Что это вообще такое?
Биометрия — это распознавание личности по физическим или поведенческим чертам. Отпечатки пальцев, сетчатка глаза, форма лица, голос и даже походка — все это биометрические параметры, которые можно использовать для идентификации личности.
Обыватель чаще видит биометрическое распознавание в кино, чем в реальной жизни. Но и в простых бытовых ситуациях с этими технологиями можно столкнуться. Например, Touch ID на iPhone — как раз биометрическое распознавание.
Подобный метод распознавания считается наиболее совершенным, так как идентификация ведется по уникальным маркерам, в теории присущим только лишь одному конкретному человеку и никому более. Пароль можно подобрать или подслушать, с ключа сделать копию, а вот отращивать точно такой же палец как у нужного человека, да с таким же узором на подушечке еще никто не научился.
Как «угнать» палец
Однако и подобные системы распознавания можно обмануть. И мы сейчас не говорим об отрезании пальца, хотя подобными методами сейчас пользуются, например, угонщики автомобилей. Сенсор распознавания отпечатков можно обвести вокруг пальца банальным слепком.
Уже несколько лет назад подобный метод продемонстрировали сотрудники компании Vkansee. Хваленый эппловский Touch ID распознает линии на подушечках пальцев, но не распознает материал. Парни из Vkansee продемонстрировали, что точно так же как на палец владельца, сенсор реагирует на слепок. Эксперимент провели с двумя вариантами материала — обычным детским пластилином и стоматологическим силиконом (его используют для создания зубных слепков). В обоих случаях Touch ID не распознал подмены.
Согласны, это скорее proof-of-concept метод, концептуальное исследование, показывающее теоретическую возможность взлома. В реальности такое представить тяжело — разве что во второсортном фильме, где важного человека зовут на утренник в детском саду и подсовывают ему пластилин, поиграть немного с детьми.
Но что, если мы скажем вам, что получать слепок напрямую вовсе не обязательно? Да, отпечатки пальцев можно получить, даже не приближаясь к нужному человеку. Слепок можно сделать даже по фотографии — очень высокого качества, конечно. Такую возможность хорошо продемонстрировал немецкий хакер Ян Кресслер. Используя снимки немецкого министра обороны Урсулы фон дер Лейен, Кресслер при помощи специального софта создал модель отпечатков чиновницы. Причем одно фото хакер сделал самостоятельно, а за вторым вообще далеко ходить не пришлось — оно было в официальном пресс-релизе министерства.
Все на виду, и это главная проблема
Главная проблема биометрических данных в том, что их можно скопировать. С учетом развития современных технологий — даже слишком легко. Радужную оболочку можно «украсть» точно так же — не вырывая глаза у владельца. Нужны хороший фотоаппарат и 3D-принтер.
«Самый простой способ сделать снимок радужной оболочки — при помощи цифровой камеры в режиме ночной съемки, либо удалить из нее инфракрасный фильтр. В спектре инфракрасного света (который обычно фильтруется) хорошо различимы мелкие, обычно трудно различимые детали радужной оболочки темных глаз», — пишут хакеры из сообщества Chaos Computer Club.
Хорошей цифровой камеры с 200-миллиметровым объективом на расстоянии до 5 метров достаточно для того, чтобы сделать снимок радужной оболочки с нужным разрешением.
Систему распознавания лиц тоже можно обмануть. Специалисты по кибербезопасности из фирмы Bkav продемонстрировали, что алгоритм Face ID от Apple можно взломать при помощи все тех же контактных линз и 3D-маски лица, сделанной на принтере. Система распознавания, в которой задействованы обычная и инфракрасная камеры, точечный проектор, алгоритмы машинного обучения, защищенное хранилище и защищенная же обработка данных, оказалась вполне себе дырявой.
Специалисты из Bkav соглашаются, что подобный метод обмана биометрических систем довольно трудозатратен и требует много времени. Но с «большими шишками» он может быть и оправдан. В Bkav не рекомендуют пользоваться Face ID и подобными алгоритмами при бизнес-транзакциях, а также предостерегают известных людей от пользования этими системами.
Будущее наступило, и оно разочаровывает
Кажется, биометрические системы безопасности ничуть не безопаснее классических кодов и паролей. Пароль можно выучить и не хранить нигде, кроме своей головы — а как скрыть от других свои глаза и отпечатки пальцев? Вечные очки и перчатки?
Еще одна важная проблема кроется как раз в уникальности биометрических данных. В случае взлома условного хранилища паролей его можно заменить. А чем заменить отпечаток пальца, если вдруг базу отпечатков «угонят» хакеры?
Скорее всего, биометрия может быть только дополнением к классическим методам безопасности, но никак не самостоятельной технологией. То, что пару десятков лет назад казалось вершиной прогресса, сегодня разочаровывающе несовершенно.
Это тоже интересно: