یکشنبه , ۲۹ مهر ۱۳۹۷

چرا هک شدن سيستم اثرانگشت iPhone 5s عجیب نيست؟

 

هنوز ساعاتي از معرفي آي‌فون 5S توسط شركت اپل نگذشته بود كه هجمه برعليه سيستم جديد امنيتي اين گوشي در سايت‌ها و وبلاگ‌ها شروع شد و هزاران كامنت و اظهارنظر در رد اين حركت و سيستم اثرانگشت و عملكرد متفاوت‌اش نسبت به سيستم‌هاي ديگر مشاهده شد. در‌گذشته گزارش‌هاي زيادي از سوي مراكز امنيتي منتشر شده است كه سيستم‌هاي اثرانگشت را ضعيف ارزيابي كردند و اعلام کردند با كمي مرطوب يا كثيف بودن انگشت يا داشتن خراش و سطح ناهموار روي پوست، اين سيستم‌ها به درستي عمل نمي‌كنند اما هيچ‌گاه روي يك دستگاه عمومي كه استقبال از آن بسيار زياد است، شاهد مزايا و معايب اين نوع احرازهويت‌هاي بيومتريكي نبوديم و اينك اپل اين شجاعت را به خرج داده كه در رده نخست باشد. راجر گرایمز يكي از كارشناسان صاحب‌نام و خبره دنياي امنيت IT است و سال‌ها تجربه كار با انواع سيستم‌هاي امنيتي را دارد. گرايمز طي يادداشتي سيستم احرازهويت گوشي آي‌فون 5S را به نقد كشيده است كه در ادامه مي‌خوانيم. شايد چون اين نويسنده حوزه امنيت كارمند رسمي شركت مايكروسافت هم هست و با توجه به خصومت تاريخي مايكروسافت و اپل كمي سرسختانه و ايده‌آل‌گرانه برخورد كرده باشد اما نكته‌هایی كليدي را مطرح كرده كه شايد كمتر كسي به آن‌ها فكر كند.

 

سيستمي که دو روزه هک شد!
فقط دو روز پس از معرفي گوشي آي‌فون 5S يك گروه هكر آلماني كه به نام Chaos Computer Club شناخته مي‌شوند، سيستم اثرانگشت (Finger Print) اين گوشي را احمق ناميد و ادعا كرد مي‌تواند به‌راحتي اين سيستم امنيتي احرازهويت بيومتريك را دور بزند. اين ادعا باعث تعجبم نشد و نمي‌توانم بگويم شگفت‌زده‌ام كرد.
سال‌ها پيش در يك پروژه از نزديك با 20 محصول اثرانگشت براي احرازهويت آشنا شدم. در آن پروژه قرار بود بررسي كنيم اين سيستم‌ها تا چه اندازه قابل دور زدن و فريب‌خوردن هستند و سطح امنيتي آن‌ها از بسيار ساده تا بسيار سخت در چه وضعيتي است. همان‌جا بود كه فهميدم خواننده‌هاي اثرانگشت بسيار ساده هستند و به راحتي فريب مي‌خورند. ما به ساده‌ترين روش‌هاي ممكن دم دستي مي‌توانستيم اين دستگاه‌هاي امنيتي را دور بزنيم. در آن پروژه تقريباً تمام دستگاه‌ها هك شدند. آن هم با چه روش‌هايي؟ دميدن هواي گرم و مرطوب روي شيشه دستگاه اثرانگشت يا خط‌خطي كردن انگشت با خودكار يا ايجاد يك خراش كوچك سطحي روي پوست.
خوشبختانه با استفاده از اين روش‌ها نمي‌توان خواننده اثرانگشت گوشي آي‌فون 5S را فريب داد. زیرا در اين سيستم به جاي اسكن اثرانگشت و مطابق آن با نمونه‌ ذخيره شده، از روش نمونه‌گيري نقطه‌اي و رهگيري اثرانگشت با استفاده از فناوري‌هاي جديد استفاده مي‌شود. هنگامي كه شما اثرانگشت خود را در آي‌فون 5S ثبت مي‌كنيد، نقاط گودي و برآمدگي انگشت شما نقطه‌گذاري شده و ضبط مي‌شوند. مشکل سيستم اثرانگشت اين گوشي به اين دلیل است كه تصوير اثرانگشت كار نمي‌كند و شما براي دور زدنش نياز به يك ماكت سه‌بعدي از اثرانگشتتان داريد؛ همان كاري كه گروه Chaos Computer Club  انجام داد. اين گروه وقتي فهميد تصوير اثرانگشت روي اين سيستم جواب نمي‌دهد دست به كار شد و با استفاده از چسب چوب يك قالب شيشه‌اي از اثرانگشت ساخت و بعد مشاهده کرد كه اين قالب به راحتي مي‌تواند سيستم اثرانگشت گوشي آي‌فون 5S را فريب دهد. در سال 2008 با استفاده از فتوشاپ روش‌هایی آموزش داده شده بود تا كاربران بتوانند اثرانگشت خود را روي يك ماكت بسازند. اين روش كمي دردسرساز و طولاني است اما در عوض انگيزه شما را بالا مي‌برد و چندين روز سرگرم‌تان خواهد كرد.

