6 mar 2015

Hakerzy mogą oszukać biometryczne zabezpieczenia oparte o skaner tęczówki oka

2

Biometryczne systemy bezpieczeństwa, które dla każdej osoby posiadają unikatowy identyfikator (ID), takie jak skanery siatkówki, tęczówki, odcisku palca lub DNA, wciąż się rozwijają aby zmienić nasze życie na lepsze. W ostatnich latach systemy bezpieczeństwa oparte na liniach papilarnych, które są szeroko stosowane np. w smartfonach i systemach sądownictwa do zapisywania informacji użytkowników i weryfikacji tożsamości osoby, zostały pominięte kilkakrotnie przez różnych badaczy bezpieczeństwa. Teraz skaner tęczówki został pokonany. W jaki sposób? Na pewno nie w taki jak to pokazują w filmach, gdzie napastnik musi zmusić osobę upoważnioną i przytrzymać jej oko przed skanerem tęczówki. Zamiast tego hakerzy znaleźli o wiele bardziej prostszy sposób na ominięcie tego systemu bezpieczeństwa  biometrycznego, a dokładnie poprzez... wykorzystanie zdjęć (!). 


Badacz bezpieczeństwa Jan Krissler nazywany Starbug, który sklonował odcisk palca niemieckiej minister ds. obrony narodowej przy użyciu zdjęć zrobionych przez "standardowy aparat fotograficzny" na konferencji prasowej, twierdzi, że ta sama technika jest możliwa aby oszukać biometryczny system bezpieczeństwa oparty na skanerze tęczówki oka.W grudniu tamtego roku, na 31 konferencji Chaos Computer Conference (CCC)  w Hamburgu w Niemczech, Krissler opisał jak poprzez zdjęcia kciuka Pani Ursuli von der Leyen (zrobionych z dość bliskiej odległości, pod różnymi kątami) - stworzył dokładny odcisk jej palca za pomocą komercyjnego oprogramowania do linii papilarnych od VeriFinger. Krissler stworzył dokładny klon odcisku kciuka Pani minister, choć nie był w stanie go zweryfikować, ponieważ nie dostał jej zezwolenia na prowadzenie dalszych badań. Podczas kolejnych rozmów na konferencji bezpieczeństwa w Vancouver w tym miesiącu, Krissler będzie szczegółowo opisywał jak podobnie można ominąć skanery tęczówek - po prostu za pomocą zdjęć zebranych z Internetu.
Udany atak zależy od wielu czynników, takich jak:


•        Docelowe oczy powinny być jasne, ze względu na system oparty na podczerwieni;
•        Obraz powinien być duży i rozbudowany;
•        Obraz tęczówki o średnicy 75 pikseli;
•        Wydruki powinny mieć rozdzielczość 1200 dpi.


Główna różnica między tymi dwiema technikami jest taka, że w przeciwieństwie do systemów zabezpieczeń linii papilarnych, która wymaga stworzenia odpowiedniego klonu palca, skanery tęczówek do rozpoznania potrzebują tylko wydruku - twierdzi badacz:


"Udało nam się oszukać system handlowy poprzez wydruk tęczówki" - powiedział Krisser na łamach Forbes. "Zrobiłem testy z różnymi ludźmi i można powiedzieć, że obraz tęczówki o średnicy do 75 pikseli działał w naszych testach. Wydruk musiał mieć rozdzielczość 1200 dpi, ale łatwo jest znaleźć takie drukarki przy dzisiejszej technice. Dodatkowo na druku powinien być widoczny co najmniej 75 procentowy obszar tęczówki."


Proste wyszukiwanie w Google Grafika dostarczyć może wiele atrakcyjnych celów ze świata politycznego, w tym rosyjskiego prezydenta Władimira Putina, sekretarza stanu USA Hillary Clinton lub premiera Wielkiej Brytanii Davida Camerona. Krisser znalazł także plakat wyborczy Angeli Merkel o średnicy tęczówki 175 pikseli, który ponoć był idealny.

 
O stopniu zagrożenia może świadczyć fakt, że biometryczne systemy zabezpieczeń zostały wykorzystane m.in. w portach lotniczych i w innych budynkach o wysokim stopniu ochrony aby uniemożliwić dostęp do narzędzi i informacji wrażliwych. Choć wiele z tych produktów bezpieczeństwa biometrycznego oferuje wielkie możliwości, dla hakerów i przestępców nie będzie to miało większego znaczenia, gdyż nie zrezygnują oni z chęci wykorzystania każdej porażki technologicznej aby wzbogacać swoje dokonania.


Źródło:
http://thehackernews.com/2015/03/iris-biometric-security-bypass.html

2 komentarze:

Dominika Starańska pisze...

Bardzo fajnie napisane. Pozdrawiam.

Karolina Zarębska pisze...

Naprawdę świetnie napisane. Pozdrawiam.

Prześlij komentarz

 
Do korespondencji zalecamy nasz klucz PGP.
Design by ThemeShift