روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ به دلیل نشتی‌های انبوه پسورد، فراموشکاری کاربر و سایر زمینه‌های مشکل‌ساز امنیت اطلاعات مدرن، راه‌های جایگزین لاگین به سیستم‌ها و نرم‌افزارهای سازمانی در حال افزایش هستند. جدا از اپ‌های احرازگر آشنا و کارت‌های مختلف بدون کانتکت و توکن‌های یواس‌بی، احراز هویت بیومتریک مبتنی بر اثر انگشت انتخاب محبوبی است- خصوصاً چون کیبورد‌های لپ‌تاپ این روزها اغلب می‌توانند مجهز به اسکنرهای درون‌سازه‌ای باشند. این متود در نگاه اول به نسبت قابل اطمینان می‌آید اما گزارش اخیر توسط Blackwing Intelligence نشان داده این اظهارات می‌تواند شک‌برانگیز هم باشد. نویسندگان تصمیم داشتند سیستم احراز هویت بیومتریک را هک کرده با استفاده از Windows Hello روی لپ‌تاپ‌های Dell Inspiron 15 و Lenovo ThinkPad T14 و نیز با استفاده از  Microsoft Surface Pro Type Cover مجهز به کیبورد آی‌دی اثر انگشت برای تبلت‌های  Surface Pro 8 و Surface Pro X لاگین کنند. بیاید نگاهی به یافته‌های این گزارش بیاندازیم و ببینیم آیا باید استراتژی دفاع سایبری را آپدیت کنیم یا نه. با ما همراه باشید.

آناتومیِ هک

ابتدا اینکه باید اشاره کنیم این یک هک سخت‌افزاری بود. محققین باید تا حدی هر سه دستگاه را باز می‌کردند، حسگرها را از درگاه یو‌اس‌بی داخلی جدا کرده و آن‌ها را از طریق  Raspberry PI 4  که حمله مرد میانی را پیش برده بود به پورت‌های خارجی یو‌اس‌بی وصل می‌کردند. این حمله از این حقیقت سوءاستفاده می‌کرده که همه تراشه‌های تأییدشده برای Windows Hello باید مستقلاً در مموری روی تراشه پایگاه داده اثر انگشت را ذخیره کنند.

هیچ اثر انگشتی هرگز به خود کامپیوتر منتقل نمی‌شود- فقط حکم‌های امضا شده به صورت رمزنگاری مانند «کاربر x با موفقیت تأییدیه را رد کرد» می‌توانند در این امر کمک‌کننده باشند. افزون بر این، پروتکل و تراشه‌ها خود از ذخیره اثر انگشت‌های چندگانه برای کاربران مختلف حمایت می‌کنند. محققین توانستند اسپوف را انجام دهند هرچند حملات بسته به مدل لپ‌تاپ تغییر می‌کردند. آن‌ها آثار انگشت اضافی را روی تراشه آپلود کردند –آثار انگشتی که ادعا می‌شد برای کاربر جدید است- اما نتوانستند تبادل داده را با کامپیوتر دستکاری کنند تا اطلاعات مربوط به تأییدیه موفق کاربر جدید به آی‌دی مورد قدیمی وصل شود.

دلیل اصلی موفقیت این جعل یا اسپوف این بود که همه دستگاه‌های تأییدشده تا حدی از پروتکل SDCP که مایکروسافت مشخصاً برای جلوگیری از این نوع حملات توسعه داده بود منحرف می‌شدند. این پروتکل بسیاری از سناروهای شایع حمله را از اسپوف داده تا بازپخش تبادل داده بین سیستم عامل و تراشه را وقتی کاربر سرکامپیوتر نیست در نظر می‌گیرد. هک پیاده‌سازی سیستم امنیت روی برند دل (اسکنر اثرانگشت Goodix) به دلیل این حقیقت که درایور لینوکس از SDCP حمایت نمی‌کند، تراشه دو پایگاه داده مختلف را برای ویندوز و لینوکس ذخیره می‌کند و اطلاعات در مورد انتخاب پایگاه داده بدون رمزگذاری انتقال داده می‌شود با موفقیت انجام و صحت آن نیز تأیید شد. لنوو (تراشه Synaptics) به جای SDCP از رمزگذاری مخصوص به خودش استفاده می‌کند و نویسندگان تصمیم گرفتند به مکانیزم کلیدی تولید پی برده و پروتکل تبادل را رمزگشایی کنند. جای تعجب دارد که کیبورد مایکروسافت (تراشه ELAN) اصلاً از SDCP استفاده نمی‌کند و رمزگذاری استاندارد مایکروسافت به سادگی وجود ندارد.

دریافت‌های اصلی

جلوی هک‌های سخت‌افزاری را سخت می‌شود  گرفت و در عین حال به طور مساوی سخت هم می‌توانند اجرا شوند. این کیس فقط درج فلش درایو یواس‌بی به کامپیوتر در عرض یک دقیقه نیست؛ برای اسمبل کردن و باز کردن لپ تاپ هدف کلی مهارت و دقت لازم است و در دوره دسترسی غیرقانونی، دستکاری‌های کامپیوتر واضح و آشکارند. به بیانی دیگر، حمله نباید طوری انجام شود که توجه‌ها به آن جلب نشود و ممکن نیست دستگاه به پیش از اتمام هک به دست کاربر اصلی برسد و دستگاه همچنین به فرم اورجینال خودش برنمی‌گردد. در نتیجه اول از همه کامپیوترهای کارمندان شرکت که مزیت‌های بالا دارند یا داده‌های ارزشمندی نگه می‌دارند در خطرند و بعد نوبت می‌رسد به آن دسته از کارمندانی که دورکاری می‌کنند.

برای کاهش دادن ریسک این گروه‌های کاربری:

•         بیومتریک را تنها عامل احراز هویت قرار ندهید. آن را با رمز عبور، برنامه احراز هویت یا رمز USB تکمیل کنید. در صورت لزوم، می توانید این فاکتورهای احراز هویت را به روش های مختلف ترکیب کنید. یک خط‌مشی کاربرپسند ممکن است نیاز به رمز عبور و بیومتریک در شروع کار (پس از بیدار شدن از حالت خواب یا راه‌اندازی اولیه) داشته باشد و سپس فقط بیومتریک در طول روز کاری انجام شود.
•         از اسکنرهای بیومتریک خارجی که تحت بازرسی امنیتی عمیق قرار گرفته‌اند استفاده نید.
•         اقدامات امنیتی فیزیکی برای جلوگیری از باز شدن یا برداشتن لپ‌تاپ‌ها از مکان‌های تعیین‌شده انجام دهید؛
•         همه موارد فوق را با رمزگذاری فول دیسک و آخرین نسخه های UEFI با فعال شدن عملکردهای راه اندازی ایمن ترکیب کنید.

در نهایت، به یاد داشته باشید که اگرچه اسکنرهای بیومتریک کامل نیستند، هک کردن آنها بسیار دشوارتر از استخراج رمز عبور از کارمندان است. بنابراین حتی اگر بیومتریک راهکار بهینه برای شرکت شما نباشد، دلیلی وجود ندارد که خود را فقط به رمز عبور محدود کنید.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.