Шрифт:
Интервал:
Закладка:
Так и реализован «Ноутбук руководителя»: в ноутбук установлен miniPCIe-контроллер Аккорд-GXMH, firmware которого по факту отсутствия смарт-карты в считывателе загружает ноутбук штатным образом (ОС с жесткого диска), а в случае наличия смарт-карты в считывателе загружает собственную ОС, в которой загружается приложение доступа к защищенному ЦОД. Таким образом, порядок действий руководителя для перехода в режим ДСС сводится к привычной работе со смарт-картой: установил смарт-карту, ввел PIN-код и получил доступ к защищенным ресурсам.
Материал этой главы, конечно, не претендует на полноту. Представленное – скорее очерки. Однако, думается, они позволят сделать самостоятельные выводы и обобщения, достаточные для отыскания необходимого читателю решения, если оно не описано в этой главе в явном виде. А в завершение хочется традиционно заглянуть в будущее – в отношении очень острого для финансовых организаций вопроса: биометрической идентификации.
10.2. Идентификация для защищенности
и безопасности
Тщательней надо, ребята.
Общим видом овладели, теперь подробности не надо пропускать.
Михаил Жванецкий.ТщательнееПриемы идентификации существенно зависят от целей, которые можно грубо разделить на криминалистические и технологические.
Криминалистическая идентификация выполняется, как правило, на доверенном оборудовании без сотрудничества с идентифицируемым объектом (возможно, это труп, а возможно – подозреваемый; оба на сотрудничество, как правило, не настроены, и оно от них не требуется). Идентификация в рамках технической защиты информации предполагает, что субъект готов к сотрудничеству.
До последнего времени все исследования в области технической защиты информации проводились с учетом того, что мы работаем с корпоративными системами, границы которых точно известны. В этих границах всегда можно обеспечить достаточный уровень защищенности, базирующийся на доверенности СВТ, включенных в состав системы. В открытых же системах ставить вопрос об обеспечении доверенности всех средств вычислительной техники просто невозможно. Так, мобильные средства доступа пользователей ни при каких условиях нельзя сделать доверенными.
В этих условиях можно развивать систему в двух направлениях: перенести всю тяжесть защиты на центр и отказаться от использования надежной криптографической защиты при доступе к сервисам (например, банка) с мобильных устройств пользователей и (или) строить распределенную «иммунную» систему защиты, обеспечивающую приемлемый уровень защищенности клиентских транзакций даже при недоверенном оборудовании.
Первое направление очевидно, и по этому пути идут многие, полагая, что риски пока невелики и такими же останутся. Безусловно, это не так. Брешь в защите преступники всегда находят и начинают эксплуатировать. Поэтому брешей в защите следует избегать.
Второе направление еще ждет своих исследователей. Основой эффективных решений могут стать системы обнаружения вредоносной активности, построенные по принципу мультиагентных систем [89], а также системы мультимодальной биометрической идентификации с использованием динамики рефлекторных реакций.
Последнему – рефлекторной идентификации как методу и средству применения недоверенных клиентских терминалов в доверенных информационных системах цифрового общества – и посвящен этот раздел.
Идентификация и аутентификация занимают особое место в последовательности операций [81], так как еще до начала всех операций нужно понимать, с кем начинается взаимодействие – с партнером или хакером.
Кроме того, коль скоро результат информационного взаимодействия фиксируется применением электронной подписи, придающей записи свойства документа, а при использовании недоверенных клиентских терминалов (телефонов) ключи подписи должны быть отчуждены и храниться защищенным образом, то уровень доверенности результата идентификации должен быть достаточным для доступа к отчужденным ключам подписи.
В рамках корпоративных систем не проблема обеспечить всех участников сертифицированными идентификаторами и выполнять операции по аутентификации в доверенной среде. В открытой же системе этого добиться невозможно. Обращаясь за госуслугами, телемедицинскими консультациями, услугами банков, услугами в секторе B2C, граждане всегда будут пользоваться смартфонами, о доверенности которых говорить не приходится. Такой доступ всегда будет самой легкой добычей для всех видов атак с использованием вредоносного ПО.
10.2.1. Идентификация в открытых системах
У биологов есть синоним для слова «стабильный». Это слово «мертвый».
Джек Коэн, биологЕстественным механизмом идентификации (аутентификации) для открытых систем представляется биометрическая идентификация. Биометрические параметры неотъемлемы от человека, и поэтому соблазн использовать их объясним.
Об эффективности биометрии свидетельствует огромный опыт ее применения для идентификации самых разных модальностей: радужной оболочки глаза, папиллярного узора, рисунка сосудистого русла, формы лица, ладони, голоса, состава генома и др. Эти биометрические модальности хотя и избыточны, но предельно просты: они или статичны или условно статичны. Более того – если снимаемые приборами характеристики не инвариантны[220], то исследователи зачастую пытаются свести их к инвариантам[221] [105] в попытке упростить последующий анализ.
В силу простоты и статичности эти модальности легко воспроизводятся и моделируются, что не только не снижает риски ошибочной идентификации, но и позволяет влиять на ее результаты. Традиционные (инвариантные) биометрические модальности не обеспечивают и не могут обеспечить достаточный уровень доверия к результатам идентификации на недоверенном устройстве. Успешный же опыт применения биометрии связан не с визуальной и (или) приборной идентификацией, а только с криминалистической, что объяснимо: в базах данных никто отпечатки не подменит, гражданин не наденет при регистрации отпечатков перчатку и не передаст ее потом злоумышленнику, а средства идентификации, используемые полицией, доверенные [122].
Простота подделки статических биометрических модальностей сегодня осознана [114], и операторов идентификации на основе биометрических данных начинает интересовать вопрос: «А нельзя ли повысить достоверность идентификации за счет использования не одной, а нескольких биометрических характеристик?» – то есть за счет мультимодальности на этапе принятия решения.
Для независимых модальностей вероятности ошибок (как первого, так и второго рода) перемножаются, что объясняет целесообразность многофакторных (мультимодальных) решений и позволяет обеспечить достаточный уровень доверенности. Независимость при этом понимается как независимость факторов и независимость каналов [83].
Предположительно биометрические характеристики человека нельзя считать независимыми уже хотя бы потому, что они принадлежат одному человеку. Во всяком случае, независимость не доказана и, скорее всего, не изучалась. Уже в связи с этим гипотеза о повышении уровня доверия при использовании мультимодальностей не очевидна и требует серьезного изучения.
Еще более наглядной является необходимость независимости каналов – а в нашем случае канал один: он формируется клиентским терминалом (смартфоном) и интернетом. Конечно, ни о какой независимости здесь даже не может идти речь.
Таким образом, использование статических параметров для повышения достоверности идентификации с использованием недоверенного устройства практически нецелесообразно.
Одним из решений проблемы подделки (подмены) статических (инвариантных) биометрических параметров является проверка активности и разумности субъекта в дополнение к проверке биометрических показателей. Даже если предположить, что проверка разработана так, что ее действительно может пройти только человек, нельзя упускать из виду, что это любой человек, в том числе и злоумышленник.
Сравним задачи, средства и данные, необходимые для решения задачи идентификации в криминалистике