Инновационная дыра в безопасности: можно ли обмануть биометрические системы и как это сделать

Биометрические системы распознавания — это наше будущее. Специалисты считают, что такой метод надежнее и безопаснее, чем пароли и магнитные ключи. Ой ли?
Что это
Как угнать палец
Все на виду
Будущее разочаровывает
Что это
Как угнать палец
Все на виду
Будущее разочаровывает
Еще

Что это вообще такое?

Биометрия — это распознавание личности по физическим или поведенческим чертам. Отпечатки пальцев, сетчатка глаза, форма лица, голос и даже походка — все это биометрические параметры, которые можно использовать для идентификации личности.

Обыватель чаще видит биометрическое распознавание в кино, чем в реальной жизни. Но и в простых бытовых ситуациях с этими технологиями можно столкнуться. Например, Touch ID на iPhone — как раз биометрическое распознавание.

Подобный метод распознавания считается наиболее совершенным, так как идентификация ведется по уникальным маркерам, в теории присущим только лишь одному конкретному человеку и никому более. Пароль можно подобрать или подслушать, с ключа сделать копию, а вот отращивать точно такой же палец как у нужного человека, да с таким же узором на подушечке еще никто не научился.

Отпечаток пальца — уникальный и уязвимый. Фото: Depositphotos
Отпечаток пальца — уникальный и уязвимый. Фото: Depositphotos

Как «угнать» палец

Однако и подобные системы распознавания можно обмануть. И мы сейчас не говорим об отрезании пальца, хотя подобными методами сейчас пользуются, например, угонщики автомобилей. Сенсор распознавания отпечатков можно обвести вокруг пальца банальным слепком.

Уже несколько лет назад подобный метод продемонстрировали сотрудники компании Vkansee. Хваленый эппловский Touch ID распознает линии на подушечках пальцев, но не распознает материал. Парни из Vkansee продемонстрировали, что точно так же как на палец владельца, сенсор реагирует на слепок. Эксперимент провели с двумя вариантами материала — обычным детским пластилином и стоматологическим силиконом (его используют для создания зубных слепков). В обоих случаях Touch ID не распознал подмены.

Согласны, это скорее proof-of-concept метод, концептуальное исследование, показывающее теоретическую возможность взлома. В реальности такое представить тяжело — разве что во второсортном фильме, где важного человека зовут на утренник в детском саду и подсовывают ему пластилин, поиграть немного с детьми.

Современные технологии позволяют создать реалистичную копию отпечатка пальца — и даже без участия владельца. Фото: Depositphotos
Современные технологии позволяют создать реалистичную копию отпечатка пальца — и даже без участия владельца. Фото: Depositphotos

Но что, если мы скажем вам, что получать слепок напрямую вовсе не обязательно? Да, отпечатки пальцев можно получить, даже не приближаясь к нужному человеку. Слепок можно сделать даже по фотографии — очень высокого качества, конечно. Такую возможность хорошо продемонстрировал немецкий хакер Ян Кресслер. Используя снимки немецкого министра обороны Урсулы фон дер Лейен, Кресслер при помощи специального софта создал модель отпечатков чиновницы. Причем одно фото хакер сделал самостоятельно, а за вторым вообще далеко ходить не пришлось — оно было в официальном пресс-релизе министерства.

Все на виду, и это главная проблема

Главная проблема биометрических данных в том, что их можно скопировать. С учетом развития современных технологий — даже слишком легко. Радужную оболочку можно «украсть» точно так же — не вырывая глаза у владельца. Нужны хороший фотоаппарат и 3D-принтер.

«Самый простой способ сделать снимок радужной оболочки — при помощи цифровой камеры в режиме ночной съемки, либо удалить из нее инфракрасный фильтр. В спектре инфракрасного света (который обычно фильтруется) хорошо различимы мелкие, обычно трудно различимые детали радужной оболочки темных глаз», — пишут хакеры из сообщества Chaos Computer Club.

Хорошей цифровой камеры с 200-миллиметровым объективом на расстоянии до 5 метров достаточно для того, чтобы сделать снимок радужной оболочки с нужным разрешением.
И сетчатка глаза тоже под угрозой. Фото: Depositphotos
И сетчатка глаза тоже под угрозой. Фото: Depositphotos

Систему распознавания лиц тоже можно обмануть. Специалисты по кибербезопасности из фирмы Bkav продемонстрировали, что алгоритм Face ID от Apple можно взломать при помощи все тех же контактных линз и 3D-маски лица, сделанной на принтере. Система распознавания, в которой задействованы обычная и инфракрасная камеры, точечный проектор, алгоритмы машинного обучения, защищенное хранилище и защищенная же обработка данных, оказалась вполне себе дырявой.

Специалисты из Bkav соглашаются, что подобный метод обмана биометрических систем довольно трудозатратен и требует много времени. Но с «большими шишками» он может быть и оправдан. В Bkav не рекомендуют пользоваться Face ID и подобными алгоритмами при бизнес-транзакциях, а также предостерегают известных людей от пользования этими системами.

Вот так Face ID обманывали при помощи маски.

Будущее наступило, и оно разочаровывает

Кажется, биометрические системы безопасности ничуть не безопаснее классических кодов и паролей. Пароль можно выучить и не хранить нигде, кроме своей головы — а как скрыть от других свои глаза и отпечатки пальцев? Вечные очки и перчатки?

Еще одна важная проблема кроется как раз в уникальности биометрических данных. В случае взлома условного хранилища паролей его можно заменить. А чем заменить отпечаток пальца, если вдруг базу отпечатков «угонят» хакеры?

Скорее всего, биометрия может быть только дополнением к классическим методам безопасности, но никак не самостоятельной технологией. То, что пару десятков лет назад казалось вершиной прогресса, сегодня разочаровывающе несовершенно.

Это тоже интересно: