Consideraciones de Seguridad en la implementación de Sistemas Biométricos. por Arturo Busleiman

Transcripción

1 Consideraciones de Seguridad en la implementación de Sistemas Biométricos por Arturo Busleiman

2 Seguridad en Sistemas Biométricos Algunas definiciones necesarias Ataques Biométricos Conclusiones Tecnologías en estado experimental

3 Biometria - Algunas Definiciones Necesarias Morfológicamente es medir parámetros de lo vivo. Actualmente, el significado del término ha sido ampliado como: El estudio de los métodos para reconocer humanos unívocamente basándose en uno o más rasgos físicos o del comportamiento. Un Sistema Biométrico es la integración de hardware y software utilizado para realizar una identificación y/o autenticación biométrica.

4 Seguridad Informática Algunas Definiciones Necesarias Conjunto de políticas, procedimientos y prácticas necesarias para mantener y ofrecer garantías de la confidencialidad, integridad y disponibilidad de la información.

5 Ataques Biométricos Huellas Dactilares Una huella puede ser duplicada utilizando un molde de gelatina. Reconocimiento de la Voz Con reproducir una grabación es suficiente. Reconocimiento Facial Caso famoso: una fotografía fue suficiente.

6 Ataques Biométricos El Factor Humano Un guardia de seguridad puede hacernos saltear un control biométrico. Caso Real: El centro de cómputos de AT&T en Redwood. Seis Rosquillas al guardia de seguridad fueron suficientes. No se debe olvidar el poder de la ingeniería social.

7 Ataques Biométricos Confianza Se puede capturar la información y luego reproducirla. Esto es conocido como 'Replay Attack'. El problema es que la transacción no contiene una fecha, número de secuencia, ni ningún tipo de autenticación o encriptación. El sistema CONFIA en el sensor. Mal. Denegación de Servicio Acaso ingresar es el único objetivo de un atacante? El sistema de control Lantronix micro100 deja de funcionar si se le envía un paquete de datos tcp/ip en particular. Otros sistemas mueren al ser analizados con una técnica de sondeo de puertos (portscanning), utilizada en cualquier proyecto de Vulnerability Assessment.

8 Ataques Biométricos Robo de Identidad La mayoría de los sistemas no encriptan la comunicación entre el sensor y el sistema de [pre]procesamiento. Incluso se podría usar un ataque TEMPEST (robo a distancia, inalámbrico, de datos. No confíen en sus teclados!). Modificación de Parámetros Biométricos Ya que no hay encriptación ni números de secuencia ni nada... un atacante podría interponerse entre un sensor y el sistema, y modificar la información enviada o recibida.

9 Conclusiones La Biometría no es un sistema de autenticación, sino de identificación. Indica el nombre de usuario, más NO la contraseña, pero el día de hoy se la utiliza como único factor de autenticación. Un Sensor biométrico solo lee ciertos parámetros del individuo. Se deben aplicar las mísmas reglas de la seguridad informática al diseñar y/o implementar un Sistema Biométrico. Bien hecho, y con propósitos bien definidos (aunque acotados), la biometría puede ser una muy útil herramienta para el Estado. Muchos de los parámetros biométricos cambian con el tiempo, o se pueden ver fácilmente comprometidos o afectados.

10 Tecnologías Biométricas en Auge Venas de los Dedos (por Hitachi) Utilizado ampliamente en Bancos por los últimos dos años. Las venas tienen elasticidad biomecánica. Ciertas patologías (hipertensión / diabetes) la afectan. Es más fragil comparado con las Huellas, que requieren una mutilación profunda para ser afectadas. Olor Individual Las Brigadas Caninas lo vienen haciendo hace décadas.. ahora está científicamente comprobado.

11 Tecnologías Biométricas en Auge Procesos Mentales Se obtiene un patrón de cambios de velocidad del flujo sanguíneo que permite formar una 'firma mental'. El sistema va mas allá de ser pasivo, y puede requerir una cierta performance mental antes de permitir el acceso a un sistema.

12 Gracias por su atención! Consideraciones de Seguridad en la implementación de Sistemas Biométricos por Arturo Busleiman