НовостиСобытияКонференцииФорумыIT@Work
Безопасность:

Блог

Безопасность новых iPhone 5S. Две стороны одной медали.

Александр Санин
23.09.2013 15:41:18



Миллионы людей по всему миру с нетерпением ждали новый телефон Apple. И вот, наконец, наступило 10 сентября 2013 года – и iPhone 5S был представлен публике. Мы не будем говорить о дизайне, производительности и прочих, безусловно, интересных аспектах. О них достаточно писали. Нас, в первую очередь, интересуют вопросы безопасности. Тем более, что именно в этой сфере произошли весьма серьезные изменения: новый iPhone 5S получил биометрический датчик Touch ID, который может выполнять аутентификацию пользователя по отпечатку пальца. Насколько это важно? Как это отразится на рынке ИБ? Попробуем порассуждать на эти темы.

Учитывая долю рынка Apple, можно с уверенностью сказать, что, с точки зрения бизнеса и новых технологий, Apple сделала беспрецедентный шаг в сторону популяризации биометрии в сегменте B2C. Выпустить в огромном количестве все еще «сомнительную» на сегодняшний день технологию – шаг очень смелый. Тем более, что в нынешнем состоянии компании любые ошибки крайне болезненно отразятся на ее репутации. Конечно, в Apple это понимают. Значит, Touch ID – не интересная «фишка», не эксперимент, а продуманная точка приложения усилий, часть пути, с которого компания не свернет.

Вероятнее всего, в ближайшие несколько лет это приведет к тому, что и технологии биометрической аутентификации, и решения на их основе будут развиваться семимильными шагами. Конечно, мне не раз приходилось слышать и обратные утверждения – с примерами из прошлого, когда биометрические датчики начали устанавливать в ноутбуки. Но я остаюсь при своем мнении. Ведь просто некорректно сравнивать несколько моделей ноутбуков (пусть даже несколько десятков моделей) от различных производителей с тем огромным числом «айфонов», которое Apple продаст даже только в ближайшее время. Фактически iPhone 5S – первое действительно массовое, удобное для пользователя и полностью интегрированное в одну из ведущих мобильных платформ решение по биометрической аутентификации. Причем само действие пользователя, сопровождающее надежную аутентификацию (кстати, элементарно простое), – вполне может войти в моду.
Что же дает Touch ID рядовому пользователю? Безусловно – реальное повышение уровня безопасности. Но давайте посмотрим на это более комплексно: безопасность это хорошо, но у нее есть и другая сторона медали.

Сторона первая – явная
Первое применение Touch ID, практически очевидное, – возможность, например, разблокировать телефон своим отпечатком пальца. И никакой другой человек сделать этого не сможет ни при каких обстоятельствах. Все вроде бы очевидно - и безопасность повышается, и удобство, но только остается одна проблема – Apple не применила никаких технологических новинок и не представила миру в рамках Toch ID нечто совершенно новое. А это значит, что сканер отпечатков, это всего лишь сканер с технологией из «прошлого», пусть и с улучшенной частотой распознавания. И значит, этот сканер можно обмануть, что нам было продемонстрировано 21-22 сентября 2013 года. Причем, обмануть довольно банально, с использованием фотоснимка отпечатка, сделанного в высокой четкости. Уже выложено видео и описание сего процесса (http://www.ccc.de/en/updates/2013/ccc-breaks-apple-touchid)

Кроме того, по заверениям Apple, пользователи смогут использовать этот сканер для доступа во все приложения, где раньше нужны были пароли. Хотя на этот счет есть и другое мнение – никакие сторонние приложения не смогут использовать эту аутентификацию, и функции будут очень сильно урезаны, ограничившись лишь разблокировкой и покупками в магазине Apple. Как оно на самом деле – покажет только время и начало продаж, но если все-таки сканер будет доступен другим приложениям и настраиваем, то, фактически, Touch ID станет первой, основанной на биометрии, системой SSO (single sign-on) для массового рынка. Слов нет, это потенциальная бомба!

Вообще, если оглянуться немного назад, мы без труда увидим, что 2012 и 2013 годы были крайне насыщены различными событиями именно в области идентификации и аутентификации. Чего стоит один только тренд «Forgot passwords!», который активно начали продвигать компании, входящие в FIDO (The Fast Identity Online Alliance). Их разговоры подогревались заявлениями ИТ-гигантов – Google, Facebook, Twitter и Yahoo! – о том, что они начинают вводить двухфакторную (двухэтапную) аутентификацию. И ввели ведь! Но Apple шагнула еще дальше, выпустив телефон с биометрией, – вот уж действительно прорыв!

