A biometrikus “világvége forgatókönyvek” – cyber IoT szakértő tolmácsolásában

“Doomsday Scenarios” avagy világvége forgatókönyveinek nevezte egy vezető izraeli cybersecurity szakértő azt a három esetet, amely a biometrikus azonosítás terjedésével állhat elő, különösen az IoT eszközökön keresztül folytatott, nemzetállamok által támogatott / vezetett kémkedés vagy szabotázs következtében.

Forrás: biometric update

Forrás: biometric update

IoT és „felhő” – cyber veszélyek

Yotam Gutman, az izraeli székhelyű SecuriThings szakembere a Biometric Update-nek adott exkluzív interjúban hívja fel a figyelmet arra, hogy a biometrikus szolgáltatások, a fizikai biztonság és a hozzáférés ellenőrzés a felhőbe költöztetve, valószínűleg megnöveli a hacker- és behatolási kísérletek számát.

Gutman szerint a nemzetállamok hamar felismerték a számítógépes kémkedés és a szabotázs lehetőségét az IoT eszközökön keresztül, megjegyezve, hogy a Belbiztonsági Minisztérium figyelmeztetést adott ki arra, hogy kormány hátterű orosz hackerek veszélyeztetett routereket és egyéb hálózati infrastruktúrákat használnak a kémkedésre és a jövőbeni támadó Internetes műveletek potenciális előkészítésére.

Az idei év elején a HID Global az Assa Abloy leányválalata előrevetítette, hogy 2018-ban ” A felhő hitelesítés és a jogosultság kezelése tovább integrálja a mobil eszközöket, tokeneket, kártyákat és gépi-gépi végpontokat”, és hogy “A több ezer eszközhöz tartozó digitális tanúsítványok kézbesítése és kezelése a tárgyak internetén ezekre a megbízható felhő szolgáltatásokra fognak támaszkodni. “

„A csatlakoztatott eszközök és környezet számának növekedése ráirányítja a figyelmet a tárgyak internetének biztonsági kérdéseire “, hozzátéve: “A digitális tanúsítványok alapvető elemei lesznek az IoT-be vetett bizalom fokozásának, egyedi digitális azonosítók kiadásával irodagépekre, telefonokra, videokamerákra és épületautomatizálási rendszerekre, valamint szélesebb körben a vezető nélküli autókra és orvosi eszközökre.”

Gutman, az izraeli haditengerészet, a C4i alkalmazásokra, tengerészeti hírszerzésre valamint biometrikus biztonsági rendszerekre specializálódott őrnagya a Biometric Update számára úgy vélekedett, hogy: “A biometrikus beléptetés viszonylag fejlett biztonsági rendszer, amely biztonságosabbnak tekinthető, mint a hagyományos hozzáférés-vezérlési rendszerek, mivel az alkalmazottnak valamilyen tulajdonságára támaszkodik, és nem csak egy kártyára, amit csupán fizikailag birtokol.” , “Mivel ez a technológia egy központosított adatbázist, kifinomult eszközöket és eszközök közötti összeköttetést igényel, ugyancsak védtelen a hackeléssel, a manipulációval és a szolgáltatás megszakadásával szemben.

A központi adatbázis mellett szóló érvek ellenére, Gutman szerint “Ez egy nagy vita Izraelben. A kormány központi biometrikus adatbázist szeretne, az adatvédelmi szakemberek pedig azt állítják, hogy a kormány a kevésbé tökéletes biztonsági megoldásairól ismert, és hogy ez az adatbázis végül rossz kezekbe kerül.  Ami a vállalkozásokat illeti, a megőrzés nagyrészt a GDPR hatálya alá esik – ami elismerten világszabvány a magánszféra védelmére. Az ilyen információk megőrzését biztosító vállalatoknak ragaszkodniuk kell a szigorú biztonsági és jelentési szabályokhoz, ezért keményebben kell biztosítani ezeket az információkat. A kormányok, amennyire tudom, nem kötelesek betartani ezeket, ezért “megengedik” az adatok kevésbé biztonságos kezelését, és tartózkodhatnak az adatszegés bejelentésétől.”

Mind a központosított, mind a decentralizált adatbázisoknak megvannak a maga előnyei és hátrányai, amelyek nagyrészt a költségen, képzésen és egyszerű használaton alapulnak. Hogy a kormányok vagy a vállalkozások többsége lép tovább, az a későbbiekben derül ki.

Mindazonáltal, függetlenül attól, hogy központosított vagy decentralizált, adatbázisokról beszélünk, mindkettő rendelkezik hozzáférési biztonsági résekkel nyilatkozta Gutman:

  • „Mi lenne, ha a nemzetállam több millió, a táphálózathoz csatlakoztatott intelligens eszközt tetszés szerint kapcsolna ki- és be?”
  • Másrészt “Az internetes eszközöket, például a szennyvíz- és vízáramlás-érzékelőket és a működtető eszközöket támadva az elkövetők jelentős károkat okozhatnak anélkül, hogy erős IT vagy OT hálózatokat kellene áthatolniuk.”
  • .Az “okos város” projektek kapcsán is lehetnek gondok. Ha a közlekedési lámpákat, a forgalomfigyelő kamerákat és a parkolásérzékelőket kikapcsolják, vagy manipulálják, az nagymértékben befolyásolhatja a városok lakóinak napi életét. “
Forrás: biometric update

Forrás: biometric update

Végül a három legrosszabb forgatókönyv, amelyeket elképzelhetünk a biometriában

  • a szolgáltatás megzavarása,
  • a bennfentes manipuláció és
  • a biometrikus adatok „eltulajdonítása”
A szolgáltatás zavarása, blokkolása.

Ha a hackerek átvehetik az irányítást az ujj / arc / tenyér-olvasók fölött, és megzavarhatják működésüket, zárolhatják, vagy megsemmisíthetik a firmware-t, működésképtelenséget okozva a létesítmény beléptetésében” – mondta, Gutman és megjegyezte, hogy ”  Ez történhet kifejezetten az ilyen eszközöket célzó hackertámadás nélkül is. Sok csatlakoztatott eszközt azonosíthatnak és fertőzhetnek a botnetek, majd használják őket, hogy részt vegyenek akár a szolgáltatásmegtagadási támadásokban, vagy olyan tevékenységekben, amelyek a készülék számítási teljesítményének nagy részét lekötik, és akadályozzák a kommunikációt más eszközökhöz vagy a felhőhöz. Az agresszívabb típusú rosszindulatú programok egyszerűen bekapcsolják az eszközt egy végtelen újraindítási hurokba, ami nem működik. “

A bennfentes manipuláció

“Egy bennfentes, mint például egy informatikai rendszergazda behatolhat a biometrikus adatbázisba, törölheti a munkavállalók bejegyzését, vagy a szervezethez nem tartozó, a bennfentesekkel együttműködő egyéneket adhat hozzá”.

Biometrikus adatlopás

Ez akkor fordulhat elő elő, ha az adatokat nem megfelelően rögzítik helyileg, vagy a felhőben. Rámutatott, hogy “A biometrikus azonosítás számos helyen elfogadott, ez mint a személyes azonosítási információ formája nagyon nyereséges lehet a Sötét Hálózaton „kereskedők” számára, hasonlóan ma a hitelkártyaadatokhoz történő hozzáférések esetében.”

“A felhővel összekapcsolt internetes alkalmazásoknál a felügyelet… döntő fontosságú”, hangsúlyozva, hogy” a tipikus alkalmazásnak tucatnyi különféle alacsony biztonsági fokú eszköze van, amelyek mindegyike összekapcsolódik a felhővel. A felhőhöz való minden kapcsolat sebezhető.”

(A SecuriThings egy felhasználó és entitás – viselkedés – elemzés – megoldás szolgáltatója a tárgyak internetének. Megfigyeli a felhasználókat és az IoT eszközöket. Olyan gépi tanulással kapcsolatos biztonsági algoritmusokat használ, melyeket a tárgyak internetéhez igazítottak a fenyegetések azonosítására és enyhítésére.)

Forrás: biometricupdate.com

Fordította, szerkesztette: Ecsedi Ákos

Kapcsolódó cikkek:

Írjon kommentet