市
從卡巴斯基實驗室的這份報告來看(未具名來源信息)�����,目前的地下論壇中已經開始有不少針對生物識別認證技術的活動正在逐步開戰了�。針對上述安全手法,黑客要做的主要就是制造能夠采集用戶生物體征數據的設備����,將這樣的設備以偽裝的形式安裝到ATM機上(甚至制造假的ATM機)���。這從本質上來說��,仍屬于Skimmer形態����。
目前黑市最火的就是指紋識別讀取設備,因為這類設備比較簡單�,且成本較低——地下黑市已經有大約12家制造商已經在試制偽裝的指紋讀取設備,另外還有3家在造掌紋和虹膜識別讀取設備��。之所以指紋識別比較熱���,是因為其他識別設備的難度成本較高���,而且指紋識別是相對更為主流的方案。
首批預售測試的生物識別Skimmer早在去年9月份就已經造出來了�,目前第二批貨預計很快也會抵達歐洲黑市。據說在首批測試中���,開發者們還是發現了不少BUG的�����。主要問題就在于早期的這些生物識別Skimmer采用GSM模塊來傳輸數據���,而生物體征數據量又比較大,所以傳輸起來會很慢��。
部署這種Skimmer的方法和一般的Skimmer是一樣的:首先找一臺目標ATM機����,然后將做好的Skimmer以非常隱蔽的方式覆蓋在ATM機原本進行生物識別的地方����。這樣一來���,攻擊者就能獲取到受害者的生物體征數據�。
如果說用戶的生物體征數據是存儲在EMV芯片銀行卡上的�����,那么攻擊者也有特別的設備能夠從中提取數據——不過需要首先采用社工的方式�,拿到受害者的銀行卡(或者也可以直接偷)。隨后��,攻擊者再利用惡意設備來獲取卡片數據����。如果這張卡用上了防篡改機制,似乎暫時還沒有可從中獲取數據的方案����。
在此��,卡片本身其實是不值錢的,真正值錢的是獲取到的生物體征數據����。這些數據的用途包括:用來授權使用各種銀行服務(比如網上銀行);進行在線欺詐交易;也可以將這些生物體征數據在黑市出售,如下圖所示:
除此之外����,針對臉部識別技術的破解也在進行中。當前比較主流的方案是�,從受害人的社交網絡中找張照片,然后將這張臉作為面具戴到攻擊者的臉上�,以此來欺騙ATM即的臉部識別系統。據說地下市場正在開發這套方案的移動應用���。
更多潛在攻擊手法
卡巴斯基實驗室針對當前ATM機應用的生物識別技術�,認為其攻擊方式實際還可以從網絡層面入手��。比如說并不直接針對ATM機����,而是看準生物體征數據庫——這個數據庫存儲著所有用戶的生物體征數據。
攻擊方法基本也是社工:首先調查銀行選擇的維護支持方��,也就是維護數據庫的第三方�����,向其內部員工發起釣魚郵件。如果說維護這個體征數據庫的第三方企業員工打開了這封郵件����,攻擊者就能利用惡意程序來獲取到管理員身份憑證;或者說利用漏洞進行提權操作,獲取數據庫管理員憑證�����。通過上傳惡意程序的方式���,攻擊者就能從數據庫中盜取生物識別數據����。大致的攻擊方案如下圖所示:
在攻擊提權階段����,攻擊者還能在ATM管理員主機上找到遠程管理工具——這些工具是針對ATM機進行遠程操作的。由于這些ATM管理員主機已經被攻陷����,利用其上的遠程管理工具,可以直接向ATM機上傳惡意程序,感染XFS Manager中間件�����,然后和吐鈔部件直接交互���,就能吐出現金了。
這究竟有多恐怖?
應該說����,如果黑客只是貪圖ATM機中的那些現金,即便存在損失��,這樣的損失也在可控范圍內�。可是如果針對的是生物體征數據���,想一想����,你的指紋在黑市上被人出售����,這是多么恐怖的一件事!
生物體征數據具有唯一性,而且恒定不變、不可拋棄����,這是其最大特色。生物識別的確在某種程度上加強了安全性�,而且關鍵是很方便。但這種方案有個問題��,生物體征數據用得越多���,被盜的可能性也越大����。
實際上��,如今的生物體征數據是記錄在e-passports(電子通行證)之上的�����。一旦這個e-passports被盜���,則意味著生物體征數據被盜����,這種識別方案宣告永久失效。它不像PIN之類的方案��,一旦被竊���,用戶還可以通知用戶進行修改�����。這才是現如今生物識別技術發展的最可怕之處。
卡巴斯基的這篇題為《針對ATM通訊和認證系統的未來攻擊場景》報告����,比較詳細地敘述了當代ATM機的各種弱點和針對這些弱點的攻擊思路,比如說針對NFC近場通訊技術的���,還有ATM機內部的一些缺陷�����,有興趣的同學可前往閱讀完整版報告���。
