¿Crearán múltiples sensores biométricos simultáneos seguridad inquebrantable para los dispositivos?

Este artículo cita al CEO de Image Ware,

[La solución] según Miller, es la biometría multimodal que, según él, hace prácticamente imposible que la persona equivocada acceda a los sistemas informáticos.

Su compañía utiliza hardware y plataformas existentes, conectando algoritmos de reconocimiento de características físicas (dedo, palma, mano e impresiones, y cara, ojo, iris) con otros algoritmos que emplean sensores de datos biométricos comunes que se encuentran en los dispositivos móviles actuales.

Mi intuición es que él ha exagerado esto de alguna manera, pero no puedo señalar por qué esto no es cierto. Me parece que si un enfoque multisensor fuera realmente efectivo, veríamos hardware y software para tales estrategias en todas partes en este momento.

¿Puede una red IoT de sensores diversos ser una estrategia de seguridad eficiente y efectiva? (¿Es efectivo el enfoque multisensor?)

¿Cuáles son las trampas?

¿La respuesta técnica a esta seguridad es irrompible? no es". La razón principal es que los atributos biométricos no son secretos. Algunos se duplican fácilmente, como huellas digitales o imágenes de caras . Algunos son más difíciles de engañar, como los iris . Pero una vez que se captura un atributo biométrico, se puede reproducir. Y los atributos biométricos son fijos. Si alguna vez se copia el atributo de un usuario, obviamente no puede decirle al usuario "hemos tenido una violación, cambie su iris".

Es muy poco probable que un ladrón promedio pueda falsificar todos los sensores biométricos simultáneamente. Sin embargo, no sería imposible para un atacante dedicado y sofisticado diseñar tal hazaña.

Además de la suplantación de sensores, puede ser posible realizar un ataque de repetición utilizando los datos emitidos por los sensores. Sin embargo, esto dependería de la implementación, y uno esperaría que una compañía diseñe la seguridad de sus dispositivos contra este tipo de ataque.

Aquí es donde el enfoque de IoT podría proporcionar una seguridad peor que una solución integrada. Si los sensores no están relacionados entre sí, un atacante podría comprometer un dispositivo a la vez sin levantar sospechas. El atacante puede practicar con una huella digital falsa de osito de goma hasta que se perfeccione, luego usa esa huella digital falsa mientras practica con una foto para engañar al sensor de imagen. Un sensor integrado podría ser diseñado para requerir que todos los atributos estén presentes al mismo tiempo; El enfoque de IoT podría implementarse de manera gradual, con vulnerabilidades creadas por las brechas entre los sistemas.

Prácticamente, este enfoque todavía suena muy seguro y sería mejor seguridad que un código de acceso simple o una sola medición biométrica.

Primero, la cita parece haber sido sobre la seguridad de dispositivos móviles, no sobre "una red IoT de sensores diversos", pero quizás aún se puedan extraer algunas lecciones.

A diferencia de un dispositivo móvil, una "red IoT" de sensores tiende a implicar que no están todos en el mismo lugar, por lo que es probable que no se pueda esperar que un usuario califique a juicio de todos ellos a la vez. Esto significa que un sistema debería ser muy provisional sobre la autenticidad del usuario, en efecto:

Caminas como Joe y conoces la contraseña de Joe, así que tal vez eres Joe, y te dejaré hacer las cosas menos críticas de Joe a menos que empiece a sospechar que no eres Joe, pero para hacer algo más crítico tendrás que ir aquí y haz esto, y ve allí y observa eso, y repite la siguiente frase, y ...

Pero como es crítico, y en común con la carcasa del dispositivo móvil, tal esquema solo asegura la puerta principal . No ofrece protección contra al menos otros tres tipos de vulnerabilidad.

• Muchos exploits contra los sistemas modernos no provienen de un usuario malintencionado, sino de datos maliciosos entregados a través de una red, memoria USB o similar, ya sea en forma de tráfico no solicitado o de cargas útiles no deseadas que se llevan cosas que el usuario desea. Por lo general, estos datos explotan una falla de seguridad en el diseño, ya sea una característica opcional insegura que no debería estar allí (archivos de ejecución automática de Windows) o un error clásico de error de datos por código como un desbordamiento del búfer.

• Tanto los sistemas IoT como los teléfonos móviles tienden a estar muy integrados con los servidores de red, y estos últimos a menudo reciben un alto grado de acceso a los mismos datos o las capacidades que la seguridad del sistema móvil está tratando de proteger. En ausencia de cosas como el cifrado de extremo a extremo y los tokens de autenticación desconocidos para la infraestructura del servidor , un ataque exitoso o un mal uso de la infraestructura del servidor a menudo puede lograr la mayor parte de lo que podría pasar por alto la seguridad del dispositivo.

• Los sistemas IoT, probablemente incluso más que los dispositivos móviles, pueden ser bastante vulnerables a los ataques físicos. Los teléfonos pueden intentar proteger las claves utilizadas para encriptar los datos de un usuario contra el acceso fácil con un depurador JTAG, pero lo que un sistema IoT guarda localmente a menudo no son tantos datos, sino la capacidad de hacer varias cosas. Efectivamente, no importa un poco a un atacante local qué tan segura es la parte de la computadora de un dispositivo IoT, si simplemente pueden sacar la cubierta y usar un cable de clip para activar el relé de salida, o para el caso, cortar los cables que van a el actuador y tocarlos con su propia batería. O un atacante puede crear condiciones falsas en el sitio de los sensores del dispositivo IoT (vela debajo del sensor de calor, esponja húmeda sobre la humedad, etc.) y hacer que se enlace hacia arriba o actúe sobre lecturas erróneas.