Идентификация по нажатию клавиш: системы безопасности учатся анализировать поведение пользователей
Стремясь поставить заслон мошенническим практикам, технологические компании разрабатывают новые, улучшенные методики биометрии. Физические биометрические показатели — в частности, отпечатки пальцев, голос, распознавание лица и сетчатки глаза — включают в себя присущие человеку характеристики. Это один из наиболее давно используемых способов идентификации человека. Можно считать, что биометрия использовалась человечеством еще 30 000 лет назад, когда под первым наскальным рисунком был поставлен отпечаток ладони вместо подписи.
В последние годы биометрия начала развиваться стремительными темпами. Мировой рынок биометрии достигнет объема $10 млрд к 2022 году, показывая среднегодовой темп роста в 19,4% в период 2016-2022 годы. В то же время, по данным исследования IDC, наибольший рост на рынке технологий обеспечения кибербезопасности показывают технологии пользовательского поведенческого анализа. В 2013 году компания Apple предложила вход по отпечатку пальца в свое приложение Apple Pay. Приложение Intel Security True Key использует сканирование лица. Компания Fujitsu разработала метод сканирования радужной оболочки глаза. Она же разработала способ идентификации пользователя при помощи вен ладоней. Ожидается, что Mastercard внедрит метод аутентификации «оплата по селфи».
Хотя физическая биометрия кажется безопасным способом идентификации пользователя (нельзя «украсть» ваши физические характеристики), у нее есть ряд недостатков. Разные виды статических биометрических характеристик обладают разными уровням безопасности.
Например, может показаться, что нет ничего надежнее отпечатков пальцев. Дактилоскопические сканеры как будто сошли с экранов научно-фантастических фильмов. Проблема заключается в том, что люди оставляют свои отпечатки пальцев везде — а мошенники могут таким украсть этот идентификатор. Отпечатки пальцев можно даже копировать с размещенных в открытом доступе фотографий, и использовать их для входа в устройство, принадлежащее конкретному человеку. Хакер Ян Крисслер, использовал доступные программы и пару снимков руки министра обороны Германии Урсулы фон дер Ляйен. Основную часть из них он сам сделал обычным фотоаппаратом с расстояния около трёх метров во время одной из пресс-конференций. Дополнительные снимки он получил из видеозаписей высокого разрешения, на которых рука министра была показана крупным планом с разных ракурсов. Используя программу VeriFinger, хакер выполнил фильтрацию и автоматическое сопоставление опорных узлов изображения. Таким способом ему удалось получить «цифровую копию» пальца.
В России сотрудники полиции предупреждают: если вам поступил входящий вызов и человек на другом конце провода задает вопрос: «ты меня слышишь?» — срочно сбрасывайте звонок и ничего не говорите аферисту. Появилась новая схема телефонного мошенничества — злоумышленник записывает голос жертвы (в большинстве случаев ответ на обозначенный выше вопрос— «да»), а позже использует эту запись в подтверждении голосовых операций с кредитной картой.
В августе исследователи из Университета Северной Каролины создали программное обеспечение, способное обмануть биометрическую систему распознавания лиц в смартфоне с помощью проекции анимированного трёхмерного изображения лица в виртуальную реальность. Для построения трёхмерной модели лица учёные использовали фотографии добровольцев, выложенные на Facebook. Технология позволяет не только подделать изображение, но и обмануть датчики движения и глубины, которыми оборудованы системы безопасности.
Хотя не все физические характеристики можно украсть, при использовании этих биометрических методов пользователю зачастую требуется значительное время, чтобы доказать, что он является настоящим пользователем. Например, для технологии портретной идентификации обязательными требованиями являются хорошее освещение, положение лица перед камерой. Пальцы рук зачастую подвержены небольшим повреждениям (порезы, царапины и т.д.) — это оказывает большое влияние на точность идентификации. Кроме того, подобные методы обычно используют только одно частное значение — отсканированный отпечаток пальца, или запись голоса, или фотографию. Таким образом, пользователю может быть отказано в доступе, потому что идентификация осуществляется только по одному показателю.
Поэтому возникла необходимость в разработке другого биометрического подхода. Новым методом стали системы поведенческой биометрии. Она базируется на идее использования уникальных для каждого пользователя характеристик, при условии, что аутентификация не вызывает у пользователя неудобств, а специальное оборудование с новыми датчиками для этого не требуется. Поведение представляет собой более многогранный способ аутентификации.
