Uwierzytelnianie biometryczne, w tym rozpoznawanie twarzy i skanery linii papilarnych, jest coraz powszechniejsze. Dodało dużo świeżości do bezpieczeństwa, szczególnie jeśli chodzi o urządzenia mobilne. Nie oznacza to jednak, że zabezpieczenia biometryczne są w pełni odporne na ataki hackerskie.
8 sierpnia, na wirtualnej konferencji DEFCON badaczka bezpieczeństwa Yamila Levalle z Dreamlab Technologies przedstawiła, w jaki sposób była w stanie ominąć uwierzytelnianie biometryczne w przypadku wielu różnych typów skanerów linii papilarnych. Podczas swojej sesji Levalle wyjaśniła różne metody obejścia, w tym użycie budżetowej drukarki 3D, które przyniosły pozytywne rezultaty.
„Biometria to nauka o określaniu tożsamości w oparciu o fizyczne lub behawioralne cechy” – wyjaśniła Levalle. „Systemy biometryczne to zasadniczo systemy rozpoznawania wzorców, które odczytują dane biometryczne jako wejściowe, a następnie wyodrębniają zestaw funkcji z takich danych i ostatecznie porównują go z szablonem przechowywanym w bazie danych”.
Ataki na systemy biometryczne
Wyróżnia się kilka rodzajów ataków na zabezpieczenia biometryczne:
- ataki fizyczne
- ataki prezentacyjne
- podszywanie się (spoofing attacks)
Levalle w swoim wystąpieniu była skupiona na spoofingu, czyli próbach oszukania systemu, aby uwierzył, że fałszywy odcisk palca jest w rzeczywistości autentyczny.
Ataki na systemy biometryczne nie są tylko hipotezą i akcjami z filmów „Mission Impossible”. Zdarzają się w świecie rzeczywistym, co zainspirowało Levalle do przeprowadzenia badań. W jej rodzinnym kraju, Argentynie, sześciu pracowników linii Aerolineas Argentinas zostało złapanych w 2019 roku za fałszowanie obecności w pracy. Pracownicy linii lotniczych rzekomo używali silikonowych odcisków palców do odprawy innych osób, które nie były w tym czasie obecne w pracy.
Jak oszukać skaner odcisków palców?
Prezenterka wyjaśniła, że skaner linii papilarnych nie musi znajdować całego wzoru charakterystycznych cech w ludzkim odcisku palca, aby działać. Zauważyła raczej, że po prostu musi znaleźć wystarczającą liczbę wzorów, które odcisk w bazie danych i ten użyty do autoryzacji mają wspólne.
W ramach swoich badań, aby sprawdzić, czy możliwe jest użycie odcisku palca wydrukowanego w 3D, który może oszukać większość skanerów, powiedziała, że potrzebna jest drukarka 3D typu żywicy UV. Wykorzystała do tego ekonomiczną drukarkę 3D Anycubic Photon, która może drukować z rozdzielczością 25 mikronów. Co ciekawe, grzbiety ludzkich linii papilarnych mogą mieć wysokość od 20 do 60 mikronów.
Pierwszym krokiem w jej badaniach było zebranie ukrytego odcisku palca za pomocą aparatu cyfrowego z funkcją makro. Obraz został następnie cyfrowo ulepszony narzędziem open source w języku Python. Następnym krokiem było przeniesienie obrazu do narzędzia do modelowania 3D, takiego jak TinkerCAD, w celu stworzenia działającego prototypu.
Według Levalle najtrudniejszą częścią procesu było skonfigurowanie proporcji (długości i szerokości) odcisku palca do tych samych co oryginał. Całość prezentacji była symulowanym atakiem, więc nie można było wykonać dokładnych pomiarów palca, np. za pomocą mikroskopu i przenieść to na tworzony model. Ostatecznie po ponad 10 próbach udało jej się wydrukować w 3D odcisk palca, który mógł oszukać skanery.
Wnioski
Nasuwają się myśli, że biometria wcale nie jest taka bezpieczna jakby mogło się wszystkim wydawać. Jeśli praktycznie każdy jest w stanie zrobić model w domowych warunkach zdolny oszukać skanery, to nie należy bezgranicznie ufać tej metodzie. Mając dobrej jakości zdjęcie cyfrowe makro czyjegoś opuszka palców reszta staje się tylko żmudną pracą i testowaniem prototypów modelu.