Довольно долгое время было принято считать, что в биометрических средствах защиты... подобного рода универсальные методы взлома невозможны в принципе...Теоретические расчеты показывают, что заранее изготовив 5 разных накладок с отпечатками «мастер-пальцев» и налепив их на пальцы одной перчатки, злоумышленник в такой перчатке получает возможность сходу отпереть любой произвольно выбранный смартфон в 65% случаев...А это, ясное дело, не просто недопустимо высокая, но и чудовищно неприличная вероятность компрометации «надежного средства защиты», предполагавшегося до этого стойким к подобного рода атакам.
...В 20-х числах мая [2017 г.]. Умельцы германского хакерского клуба Chaos Computer Club...опубликовали официальный пресс-релиз, известивший мир об успешном взломе новейшей системы опознания по радужке глаза, защищающей доступ к смартфонам Samsung Galaxy S8.
Ниже есть продолжение.
Хотя корпорация-изготовитель, как это заведено, широко известила публику о внедрении новейших технологий для надежной биометрической защиты аппарата и данных, ничего даже отдаленно похожего на посулы тут не получилось – как обычно. Грамотного подсовывания не глаза законного владельца, а его фотографии (плюс чуть-чуть других недорогих хакерских хитростей) оказалось вполне достаточно, чтобы обмануть и эту «новейшую систему».https://kiwibyrd.org/2017/06/14/1762/
Хакер Starbug, от лица CCC [Chaos Computer Club] ныне устроивший наглядную компрометацию Samsung Galaxy S8, личность в этом сообществе весьма известная. В прежние годы он же многократно демонстрировал, сколь легко и просто обманываются «фальшивыми пальцами» любые биометрические сканеры на основе дактилоскопии. Хваленый датчик защиты Touch ID в смартфонах Apple iPhone, к примеру, Starbug скомпрометировал в первый же день массовых продаж аппарата.
Из такого рода новостей, которые в области биометрии появляются регулярно и практически синхронно с выводом всякой очередной «новинки технологий», должно быть понятно, как минимум, одно – самое важное. Просто биометрические датчики сами по себе как средство защиты заведомо не способны предоставить адекватно сильную замену привычным паролям.
Более того, в каком-то смысле биометрия по сути своей является защитой более слабой. Потому что пароль вы можете делать любой длины и сложности, по собственному выбору. А самое главное, при необходимости пароль всегда можно сменить. С отпечатками пальцев, ирисом глаз, вашим лицом и голосом подобные штуки не прокатывают совершенно. И если вашу биометрию хотя бы даже в принципе могут похитить жулики, то надеяться на защиту биометрических замков – дело безнадежное.
...
...помимо наиболее очевидных, перечисленных выше биометрических данных, во множестве существуют еще и другие данные – куда менее очевидные, но также индивидуально присущие всякой человеческой особи.
Такого рода набор характеристик принято именовать «поведенческая биометрия» или кратко BB – от Behavioral Biometrics. Тщательная работа именно с этой BB как раз и выступает ныне в качестве наиболее перспективного направления для развития средств защиты доступа и информации...
С подачи DARPA, американского агентства передовых исследований, этот класс новаторских подходов к опознанию с некоторых пор называют «активная аутентификация» или кратко АА. В качестве же наглядной и весьма подходящей метафоры для этой идеи нередко приводят сравнение с собакой:
Мой ключ от квартиры позволит вам войти в мой дом. Однако пес, живущий у меня в гостиной, отлично знает, что вы – это не я. Ни предъявление других ключей из той же связки и никакие слова о том, будто вы это я, не убедят мою собаку, что вы являетесь тем, за кого хотите себя выдать. Мой пес знает, что вы не выглядите как я, не пахнете как я, и не делаете того, что делаю я. Так вот, направление АА нацелено на то, чтобы отыскать такие вещи, которые являются сугубо уникальными именно для каждого конкретного человека.
То есть речь идет о поиске таких концепций и моделей «поведенческого анализа», которые позволяют компьютерам самостоятельно распознавать своих пользователей по тем видам активности, которые сугубо индивидуальны для обычной деятельности всякого отдельно взятого человека.
Конечно же, новые методы поведенческого анализа вполне могут, среди прочего, опираться и на давно уже освоенные биометрические технологии – типа распознавания лица, голоса или радужки глаз. Однако помимо данных аспектов – и это главное – особый упор делается на то, чтобы эффективно фиксировать сугубо поведенческие атрибуты человека и всячески избегать добавления в компьютер дополнительных сенсоров.
Иначе говоря, новые программы аутентификации, работающие в фоновом режиме почти без потребления энергии компьютера, уже сегодня умеют отличать законного владельца от непрошеного гостя по таким вещам, как характерные для конкретного человека микросекундные промежутки времени между нажатиями определенных кнопок клавиатуры. Или особенности движений пальцев при работе с мышкой, экраном, тачпадом и прочими манипуляторами. Или специфические последовательности кликов-тапов при работе с браузером в интернете.
...Описанные выше идеи активно разрабатываются и внедряются на рынке уже не менее пяти лет, но пока что в основном для защиты систем крупных-богатых корпораций, банковских структур и серьезных правительственных департаментов...
Есть основания говорить, что практически у всех этих фирм принципиально новый подход к опознанию законного хозяина устройства сосредоточен на идее о том, что система защиты постоянно собирает и анализирует «то, что она может наблюдать, ничего не требуя от людей». Возвращаясь еще раз к наглядной метафоре сторожевого пса в гостиной, уже можно говорить, что ныне смартфон со средствами АА, по сути дела, и становится такого рода «цифровой собакой».
Однако во всей этой новой красивой картине, впрочем, все еще остается одна весьма и весьма серьезная проблема. Когда мы говорим про «пса в гостиной», никто ведь толком не знает, как именно живая собака хранит известную ей информацию для опознания своего хозяина. И соответственно, никто не может эту информацию у собаки похитить для обмана и мошенничества. С компьютерами же, ясное дело, все существенно иначе.
Разработчики систем АА/BB с самого начала прекрасно понимали, что стремиться надо к такой технологии, которая хотя и позволяет компьютеру постоянно следить за пользователем, но в то же время не дает возможности похищать собираемую информацию и подделывать обрабатывающие их алгоритмы.
...а сегодня уже можно констатировать, что решение такое действительно имеется. И называется оно «искусственный интеллект» или кратко ИИ на основе нейросетей...
Ситуация с самообучающимися системами ИИ такова, что ныне, когда особо продвинутые или «глубокие нейросети» DNN (от deep neural networks) уже превосходят человека не только при игре в шахматы, в го или в покер, но и в управлении автомобилями и самолетами, разработчики всех этих систем вынуждены признать, что они совершенно не понимают, как именно это происходит…
В глобальном смысле, с точки зрения «экзистенциального противостояния интеллектов» человека и компьютера, быстро самообучающиеся ИИ – это, конечно же, очень и очень большая проблема, как решать которую пока что никто понятия не имеет. Ну а рассуждая локально и конкретно, применительно к системам «поведенческой биометрии» для защиты доступа, эту примечательную особенность нейросетей уже весьма энергично берут на вооружение.
Буквально только что, в мае 2017, крупная транснациональная корпорация Nuance Communications, наиболее известная системами распознавания речи, выпустила новый многорежимный комплект «биометрических решений безопасности» на основе системы искусственного интеллекта. В комплект вошли базовые биометрические технологии типа распознавания голоса и лица, а также широкий набор поведенческой биометрии.
Дополнительно сообщается, что этот комплекс, носящий название Nuance Security Suite, применяет в своей работе глубокие нейросети DNN и продвинутые алгоритмы для выявления атак типа синтезированной речи, а также интегрирует лицевую и поведенческую биометрию для продвинутого выявления мошенничества со спуфингом по множеству разных каналов.
Продвинутые средства защиты от Nuance Security Suite, ясное дело, весьма и весьма недешевы, так что применяют их в основном крупные структуры – вроде Налоговой службы Австралии, банков Barclays, ING Netherlands, Tatra Banka, компаний связи Turkcell и Vodacom South Africa, ну и так далее.
Но коль скоро абсолютно любая инфотехнология со временем только дешевеет, вполне естественно прогнозировать, что совсем скоро примерно то же самое появится и в массовой бытовой электронике. Более того, начало этого масштабного процесса уже можно наблюдать сегодня.