اما بزرگ‌ترين نگراني درباره اين سيستم اثرانگشت، استفاده از اين نوع احرازهويت بيومتريكي بدون هيچ‌‌گونه مرحله احرازهويت ديگر است. يعني كافي است شما سيستم اثرانگشت را دور بزنيد تا وارد گوشي شويد و هيچ چيز ديگري پيش‌روي شما نيست. مردم نيازي به وارد كردن رمزعبور، پين‌كد يا هر چيز ديگري كه چندين ثانيه زمان آن‌ها را تلف كند، ندارند. من شك دارم در آينده‌اي نزديك سيستم‌‌هاي احرازهويت فراگير شوند و از آن‌ها براي دسترسي‌هاي سريع و اضطراري به واسط‌هاي كاربري دستگاه‌هاي عمومي مانند گوشي‌هاي موبايل يا تبلت استفاده شود. شايد در آينده از تشخيص صدا يا تطابق DNA براي احراز هويت كاربران روي دستگاه‌هاي همراه استفاده شود و كارايي و قدرت امنيتي خوبي هم ارائه بدهند اما اميدوارم كه سيستم‌هاي احرازهويت در عين حالي كه سخت‌تر و قدرتمندتر مي‌شوند، سريع‌تر و ساده‌تر هم بشوند تا ما بتوانيم راحت‌تر زندگي كنيم. به نظر من يك پين‌كد به همراه يك قفل نرم‌افزاري يا پاك‌كننده تهديدات امن‌تر از سيستم‌هاي اثرانگشت به تنهايي است. فكر نمي‌كنم امنيت يك خواننده اثرانگشت به اندازه پين‌كد، قفل‌كننده‌ها يا پاك‌كننده‌هاي تهديدات باشند. اين سيستم‌ها در ذهن كاربران بدنام و منفي هستند و كاربران نمي‌توانند به آن‌ها اعتماد كنند.
براي تأمين اهداف امنيتي، هميشه بايد سيستم اثرانگشت با يك سيستم احرازهويت ديگر مانند يك پين‌كد ساده تركيب و زوج شوند. نبايد سيستم‌هاي بيومتريكي تنها و آخرين مرحله احرازهويت باشند. اگر شما حداقل دو مرحله پيش‌نياز به سيستم اثرانگشت اضافه كنيد، شايد بتوانم قبول كنم كه احرازهويت‌هاي بيومتريكي امنيت بهتري را تأمين و سيستم قوي‌تري فراهم مي‌کنند. دو هشدار ديگر را درباره شناسه‌هاي بيومتريكي جدي بگيريد و در نظر داشته باشيد. نخست اين‌كه چه‌كار مي‌كنيد اگر امنيت هويت بيومتريكي شما به خطر بيفتد؟ مثلاً يك نفر اثرانگشت شما را بدزدد و با استفاده از روش‌هايي كه گروه هكر آلماني استفاده كرده، خودش را به جاي شما جا زده و به دستگاه‌هاي شما وارد شود؟ در حال حاضر، اگر چنين اتفاقي رخ دهد چه‌كار مي‌كنيد؟ چه سيستم يا مكانيزمي براي انكار اثرانگشت معتبر خود داريد؟ شايد جواب بدهيد «از يك اثر انگشت ديگر استفاده مي‌كنم.» فقط كاربران نادان و ساده‌لوح از تمام اثرانگشت‌هاي خود استفاده مي‌كنند. جواب ديگر شايد اين باشد كه امنيت و احرازهويت بيومتريك را غيرفعال مي‌كنيم و از سيستم ساده‌تري مانند پين‌كد يا پين‌كد همراه با امنيت بيومتريك استفاده مي‌كنيم.
هشدار دوم اين‌که هميشه از گذشته تا آينده به یاد داشته باشيد كه هكرها و موفق‌ترين نفوذگران وقتي براي نخستین‌بار سيستم‌هاي احرازهويت شما را فريب مي‌دهند، ديگر اهميت نمي‌دهند شما مي‌خواهيد با پين‌كد، رمزعبور، بيومتريك يا تركيب هر سه اين‌ها با هم به سيستم لاگين كنيد زیرا آن‌ها نفوذ به سيستم شما را انجام داده‌اند. تروجان‌ها و ويروس‌ها را فراموش نكنيد. بسياري از حملات در دنياي كامپيوتر و اينترنت اهميتي به نوع لاگين شدن شما نمي‌دهند زیرا دارند از روش‌هاي ديگري مانند سرريز بافر (OverFlow Buffer) استفاده مي‌كنند! اگر هويت‌هاي بيومتريكي مشكلات موجود را برطرف مي‌كرد و مي‌توانست باعث كاهش جرم و ناامنی‌های كامپيوتري شود، خيلي سال‌هاي پيش بايد اين سيستم‌ها راه‌اندازي و به كار گرفته مي‌شدند. من نمي‌خواهم كاربران مشتاق اثرانگشت را نااميد كنم يا وادارشان کنم كه از اين سيستم‌ها استفاده نكنند بلكه فقط مي‌خواهم تلنگري به سازندگان اين سيستم‌ها بزنم تا به خود آيند و كمي هم به فكر مشكلات و مسائل واقعي پيش‌روي خود بيفتند.

منبع : ماهنامه شبکه

Print Friendly, PDF & Email

جوابی بنویسید

ایمیل شما نشر نخواهد شدخانه های ضروری نشانه گذاری شده است. *

*