여러 개의 동시 생체 인식 센서가 장치에 대한 보안을 깨뜨릴 수 있습니까?

이 기사 는 Image Ware의 CEO를 인용합니다.

Miller에 따르면 [솔루션]은 다중 모드 생체 인식으로, 잘못된 사람이 컴퓨터 시스템에 액세스하는 것은 사실상 불가능하다고 주장합니다.

그의 회사는 기존 하드웨어 및 플랫폼을 사용하여 물리적 기능 인식 알고리즘 (손가락, 손바닥, 손 및 지문, 얼굴, 눈, 홍채)을 오늘날의 모바일 장치에서 발견되는 일반적인 생체 인식 데이터 센서를 사용하는 다른 알고리즘과 연결합니다.

내 직감은 그가 어떻게 든 이것을 과장했다는 것입니다. 그러나 왜이 고리가 진실이 아닌지에 손가락을 넣을 수는 없습니다. 다중 센서 접근 방식이 실제로 효과적이라면 지금까지 이러한 전략을위한 하드웨어와 소프트웨어를 볼 수있을 것 같습니다.

다양한 센서의 IoT 네트워크가 효율적이고 효과적인 보안 전략이 될 수 있습니까? (멀티 센서 접근이 효과적입니까?)

함정은 무엇입니까?

— grldsndrs
소스

답변:

에 대한 기술적 해답 은이 보안이 깨지지 않습니까? "아니오"입니다. 주요 이유는 생체 속성이 비밀이 아니기 때문입니다. 지문 이나 얼굴 이미지 와 같이 일부는 쉽게 복제 됩니다. 일부는 홍채 처럼 스푸핑하기가 더 어렵습니다 . 그러나 생체 속성이 캡처되면 재생할 수 있습니다. 그리고 생체 속성이 고정되어 있습니다. 사용자의 속성이 복사 된 경우 사용자에게 "위반이 발생하여 조리개를 변경했습니다"라고 말할 수 없습니다.

일반 도둑이 모든 생체 인식 센서를 동시에 스푸핑 할 가능성은 거의 없습니다. 그러나 정교하고 정교한 공격자가 그러한 위업을 설계하는 것은 불가능하지 않습니다.

센서 스푸핑 외에도 센서에서 방출 된 데이터를 사용하여 재생 공격을 수행 할 수 있습니다. 그러나 이는 구현에 따라 다르며 회사는 이러한 유형의 공격에 대비하여 장치의 보안을 설계해야합니다.

IoT 접근 방식이 통합 솔루션보다 더 나쁜 보안을 제공 할 수있는 곳입니다. 센서가 서로 관련이없는 경우 공격자는 의심하지 않고 한 번에 한 장치를 손상시킬 수 있습니다. 공격자는 완벽해질 때까지 가짜 구미 곰 지문을 사용하여 연습 한 다음, 이미지를 사용하여 이미지 센서를 속이기 위해 가짜 지문을 사용합니다. 모든 속성이 동시에 존재하도록 통합 센서를 설계 할 수 있습니다. IoT 접근 방식은 시스템 간 격차로 인해 취약점이 발생하여 단편적인 방식으로 구현 될 수 있습니다.

실제로이 방법은 여전히 매우 안전하고 간단한 암호 또는 단일 생체 측정보다 보안이 더 좋습니다.

— 존 디 터스
소스

그러한 전략을 구현하는 데 필요한 자본이 그러한 전략을 이길 수있는 자본과 유리하게 비교 되는가?

— grldsndrs

손실 위험을 먼저 고려해야하고 다단계 생체 인식 전략을 구현하는 데 필요한 자본과 덜 안전 할 수있는 다른 전략을 구현하는 데 필요한 자본을 비교해야합니다. 250,000 달러의 자산을 보호하기 위해 25,000 달러를 소비하지는 않지만 5,000 달러를 소비 할 수 있습니다. 자산이 $ 10,000,000 인 경우 자산을 보호하기 위해 더 많은 비용을 기꺼이 지출 할 것입니다. 그러나이 경우 보안 예산을 여분의 보안 시스템 대신 더 나은 보험 적용 범위에 사용하도록 선택할 수 있습니다.

— John Deters

사용 편의성을 고려하십시오. 합법적 인 사용자의 운영 보안은 거의 항상 가장 약한 링크입니다. 사용자는 사용하기 어려운 시스템에 대한 해결 방법을 만들 것입니다. 생체 인식 시스템은 일반적으로 쉽습니다. 지문 인식기를 만지고 카메라를 봅니다. 사용하기 쉬운 시스템은 규정 준수 수준이 높아 지므로보다 일관된 보안이 유지됩니다. 지문과 이미지는 복잡한 암호보다 더 나은 보안을 제공 할 수 있습니다.