Надо сказать, что и в компании Аванпост мы уже некоторое время разрабатываем нечто подобное для бизнес-сегмента, а в конце сентября – начале октября планируем выпустить готовое решение на базе биометрического SSO. Полагаю, что в этом направлении идут и другие российские ИБ-вендоры, ведь тренд очевиден. Но консолидированная платформа, встроенная в массовое абонентское устройство многократно упрощает вывод таких решений на рынок. Поэтому презентация Apple создает стойкое ощущение, что «биометрический SSO» уже в самое ближайшее время получит мощнейший толчок в развитии и принятии его рынком.

Конечно, только время покажет, насколько новинка понравится пользователям. Но если технология Apple действительно будет настолько удобной и приятной, как показано в презентации, мы с вами сможем вскоре наблюдать интересную картину вытеснения биометрией классических механизмов аутентификации. А ведь многие эксперты высказывались на этот счет еще несколько лет назад. Но тогда это воспринималось как очередные рассуждения про «далекое прекрасное будущее». Сегодня это уже реальность!

«Темная сторона Луны»
Однако, как я уже говорил, вопрос с безопасностью iPhone имеет, как это часто бывает, и обратную сторону. Эта сторона неочевидна, поэтому стоит уделить ей внимание.
Общеизвестно, что в последние несколько месяцев, чуть ли не главным генератором сенсационных новостей во всех мировых СМИ был Эдвард Сноуден. Вероятно, все читатели хорошо знают, чем он «прославился», о чем периодически рассказывал и изредка рассказывает до сих пор. Конечно, это АНБ (Агентство Национальной Безопасности) США и ее тотальная информационная слежка за пользователями. Более того, за время «сенсационных утечек» информации был пролит свет и на активное взаимодействие с АНБ почти всех крупнейших мировых гигантов ИТ-индустрии.

В общем, для специалистов по информационной безопасности, да и вообще для людей, погруженных в эту тему, «откровения» Сноудена не стали чем-то совершенно неожиданным: специалисты давно об этом знали или, по крайней мере, догадывались. Но вот для остального населения эта тема, да еще и раздутая до невероятных масштабов, стала действительно сенсационной. Массовый потребитель вдруг начал осознавать, что Большой брат действительно следит за ним, что в наше информационное время уже не существует никакой приватности, даже если законность некоторых моментов вызывает серьезные сомнения.



В этом неоднозначном свете, безопасность iPhone 5S ставит один большой вопрос, который, к слову сказать, уже активно обсуждается – не станет ли Touch ID фактически большой автоматизированной системой по сбору дактилоскопической информации для АНБ или других спецслужб? На мой субъективный взгляд – конечно станет! Но вот остановит ли это пользователей от покупки и использования новой «фишки» – это вопрос, ответ на который сможет дать только время. Благо ждать осталось недолго.

Комментариев: 8

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии

23.09.2013 19:40:25

Скажите, пожалуйста: а в чем собственно заключается опасность того, что информация о моих отпечатках пальцев будет известна АНБ и другим спецслужбам?

Мои отпечатки пальцев давно известны Госдепу (совершенно добровольно сдавал сам еще много лет назад при получении американской визы). И отлично известны пограничной (миграционной службе США) - прикладываюсь к их сканерам при каждом посещении США (2-3 раза в год).
Не чувствую при этом никакой обеспокоенности на этот счет, нормальный сон, аппетит...

Может быть, я чего-то не понимаю? Поясните, пожалуйста...

24.09.2013 13:53:43

Я полностью разделяю вашу позицию. В целом, я тоже не ощущаю никакого дискомфорта от того что слепки моих пальцев будут где-нибудь в АНБ. Но я так же встречал людей, которых этот вопрос сильно волнует. Да и вся шумиха которую раздули журналисты вокруг Сноудена, она ведь тоже не на пустом месте возникла. Если бы большинство людей относились к этому спокойно, то и "сенсации" бы не было. Но мы увидели "сенсацию", и огромное количество людей, которые кричат о нарушении своих конституционных прав, о вторжении в их частную жизнь и т.п. Этих людей много, реально много и как они отреагируют на нововведение - это еще предстоит увидеть в ближайшем будущем.

Именно поэтому я написал краткую заметку об "оборотной стороне медали", ведь сейчас нам сложно судить какая из "сторон" в итоге будет доминировать. А от этого, фактически, зависит будущее данной технологии и это безусловно может повлиять на количество продаж Apple. Обрушение их акций после презентации мы уже видели, и стоит журналистам начать раздувать очередную "сенсацию" - акции рухнут еще сильнее.

