IFA 2015: безопасность в тренде

Новости

Выставка потребительской электроники IFA 2015 показала, что производители теперь не столько гонятся за тактико-техническими характеристиками гаджетов, сколько пытаются внедрить новые сценарии их использования.

IFA 2015: безопасность в тренде

Главный тренд — это, пожалуй, повсеместная интеграция человека и машины. Прямо в ходе пресс-конференции «Лаборатории Касперского» на глазах у изумленной публики вживили в тело чип: это сейчас мы носим на себе всякие браслеты со встроенными датчиками, а через пару лет микросхема под кожей будет чем-то самим собой разумеющимся.

«Интернет вещей», который только-только начинает зарождаться, уже станет «Всеобъемлющим Интернетом», в котором каждое живое существо будет таким же полноправным членом, как утюг или холодильник.

Впрочем, от подобных перспектив становится немного жутковато, особенно если вы в свое время начитались романов-антиутопий и насмотрелись разных «Матриц». Пока существующие решения нельзя назвать безопасными: в них имеется достаточное количество уязвимостей, которые взломщики могут использовать для того, чтобы выдать себя за кого-то другого.

IFA 2015: безопасность в тренде

Райнер Бок — третий «киборг» в «Лаборатории Касперского»

В частности, данные, хранящиеся в чипе, можно защитить при помощи… всего-навсего четырехзначного PIN-кода, который легко взламывается; для более стойкой защиты само «железо» этих вживляемых чипов не подходит из-за очень скромной производительности (напомним, что даже памяти для хранения данных — всего 880 байт).

Впрочем, лучше всего данные в чипе сохраняет сам человек — в том смысле, что радиус чтения составляет 5 см, поэтому хакеру нужно подобраться достаточно близко к обладателю «биомеханики». Но это только пока — если чипы станут массовыми, то одна поездка на метро сможет принести злоумышленнику неплохой урожай идентификационных данных.

Производители смартфонов тем временем освоили установку в них сканеров отпечатков пальцев: эта идея явно увлекает всех игроков рынка, и биометрические сенсоры теперь появляются даже в моделях средней ценовой категории и у брендов «второго эшелона» вроде, скажем, китайской ZTE.

Потихоньку начинает проясняться предназначение этих модулей: раньше они были нужны для беспарольной аутентификации при разблокировке смартфона, и толку от них было не очень много. После нескольких безуспешных попыток (а с датчиками первых поколений одно срабатывание из десяти — обычное дело) аутентификации все равно в конечном итоге запрашивался пароль. То есть в плане безопасности ничем от парольной защиты этот способ не отличался, а больше применений и не было: получалась такая своего рода игрушка.

Потом Apple расшевелила болото, представив так и не взлетевшую пока систему Apple Pay, а заодно наконец-то нормально работающий датчик, с помощью которого и осуществлялась аутентификация в платежной системе.

Сейчас производители изобретают новые применения дактилоскопическому датчику. У Huawei в Mate S это, например, еще и миниатюрная тач-панель для скроллинга картинок и ответов на звонки. А Sony реализовала аутентификацию по пальцу с помощью нового ультразвукового сенсора Qualcomm SenseID, о котором мы рассказывали в репортаже с MWC, а также добавила поддержку сервисов Fido.

Нет, речь не о FidoNet, а о FIDO Alliance — консорциуме компаний, разрабатывающих единую среду беспарольной аутентификации для платежей, входа на сайты и вообще всех действий, для которых требуется цифровое «удостоверение личности».

FIDO использует беспарольный протокол UAF (Universal Authentification Framework), который работает очень простым образом. При регистрации вместо пароля создается привязка к устройству, а локально на нем реализуется тот или иной механизм биометрической аутентификации — по отпечатку пальца, по лицу перед камерой, по фразе, произнесенной в микрофон, и так далее.

Кроме того, для безопасности можно комбинировать все способы аутентификации, поскольку подделать все идентификаторы одновременно злоумышленнику будет очень сложно.

Также в FIDO реализован механизм двухфакторной аутентификации U2X — здесь для входа используется простой четырехзначный PIN-код, но дополнительно требуется предъявление аппаратного модуля шифрования.

Это позволяет, в частности, «отвязаться» от одного устройства, а иметь при себе лишь ключ, который может быть реализован, например, в виде USB-донгла. А для мобильных устройств — в виде NFC-метки. И вот тут-то мы снова возвращаемся к вживляемому в руку чипу, который как раз и мог бы играть роль такой метки.

Далее все как обычно: создается пара ключей — частный и публичный. Первый хранится на смартфоне локально и никуда не передается, второй передается при запросе авторизации в случае совпадения условий по идентификации пользователя. Все, больше никаких паролей!

Вроде ничего нового, но роль FIDO Alliance — в стандартизации, то есть выработке единого стандарта, который будут поддерживать все производители. Сейчас в альянс входит более 200 компаний, включая Visa, MasterCard, PayPal, Google, Microsoft, так что есть неплохие шансы, что будущее именно за этим стандартом.