Ваш отпечаток пальца можно взломать за пять долларов

Ваш отпечаток пальца можно взломать за пять долларов

Владимир Безмалый

Аутентификация по отпечатку пальца — удобная альтернатива паролям и PIN-кодам. Кому захочется тратить время на ввод длинной строки цифр, букв и символов, когда будет достаточно простого нажатия?

К сожалению, за это удобство приходится платить. Потому что, в отличие от обычного пароля, вы оставляете отпечаток пальца на дверях такси, экранах iPhone и бокалах вина в местном ресторане.

Кража отпечатка пальца

Чтобы скомпрометировать ваше устройство или учетную запись, нам даже не нужен прямой доступ к вашему отпечатку пальца. Подойдет фотография поверхности, которой вы коснулись (от стола в местной библиотеке до оборудования в ближайшем тренажерном зале).

Рисунок 1 Фотография отпечатка пальца жертвы на экране компьютера

Имея это фото в нашем распоряжении, час работы в фотошопе дает приличный негатив:

Рисунок 2. Негатив отпечатка пальца с предыдущего фото

Затем мы напечатаем изображение на ацетатном листе с помощью лазерного принтера — тонер создает трехмерную структуру отпечатка пальца на листе.

Рисунок 3. Ацетатный лист с нашим свежим принтом

На последнем этапе мы добавляем немного столярного клея поверх отпечатка, чтобы оживить поддельный отпечаток пальца, который мы можем использовать на сканере.

Рисунок 4. Создание синтетического отпечатка пальца

Начало атаки

С отпечатком пальца в руке все, что нам нужно сделать, это приложить его к сканеру.

Рисунок 5. Наш отпечаток пальца работает на MacBook Pro

Мы смогли провести эту хорошо известную атаку на большинстве устройств, которые наша команда имела для тестирования. Если бы это была настоящая атака, у нас был бы доступ к широкому спектру конфиденциальной информации.

Причина успеха атаки

Основная причина успеха атаки заключается в том, что практически ни один датчик отпечатка пальца сегодня не умеет отличать «живое» от «неживого».

Методы распознавания живого человека

Для увеличения надежности применяемой биометрической системы используются следующие методы:

  • мультифакторная аутентификация;
  • мультимодальная (мультибиометрическая) аутентификация;
  • определение, что перед вами живой человек (Liveness Detection).

Для биометрических методов аутентификации важно определить, что идентифицируется именно живой человек. Разработчики используют термин «живучесть» (Liveness), который определен в международном стандарте ISO/IEC 30107-1:2016.

В методах обнаружения живучести в качестве признаков жизни используется физиологическая или поведенческая информация или информация, содержащаяся в биометрическом образце.

В системах распознавания отпечатков пальцев для обнаружения живучести используются:

  • измерение температуры, пульса, электрического сопротивления;
  • обнаружение подкожных признаков;
  • сравнение последовательно принятых биометрических образцов и т. д.

Для других биометрических характеристик методы обнаружения живучести, как правило, основываются на анализе произвольного и непроизвольного поведения. Системы распознавания лица могут требовать от пользователя выполнить движения головой, губами, глазами или изменить выражение лица.

Системы распознавания по голосу могут запрашивать пользователя произнести случайно сгенерированную фразу или буквенно-цифровую последовательность, чтобы предотвратить воспроизведение записанных звуков.

Однако, как не сложно заметить, в большинстве ноутбуков (да что там, скорее даже во всех) сегодня применяются гораздо более дешевые датчики отпечатков пальцев. А уж тем более в смартфонах.

Стандарты

В рамках международного подкомитета по стандартизации ISO/IEC JTC 1 SC 37 Biometrics разработаны три международных стандарта по определению атак на биометрическое предъявление: ISO/IEC 30107-1:2016, ISO/IEC 30107-2:2017 и ISO/IEC 30107-3:2017.

В настоящее время наибольшее распространение среди биометрических характеристик получили следующие: отпечатки пальцев, изображение лица, голос, сосудистое русло руки, радужная оболочка глаза.

Наибольшее количество способов подделки и защиты от них приходится на отпечатки пальцев. Именно от них и идет речь в этой статье.

Отпечатки пальцев. Способы атаки

Как правило, различия между поддельными отпечатками пальцев заключаются в материалах, используемых для создания муляжа. Чаще всего применяется технический желатин, глина, пластилин, стоматологический гипс. После получения образца отпечатка пальца пользователя, имеющего доступ в атакуемую биометрическую систему, создается форма, в которую отливается поддельный палец.

Отпечатки пальцев. Способы защиты

Для определения того, что предъявляется именно живой отпечаток пальца, применяются аппаратные или программные методы, а также их комбинации.

Аппаратные методы:

  • используется мультиспектральная регистрация (фиксация отраженного ИК-излучения — от кожи и от синтетического материала получаются совершенно разные значения). Как правило, используется в оптических считывателях;
  • фиксация пульса, основанная на оптическом или ультразвуковом методе;
  • измерение электрического сопротивления кожи.

Программные методы подразумевают сравнение отсканированного отпечатка пальца с характерными особенностями поддельных образцов. Например, слишком четкий или, наоборот, слишком рваный край отпечатка, слишком ровные линии папиллярного рисунка, большое количество слишком светлых или слишком темных областей в области сканирования – вот лишь некоторые из самых распространенных отличий муляжа от «живого» пальца.

Программный метод анализа отпечатков пальцев опирается на индивидуальные характеристики и возможности конкретного биометрического оборудования, а также на шаблоны и алгоритмы, созданные и запатентованные разработчиками.

Защита от нападения

Как вы можете понять из вышеизложенного, отпечаток пальца не следует рассматривать как безопасную альтернативу надежному паролю. В результате ваша информация — и, возможно, ваши криптоактивы — уязвимы даже для самых неискушенных злоумышленников.

К настоящему времени должно быть ясно, что, хотя ваш отпечаток пальца уникален для вас, его можно относительно легко использовать. В лучшем случае вам следует рассмотреть возможность использования его только в качестве вторичной аутентификации (2FA).

Литература

http://secuteck.ru/articles2/sys_ogr_dost/napadenie-i-zaschita-ot-atak-v-biometrii  

24 ноября, 2021

Alt text

В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!

Владимир Безмалый

О безопасности и не только