24.09.2013 14:41:43

Я не очень понимаю суть обсуждемой проблемы: мы переживаем за судьбу Apple или мы собираемся торговать в России айФонами и нам нужно убедить в чем-то покупателей?
Или мы сами хотим купить прибор и сомневаемся?

Во-первых, категорически не согласен с тезисом

Цитата
шумиха которую раздули журналисты вокруг Сноудена


Шумиха эта раздута нашими госвластями, в том числе с помощью их госСМИ, которые к журналистике не имеют никакого отношения.
В ИТ-СМИ это раздута ИТ-поставщиками (в первую очередь безопасниками) и средствами информации, которые идут у них на поводу.
Давайте отличать "кукол" и "кукловоодов".


За Apple волноваться не стоит. У них в маркетинге (не реклама, а именно изучение рынка) сидят нормальные ребята, которые все просчитали. Они ориентируются на современных ИТ-пользователей (которых много), а не на людей, которые новости узнают из передач НТВ.

Если мы хотим продавать товар, то должны объяснить, что "отпечатки пальцев" - это опция, которой можно и не пользоваться (или это не так?)

Я сам не буду покупать новый АйФон просто потому, что он мне не нужен. smile:)

24.09.2013 16:12:04

Андрей, я перестал понимать вашу логику.

Я не продаю Айфоны, и мне, откровенно говоря, безразлично сколько в итоге их будет продано. Журналисты, СМИ или кто то еще - не важно, важно что тему раздували по всем топовым мировым СМИ, и таки раздули. Целые самолеты с корреспондентами летали в поисках Сноудена на другой континент.

За Apple я не волнуюсь, я лишь говорю о безопасности их нового телефона. Описанное выше в заметке носит сугубо информативный характер, что с этой информацией делать - пусть читатель сам решает. Я никого не застявляю бежать и покупать новые телефоны, как и не призываю байкотировать их.

24.09.2013 17:43:55

Моя логика рассуждений очень простая: говорить о безопасности "вообще" - это не очень понятно. Хорошо бы сформулировать сначала проблему, а уже потом искать методы ее решения.

Что касается того кто и что раздувает, то обратите внимание что Сноудена впомнил тут совсем не журналист smile:)

25.09.2013 09:53:27

Проблема очевидно была сформулирована сотрудниками компании как необходимость применения дополнительных механизмов защиты информации. При этом, с учетом наверняка составленного общего портрета пользователя телефона,
необходимость запоминания даже графических паролей вызывает определенные трудности. Палец же делает (гипотетически)
возможным решение задачи защиты информации при одновременном отсутствии необходимости напряжения памяти smile:)
Так-то всё понятно, но.... Если рассматривать в качестве нарушителя лицо случайно нашедшее или укравшее с целью перепродажи ваш аппарат, то такое решение с пальцем наверное годится, потому как снимок с пальца сделать будет проблематично. А вот если на вашем телефоне действительно содержится важная информация (личные фото, документы и т.п.), то специально работающий по "изъятию" вашего аппарата специалист наверняка примет все необходимые меры по добыче вашего отпечатка вплоть до самого пальца, если это действительно важная информация. кто готов рискнуть пальцем?
а если не готов, зачем тратить деньги на телефон с такой защитой, даже если это мимимишный яблофон.
Кстати , вопрос к автору заметки, а если пользователь телефона по какой-либо причине потерял палец (например, ожог подушки пальца/всей ладони/апмутация), имеет ли он техническую возможность получить доступ к данным своего телефона и позвонить, например, жене чтобы сообщить о трагедии... имеет ли он возможность в дальнейшем изменить настроечную информацию или доступ к телефону будет навечно заблокирован?

25.09.2013 12:15:12

Цитата
Кстати , вопрос к автору заметки, а если пользователь телефона по какой-либо причине потерял палец (например, ожог подушки пальца/всей ладони/апмутация), имеет ли он техническую возможность получить доступ к данным своего телефона ...

Сам я еще в руках этот новый аппарат не крутил, но уверен на 99% что такая возможность будет. Видимо как и с ноутбуками оставят возможность разблокировать телефон по старинке - ПИН-кодом.

Цитата
и позвонить, например, жене чтобы сообщить о трагедии...

В сети уже появились ролики демонстрирующие недоработку в IOS 7, которая позволяет позвонить на любой номер телефона с заблокированного Айфона smile:-) http://www.youtube.com/watch?v=L_1Tary_Qoc

25.09.2013 12:24:30

Если такая возможность предусмотрена, значит ей также может воспользоваться и нарушитель. Тяжко вот сопрягать решения по защите информации с удобством пользователей.
А ролик, да, так сказать демонстрирует smile:)

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии