Oszukiwanie zabezpieczeń biometrycznych za pomocą drukarki 3D

Ataki na systemy biometryczne

Wyróżnia się kilka rodzajów ataków na zabezpieczenia biometryczne:

• ataki fizyczne
• ataki prezentacyjne
• podszywanie się (spoofing attacks)

Levalle w swoim wystąpieniu była skupiona na spoofingu, czyli próbach oszukania systemu, aby uwierzył, że fałszywy odcisk palca jest w rzeczywistości autentyczny.

Ataki na systemy biometryczne nie są tylko hipotezą i akcjami z filmów „Mission Impossible”. Zdarzają się w świecie rzeczywistym, co zainspirowało Levalle do przeprowadzenia badań. W jej rodzinnym kraju, Argentynie, sześciu pracowników linii Aerolineas Argentinas zostało złapanych w 2019 roku za fałszowanie obecności w pracy. Pracownicy linii lotniczych rzekomo używali silikonowych odcisków palców do odprawy innych osób, które nie były w tym czasie obecne w pracy.

Jak oszukać skaner odcisków palców?

Prezenterka wyjaśniła, że skaner linii papilarnych nie musi znajdować całego wzoru charakterystycznych cech w ludzkim odcisku palca, aby działać. Zauważyła raczej, że po prostu musi znaleźć wystarczającą liczbę wzorów, które odcisk w bazie danych i ten użyty do autoryzacji mają wspólne.

W ramach swoich badań, aby sprawdzić, czy możliwe jest użycie odcisku palca wydrukowanego w 3D, który może oszukać większość skanerów, powiedziała, że potrzebna jest drukarka 3D typu żywicy UV. Wykorzystała do tego ekonomiczną drukarkę 3D Anycubic Photon, która może drukować z rozdzielczością 25 mikronów. Co ciekawe, grzbiety ludzkich linii papilarnych mogą mieć wysokość od 20 do 60 mikronów.

Pierwszym krokiem w jej badaniach było zebranie ukrytego odcisku palca za pomocą aparatu cyfrowego z funkcją makro. Obraz został następnie cyfrowo ulepszony narzędziem open source w języku Python. Następnym krokiem było przeniesienie obrazu do narzędzia do modelowania 3D, takiego jak TinkerCAD, w celu stworzenia działającego prototypu.

Według Levalle najtrudniejszą częścią procesu było skonfigurowanie proporcji (długości i szerokości) odcisku palca do tych samych co oryginał. Całość prezentacji była symulowanym atakiem, więc nie można było wykonać dokładnych pomiarów palca, np. za pomocą mikroskopu i przenieść to na tworzony model. Ostatecznie po ponad 10 próbach udało jej się wydrukować w 3D odcisk palca, który mógł oszukać skanery.

Wnioski

Nasuwają się myśli, że biometria wcale nie jest taka bezpieczna jakby mogło się wszystkim wydawać. Jeśli praktycznie każdy jest w stanie zrobić model w domowych warunkach zdolny oszukać skanery, to nie należy bezgranicznie ufać tej metodzie. Mając dobrej jakości zdjęcie cyfrowe makro czyjegoś opuszka palców reszta staje się tylko żmudną pracą i testowaniem prototypów modelu.