روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ سازمان‌ها برای بهینه‌سازی کنترل دسترسی و افزودن عامل احراز اصلی یا کمکی برای دسترسی به سیستم داده‌های سازمانی از احراز هویت بیومتریک استفاده می‌کنند. بیومتریک برای این کار فوق‌العاده است: چنین داده‌هایی مانند پسورد نمی‌توانند فراموش یا مانند رمزعبورها نمی‌توانند گم شوند و جعلشان هم کار بسیار سختی است. امنیت دیگر با کارت‌های فراموش‌‌شده یا مفقودی سر و کار ندارد و تیم امنیت آی‌تی هم نیازی ندارد خود را درگیر سیستم‌های OTP کند. با این حال، هنوز موقع ارزیابی چنین پیاده‌سازی‌هایی باید به یک سری «اما و اگرها» توجه داشت:

•         خطرات مربوط به ذخیره و پردازش اطلاعات بیومتریک (در بسیاری از کشورها توسط قانون تنظیم می‌شود).
•         مشکلات عملی مربوط به موارد مثبت و منفی کاذب (به شدت به نوع بیومتریک و ابزار تأیید بستگی دارد).
•         خطرات دور زدن احراز هویت؛
•         خطرات حملات سایبری از طریق آسیب پذیری در ترمینال بیومتریک.

دو نقطه اول معمولاً توسط پرسنل امنیتی پوشش داده می‌شوند اما بقیه اغلب دست کم گرفته می‌شوند. با این حال طبق آنچه بررسی پرجزئیات ترمینال‌های محبوب بیومتریک  ZKTeco ما نشان می‌دهد، آن‌ها به هیچ‌وجه دور از ذهن و دسترسی نیستند. این ترمینال‌ها اینطور که پیداست 24 آسیب‌پذیری دارند که همین‌ها باعث شده عاملین تهدید بتوانند بدون زحمت احراز را دور بزنند، دستگاه را سرقت کنند، فهرست کاربران را خوانده یا دستکاری نموده، عکس‌ها و داده‌های دیگرشان را دانلود کرده و دسترسی به دستگاه برای پیشبرد حمله‌ای به شبکه سازمانی را اکسپلویت کنند. در ادامه توضیح داده‌ایم چطور مجرمان از این آسیب‌پذیری‌ها برای پیشبرد حمله خود استفاده کرده‌اند:

کد QR به جای صورت

مدل ترمینال بیومتریک مورد مطالعه توسط کارشناسان ما می‌تواند پایگاه داده‌ای از کاربران را به صورت محلی ذخیره و آنها را به یکی از چندین روش احراز هویت کند: رمز عبور، کد QR، بیومتریک عکس چهره، یا مجوز الکترونیکی. همانطور که مشخص شد، به سادگی اسکن یک کد QR حاوی تزریق ساده SQL برای تأیید اعتبار دستگاه و باز کردن درها کافی است. و اگر داده های زیادی در کد QR تعبیه شده باشد، ترمینال راه اندازی مجدد می‌شود. برای انجام این حملات، مهاجم فقط باید با گوشی یا حتی یک کارت کاغذی به دستگاه نزدیک شود.

دسترسی ناامن به شبکه

ترمینال می‌تواند یا به صورت محلی یا روی شبکه با استفاده از SSH یا با پروتکل شبکه اختصاصی از طریق TCP port 4370 مدیریت شود. این پروتکل به احراز نیاز دارد اما پیاده‌سازی این روند خطاهای جدی‌ای به همراه دارد. پسورد یک عدد صحیح است از 0 تا 999999 که خیلی راحت می‌شود آن را جستجوی فراگیر کرد و ارزش پیش‌فرضش هم البته که صفر است. کد احراز هویت پیام (MAC) از عملیات‌های برگشت‌پذیر استفاده می‌کن که همین تحلیل ترافیک شبکه و در صورت نیاز بازیابی پسورد از طریق آن را نیز راحت می‌کند. دسترسی SSH برای کاربران ریشه‌ای و zkteco  که پسوردهایشان را می‌شود با دسترسی به مموری دستگاه ریکاوری کرد موجود است.

