Надежна ли биометрия на ноутбуках?

Массовые утечки паролей, забывчивость пользователей и другие сложности современной ИБ приводят к росту популярности альтернативных способов входа в систему и корпоративное ПО. Кроме уже привычных приложений-аутентификаторов и различных бесконтактных карточек и USB-токенов, часто выбирают вариант биометрической аутентификации при помощи отпечатка пальца, благо сканеры часто встраивают прямо в клавиатуру ноутбуков.

Этот способ выглядит достаточно надежным, а также устойчивым к недостаткам пользователя, который то и дело теряет токены и забывает пароли. Впрочем, тезис о надежности не столь однозначен, особенно с учетом недавнего исследования компании Blackwing intelligence. Его авторы смогли взломать систему биометрической проверки и войти в Windows через Windows hello на ноутбуках Dell Inspiron 15, Lenovo ThinkPad T14, а также используя подключаемую клавиатуру Microsoft Surface Pro Type Cover with Fingerprint ID для планшетных компьютеров Surface Pro 8 и Surface Pro X. Как учесть их находки в своей стратегии защиты?

Суть взлома

Сразу скажем, что взлом был аппаратным. Исследователям пришлось частично разобрать все три устройства, отключить сенсор от внутренней шины USB и подключить к внешнему USB-порту через «прокладку», а именно компьютер Raspberry PI 4, который осуществлял атаку «человек посередине». Атака основана на том, что все чипы, удовлетворяющие требованиям сертификации Windows Hello, должны хранить базу отпечатков самостоятельно, во встроенной памяти микросхемы. На компьютер никогда не передаются отпечатки, а только криптографически подписанные вердикты вида «пользователь Х успешно прошел проверку». При этом протокол и сами чипы поддерживают хранение многих отпечатков для разных пользователей.

Исследователям успешно удалось совершить подмену, хотя для разных моделей потребовались вариации атаки. Они записали на чип дополнительные отпечатки якобы для нового пользователя, но смогли модифицировать обмен данными с компьютером таким образом, чтобы информация об успешной проверке нового пользователя уходила с идентификатором старого.

Главная причина того, что подмена стала возможна — все проверенные устройства в той или иной мере отступают от протокола Secure Device Connection Protocol (SDCP), разработанного Microsoft как раз для предотвращения подобных атак. Протокол учитывает многие распространенные сценарии атак — от подмены данных до воспроизведения обмена информацией между ОС и чипом в момент, когда пользователя нет за компьютером (replay attack). Взломать реализацию на Dell (сканер отпечатков Goodix) удалось благодаря тому, что Linux-драйвер не поддерживает SDCP, на чипе хранятся две отдельные базы для Windows и Linux, а информация о выборе нужной базы передается без шифрования. В Lenovo (чип Synaptics) вместо SDCP используется собственное шифрование, и авторам удалось разобраться с генерацией ключа и расшифровать протокол обмена. Внезапно и удивительно, но в клавиатуре Microsoft (чип ELAN) SDCP вообще не используется и шифрования по стандарту Microsoft просто нет.

Главные выводы

С одной стороны, аппаратные взломы сложно предотвратить, но с другой — и выполнить тоже весьма непросто. В данном случае речь не идет о USB-флешке, которую надо на минутку вставить в компьютер, — требуется квалифицированная работа по сборке-разборке ноутбука, и все время несанкционированного доступа к компьютеру он остается в явно модифицированном виде. То есть атаку нельзя провести незаметно, и вернуть устройство законному пользователю до завершения манипуляций и приведения машины в исходный вид не получится. Соответственно, в зоне риска здесь в первую очередь компьютеры сотрудников, имеющих высокие привилегии или доступ к ценной информации, а также часто работающих дистанционно.

Чтобы снизить риск для этих групп пользователей, можно принять следующие меры:

• не делать биометрию единственным фактором аутентификации. Дополнительно использовать пароль, приложение-аутентификатор или USB-токен. При необходимости эти факторы аутентификации можно комбинировать в разных сочетаниях. Удобная для пользователей политика может требовать пароля и биометрии в начале работы (после выхода из спящего режима и включения компьютера), а в течение рабочего дня дальше требовать лишь биометрию;
• использовать внешние сканеры биометрии, прошедшие глубокий аудит безопасности;
• применять меры физической безопасности, препятствующие вскрытию ноутбуков или их перемещению с регламентированных мест;
• всё перечисленное обязательно должно сочетаться с использованием полнодискового шифрования и современных версий UEFI с активированными функциями безопасной загрузки.

Ну и напоследок напомним, что хотя сканеры биометрии не идеальны, взломать такой сканер существенно сложнее, чем выманить у сотрудника его пароль. Поэтому даже если биометрия не подходит вашей организации, это не повод ограничиваться одними только паролями.