روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ به دلیل نشتیهای انبوه پسورد، فراموشکاری کاربر و سایر زمینههای مشکلساز امنیت اطلاعات مدرن، راههای جایگزین لاگین به سیستمها و نرمافزارهای سازمانی در حال افزایش هستند. جدا از اپهای احرازگر آشنا و کارتهای مختلف بدون کانتکت و توکنهای یواسبی، احراز هویت بیومتریک مبتنی بر اثر انگشت انتخاب محبوبی است- خصوصاً چون کیبوردهای لپتاپ این روزها اغلب میتوانند مجهز به اسکنرهای درونسازهای باشند. این متود در نگاه اول به نسبت قابل اطمینان میآید اما گزارش اخیر توسط Blackwing Intelligence نشان داده این اظهارات میتواند شکبرانگیز هم باشد. نویسندگان تصمیم داشتند سیستم احراز هویت بیومتریک را هک کرده با استفاده از Windows Hello روی لپتاپهای Dell Inspiron 15 و Lenovo ThinkPad T14 و نیز با استفاده از Microsoft Surface Pro Type Cover مجهز به کیبورد آیدی اثر انگشت برای تبلتهای Surface Pro 8 و Surface Pro X لاگین کنند. بیاید نگاهی به یافتههای این گزارش بیاندازیم و ببینیم آیا باید استراتژی دفاع سایبری را آپدیت کنیم یا نه. با ما همراه باشید.
آناتومیِ هک
ابتدا اینکه باید اشاره کنیم این یک هک سختافزاری بود. محققین باید تا حدی هر سه دستگاه را باز میکردند، حسگرها را از درگاه یواسبی داخلی جدا کرده و آنها را از طریق Raspberry PI 4 که حمله مرد میانی را پیش برده بود به پورتهای خارجی یواسبی وصل میکردند. این حمله از این حقیقت سوءاستفاده میکرده که همه تراشههای تأییدشده برای Windows Hello باید مستقلاً در مموری روی تراشه پایگاه داده اثر انگشت را ذخیره کنند.
هیچ اثر انگشتی هرگز به خود کامپیوتر منتقل نمیشود- فقط حکمهای امضا شده به صورت رمزنگاری مانند «کاربر x با موفقیت تأییدیه را رد کرد» میتوانند در این امر کمککننده باشند. افزون بر این، پروتکل و تراشهها خود از ذخیره اثر انگشتهای چندگانه برای کاربران مختلف حمایت میکنند. محققین توانستند اسپوف را انجام دهند هرچند حملات بسته به مدل لپتاپ تغییر میکردند. آنها آثار انگشت اضافی را روی تراشه آپلود کردند –آثار انگشتی که ادعا میشد برای کاربر جدید است- اما نتوانستند تبادل داده را با کامپیوتر دستکاری کنند تا اطلاعات مربوط به تأییدیه موفق کاربر جدید به آیدی مورد قدیمی وصل شود.
دلیل اصلی موفقیت این جعل یا اسپوف این بود که همه دستگاههای تأییدشده تا حدی از پروتکل SDCP که مایکروسافت مشخصاً برای جلوگیری از این نوع حملات توسعه داده بود منحرف میشدند. این پروتکل بسیاری از سناروهای شایع حمله را از اسپوف داده تا بازپخش تبادل داده بین سیستم عامل و تراشه را وقتی کاربر سرکامپیوتر نیست در نظر میگیرد. هک پیادهسازی سیستم امنیت روی برند دل (اسکنر اثرانگشت Goodix) به دلیل این حقیقت که درایور لینوکس از SDCP حمایت نمیکند، تراشه دو پایگاه داده مختلف را برای ویندوز و لینوکس ذخیره میکند و اطلاعات در مورد انتخاب پایگاه داده بدون رمزگذاری انتقال داده میشود با موفقیت انجام و صحت آن نیز تأیید شد. لنوو (تراشه Synaptics) به جای SDCP از رمزگذاری مخصوص به خودش استفاده میکند و نویسندگان تصمیم گرفتند به مکانیزم کلیدی تولید پی برده و پروتکل تبادل را رمزگشایی کنند. جای تعجب دارد که کیبورد مایکروسافت (تراشه ELAN) اصلاً از SDCP استفاده نمیکند و رمزگذاری استاندارد مایکروسافت به سادگی وجود ندارد.
دریافتهای اصلی
جلوی هکهای سختافزاری را سخت میشود گرفت و در عین حال به طور مساوی سخت هم میتوانند اجرا شوند. این کیس فقط درج فلش درایو یواسبی به کامپیوتر در عرض یک دقیقه نیست؛ برای اسمبل کردن و باز کردن لپ تاپ هدف کلی مهارت و دقت لازم است و در دوره دسترسی غیرقانونی، دستکاریهای کامپیوتر واضح و آشکارند. به بیانی دیگر، حمله نباید طوری انجام شود که توجهها به آن جلب نشود و ممکن نیست دستگاه به پیش از اتمام هک به دست کاربر اصلی برسد و دستگاه همچنین به فرم اورجینال خودش برنمیگردد. در نتیجه اول از همه کامپیوترهای کارمندان شرکت که مزیتهای بالا دارند یا دادههای ارزشمندی نگه میدارند در خطرند و بعد نوبت میرسد به آن دسته از کارمندانی که دورکاری میکنند.
برای کاهش دادن ریسک این گروههای کاربری:
- بیومتریک را تنها عامل احراز هویت قرار ندهید. آن را با رمز عبور، برنامه احراز هویت یا رمز USB تکمیل کنید. در صورت لزوم، می توانید این فاکتورهای احراز هویت را به روش های مختلف ترکیب کنید. یک خطمشی کاربرپسند ممکن است نیاز به رمز عبور و بیومتریک در شروع کار (پس از بیدار شدن از حالت خواب یا راهاندازی اولیه) داشته باشد و سپس فقط بیومتریک در طول روز کاری انجام شود.
- از اسکنرهای بیومتریک خارجی که تحت بازرسی امنیتی عمیق قرار گرفتهاند استفاده نید.
- اقدامات امنیتی فیزیکی برای جلوگیری از باز شدن یا برداشتن لپتاپها از مکانهای تعیینشده انجام دهید؛
- همه موارد فوق را با رمزگذاری فول دیسک و آخرین نسخه های UEFI با فعال شدن عملکردهای راه اندازی ایمن ترکیب کنید.
در نهایت، به یاد داشته باشید که اگرچه اسکنرهای بیومتریک کامل نیستند، هک کردن آنها بسیار دشوارتر از استخراج رمز عبور از کارمندان است. بنابراین حتی اگر بیومتریک راهکار بهینه برای شرکت شما نباشد، دلیلی وجود ندارد که خود را فقط به رمز عبور محدود کنید.
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