سرقت دستگاه

تولیدکننده قابلیت دسترسی به داده کاربر را از راه دور می‌دهد؛ همینطور قابلیت دانلود عکس، آپلود کاربران جدید و غیره را. با توجه به پیاده‌سازی ناامن پروتکل اختصاصی، این مسئله ریسک نشت داده شخصی را بوجود می‌آورد. عاملین تهدید همچنین می‌توانند طرف‌سوم‌ها را به پایگاه داده اضافه کرده و کارمندان قانونی را بیرون بیاندازند! از اینها گذشته خطاهای داخل فرمان‌های پروتکل پردازش به مهاجمین گزینه‌های بیشتری نیز می‌دهد؛ برای مثال تزریق فرمان‌های سیستم شل یونیکس در فرمان‌های پردازش عکس و خواندن فایل‌های سیستم دلخواه روی پایانه درست پایین پسوردی که حاوی /etc/shadow است. افزون بر اینها، آسیب‌پذیری‌های سرریز بافر در فرمان آپدیت سفت‌افزار می‌گذارد تا روی دستگاه اجرای کد دلخواه صورت گیرد. این فرصت‌های جذابی را برای مهاجمین ایجاد می‌کند تا حضورشان را در شبکه پررنگ‌تر کنند. از آنجایی که دیگر پایانه بیومتریک عامل EDR یا سایر افزارهای امنیتی نخواهد داشت بهترین گزینه برای عملیات‌های شناسایی و ترافیک روتینگ بین دستگاه‌های دستکاری‌شده خواهد بود؛ البته اگر خود ترمینال بدون محدودیت به شبکه داخلی وصل باشد.

راهکارهای امنیتی

دستگاه های ZKTeco در سراسر جهان با نام‌های تجاری مختلف استفاده می‌شوند. اگر دستگاه‌های موجود در تصویر شبیه دستگاه‌های موجود در دفتر شما هستند، ارزش آن را دارد که سفت‌افزار را به‌روزرسانی نموده و تنظیمات را به دقت بررسی کنید تا ایمن‌تر شوند. در هر صورت، ایرادات مختلف در پایانه های بیومتریک بدون توجه به سازنده خاص باید در نظر گرفته شود. ما اقدامات زیر را توصیه می‌کنیم:

•         تامین کننده ترمینال بیومتریک را با دقت انتخاب کنید. تجزیه و تحلیل اولیه از آسیب پذیری‌های شناخته شده قبلی در تجهیزات آن و زمان صرف شده برای از بین بردن آنها انجام شود. اطلاعاتی در مورد شیوه‌های مهندسی نرم‌افزار تأمین‌کننده درخواست کنید، و اولویت را به تولیدکنندگانی بدهید که از چرخه عمر توسعه امن (SDL) ) استفاده می‌کنند. همچنین توضیح مفصلی از نحوه ذخیره اطلاعات، از جمله بیومتریک، درخواست کنید.
•         بر تنظیمات تجهیزات مسلط شوید و از امن ترین پیکربندی استفاده کنید. توصیه می‌کنیم روش‌های احراز هویت غیر ضروری و ناامن و همچنین سرویس ها و ویژگی های استفاده نشده را غیرفعال کنید. همه اعتبارنامه های پیش فرض را به گذرواژه‌های قوی و منحصر به فرد برای همه مدیران و کاربران ترمینال بیومتریک تغییر دهید.
•         اتصالات و رابط‌های غیرضروری روی ترمینال را به صورت فیزیکی مسدود کنید تا برخی از بردارهای حمله حذف شوند.
•         ترمینال ها را در فرآیندهای مدیریت آسیب پذیری و به روزرسانی قرار دهید.
•         شبکه را ایزوله کنید. اگر پایانه ها به شبکه محلی وصل شده و به یک سرور مدیریتی متصل هستند، توصیه می‌کنیم آنها را به یک زیرشبکه فیزیکی یا مجازی VLAN) ) جداگانه منتقل کنید تا دسترسی به پایانه‌ها از رایانه‌ها و سرورهای معمولی منتفی شود و بالعکس. برای پیکربندی دسترسی، توصیه می‌کنیم از یک ایستگاه کاری دسترسی ممتاز جدا شده از فعالیت‌های عادی شبکه استفاده کنید.
•         تله متری از پایانه‌ها را به عنوان منبع اطلاعاتی برای سیستم SIEM و سایر ابزارهای نظارتی مستقر در نظر بگیرید.

کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.