— John Deters

생체 정보가 비밀이 아닌 복사 가능하고 변경 불가능하지만 잠재적으로 파괴 가능하다는 중요한 점. 생체 인식을 복사하는 것이 어려워 보이지만 지난 몇 년 동안 3D 인쇄가 어떻게 바뀌 었는지 생각해보십시오.

— Sean Houlihane

@ grldsndrs, 그것은 특정 생체 인식을 스푸핑하는 비용에 관한 것이 아닙니다. 사람들이 반복하고 혁신함에 따라 항상 비용이 내려갑니다. 누군가가 라텍스 대신 젤라틴을 사용하고 인쇄 회로 기판에서 지문을 에칭하여 곰팡이로 사용하려고 할 때 가짜 지문이 점점 더 쉽고 저렴 해졌습니다. 홍채 스캐너를 바보로 만드는 것은 오늘날 $ 1000의 비용이들 수 있지만 홍채 스캐너가 어디에나있는 경우 누군가가 레이저 프린터와 투명 필름으로 재료를 $ 0.50에 구매하는 방법을 알아낼 것입니다.

— John Deters

첫째, "다양한 센서의 IoT 네트워크"가 아니라 모바일 장치 보안에 관한 것으로 보였지만 여전히 교훈을 얻을 수있을 것입니다.

모바일 장치와 달리 센서의 "IoT 네트워크"는 센서가 모두 같은 위치에 있지 않다는 것을 암시하는 경향이 있으므로 사용자는 모든 센서를 한 번에 판단 할 자격이 없습니다. 이것은 시스템이 사용자의 진정성에 대해 매우 잠정적이어야 함을 의미합니다.

당신은 Joe처럼 걸어 가서 Joe의 암호를 알고 있습니다. 아마도 당신은 Joe 일 것입니다. Joe가 아닌 것으로 의심하기 시작하지 않으면 Joe의 덜 중요한 일을하도록하겠습니다. 여기에 이것을하고 저기에 가서 쳐다보고 다음 문구를 반복하십시오.

그러나 비판적으로, 그리고 모바일 장치의 경우와 마찬가지로, 이러한 방식 은 정문만을 보호합니다 . 적어도 세 가지 다른 유형의 취약점 에 대한 보호 기능은 없습니다 .

최신 시스템에 대한 많은 악용은 악의적 인 사용자가 아니라 네트워크, USB 스틱 등을 통해 원치 않는 트래픽 또는 사용자가 원하는 것을 따라 잡는 원하지 않는 페이로드 등을 통해 제공되는 악의적 인 데이터에서 비롯됩니다. 일반적으로 이러한 데이터는 설계에서 보안 실패 (익명하지 않은 선택적인 기능 (Windows 자동 실행 파일) 또는 버퍼 오버플로와 같은 전형적인 실수 코드 오류 코드)를 이용합니다.
IoT 시스템과 휴대폰은 모두 네트워크 서버와 긴밀하게 통합되는 경향이 있으며, 후자는 종종 동일한 데이터 또는 모바일 시스템의 보안이 보호하려는 기능에 대한 높은 수준의 액세스를 제공합니다. 서버 인프라에 알려지지 않은 엔드 투 엔드 암호화 및 인증 토큰과 같은 부재 , 서버 인프라 의 성공적인 공격 또는 오용은 종종 장치의 보안을 우회 할 수있는 것의 대부분을 달성 할 수 있습니다.
모바일 시스템보다 훨씬 많은 IoT 시스템은 물리적 공격에 상당히 취약 할 수 있습니다. 전화는 JTAG 디버거를 사용하여 사용자의 데이터를 암호화하는 데 사용되는 키를 보호하기 위해 시도 할 수 있지만 IoT 시스템이 로컬 에 보유 하는 것은 다양한 작업을 수행하는 능력만큼 많은 데이터가 아닌 경우가 많습니다. IoT 장치의 컴퓨터 부분을 얼마나 안전하게 보호하는지 로컬 공격자에게 중요하지 않습니다. 단순히 덮개를 튀어 나와 클립 리드를 사용하여 출력 릴레이를 활성화하거나 그 문제로 인해 전선이 끊어 질 수 있다면 액츄에이터를 자신의 배터리에 접촉시킵니다. 또는 공격자가 IoT 장치의 센서 사이트 (열 센서 아래에 캔들, 습기에 젖은 스폰지 등)에서 잘못된 조건을 생성하여 업 링크 또는 잘못된 판독 값에 작용할 수 있습니다.

— 크리스 스트래튼
소스