Поведенческие методики предусматривают сбор большого количества разнообразных данных. Например, смартфон, собирающий информацию о поведении, позволяет получить многочисленные точки измерения для оценки вероятности мошеннических действий, в то время как статическая биометрия предоставляет меньше исходных данных. В качестве поведенческих характеристик человека наибольшее значение имеют манера работы на клавиатуре, манипуляции с мышкой, способы естественного взаимодействия с мобильными устройствами. Сочетание этих характеристик в различных математических алгоритмах позволяет получить более многогранный профиль аутентичного пользователя, позволяющий отсеивать мошенников. Tech Radar сравнивает то, как работает поведенческая биометрия, с удержанием пальца на дактилоскопическом сенсоре на протяжении всего процесса идентификации.
Так, например, один из крупнейших банков Израиля, Bank Leumi, представил систему безопасности для приложения мобильного банкинга Leumi Card, которая основана на поведенческой биометрии. Созданная израильскими разработчиками технология обеспечит повышенный уровень безопасности для клиентов. При этом отпадет необходимость в сложных паролях. Решения в подобной сфере развивают компании SecureAuth, BioCatch. Решение IBM Trusteer раотает по похожему принципу — но связано в первую очередь с поведенческим анализом и меньше с поведенческой биометрией.
Поведенческую биометрию еще называют «пассивной биометрией», потому что пользователям не нужно совершать никаких дополнительных действий при совершении операции. Им не нужно прикладывать палец к специальной кнопке, или говорить в микрофон. Они просто ведут себя, как обычно. К тому же, поведенческая биометрия позволяет выявлять мошенничество на ранних этапах — еще до самого действия злоумышленников (например, кража средств или совершение покупки). Это должно помочь компаниям и пользователям упростить усилия по предотвращению убытков, а также удешевить биометрические системы. Меньший объем инвестиций в подобные биометрические системы (в сравнении с используемыми сегодня) связан и с тем, что поведенческая биометрия работает на всех смартфонах, благодаря сенсорам, которые уже установлены на этих устройствах. Это означает, что пользователям не нужно приобретать устройства идентификации или носимые устройства для аутентификации. Им не нужно приобретать последнюю модель смартфона, оснащенную дактилоскопическим сканером. Таким образом, у поведенческого анализа есть потенциал для широкого внедрения, для того, чтобы технологии действительно стали массовыми.
Поведенческую биометрию можно адаптировать для самых разных устройств, включая целые операционные системы для смартфонов, а не только определенные приложения, использующие данную технологию. Это означает, что можно обеспечить защиту всего телефона. У каждого человека есть только ему присущие особенности взаимодействия со своими цифровыми устройствами: скорость, с которой он печатает на клавиатуре, сила надавливания на клавиши или угол, под которым он водит пальцами по экрану смартфона. Эти модели поведения практически невозможно воспроизвести другому человеку.
Как это работает? В SecureAuth, BioCatch (Smart Security, компания, представляемая автором разрабатывает схожее решение — Forbes) разрабатывают математические алгоритмы, которые позволяют производить непрерывную аутентификацию пользователя по подобным характеристикам. Специальное программное обеспечение, которое встроено в сайт компании или интернет-сервиса (Smart Security тестирует подобную технологию с банковскими сайтами — Forbes) или в мобильное приложение, собирает статистику поведенческих моделей пользователя и формирует его поведенческий паттерн. Каждый раз, когда клиент работает в приложении, алгоритм сравнивает его поведение с предыдущими попытками. Если биометрические характеристики не совпадают, то пользователю предлагаются дополнительные ступени аутентификации. Алгоритмы учитывают изменения в цифровом поведении пользователя: то есть если человек по каким-то причинам станет медленнее печатать, то система все равно должна его распознать. Поведенческая биометрия позволяет собирать большое количество данных. Чем больше данных, тем качественнее идентификация, и тем меньше ложноположительных срабатываний.
Еще один плюс поведенческой биометрии — распознавание не только знакомых угроз, но и выявление новых мошеннических схем. Поскольку этот метод основан на характеристиках поведения, он позволяет распознавать аномальное поведение вне зависимости от схемы атаки — а значит, будет эффективен для предотвращения новых типов атак.