Menu dostępności

Oszukiwanie zabezpieczeń biometrycznych za pomocą drukarki 3D

Uwierzytelnianie biometryczne, w tym rozpoznawanie twarzy i skanery linii papilarnych, jest coraz powszechniejsze. Dodało dużo świeżości do bezpieczeństwa, szczególnie jeśli chodzi o urządzenia mobilne. Nie oznacza to jednak, że zabezpieczenia biometryczne są w pełni odporne na ataki hackerskie.

8 sierpnia, na wirtualnej konferencji DEFCON badaczka bezpieczeństwa Yamila Levalle z Dreamlab Technologies przedstawiła, w jaki sposób była w stanie ominąć uwierzytelnianie biometryczne w przypadku wielu różnych typów skanerów linii papilarnych. Podczas swojej sesji Levalle wyjaśniła różne metody obejścia, w tym użycie budżetowej drukarki 3D, które przyniosły pozytywne rezultaty.

„Biometria to nauka o określaniu tożsamości w oparciu o fizyczne lub behawioralne cechy” – wyjaśniła Levalle. „Systemy biometryczne to zasadniczo systemy rozpoznawania wzorców, które odczytują dane biometryczne jako wejściowe, a następnie wyodrębniają zestaw funkcji z takich danych i ostatecznie porównują go z szablonem przechowywanym w bazie danych”.


Ataki na systemy biometryczne

Wyróżnia się kilka rodzajów ataków na zabezpieczenia biometryczne:

  • ataki fizyczne
  • ataki prezentacyjne
  • podszywanie się (spoofing attacks)

Levalle w swoim wystąpieniu była skupiona na spoofingu, czyli próbach oszukania systemu, aby uwierzył, że fałszywy odcisk palca jest w rzeczywistości autentyczny.

Ataki na systemy biometryczne nie są tylko hipotezą i akcjami z filmów „Mission Impossible”. Zdarzają się w świecie rzeczywistym, co zainspirowało Levalle do przeprowadzenia badań. W jej rodzinnym kraju, Argentynie, sześciu pracowników linii Aerolineas Argentinas zostało złapanych w 2019 roku za fałszowanie obecności w pracy. Pracownicy linii lotniczych rzekomo używali silikonowych odcisków palców do odprawy innych osób, które nie były w tym czasie obecne w pracy.


Jak oszukać skaner odcisków palców?

Prezenterka wyjaśniła, że skaner linii papilarnych nie musi znajdować całego wzoru charakterystycznych cech w ludzkim odcisku palca, aby działać. Zauważyła raczej, że po prostu musi znaleźć wystarczającą liczbę wzorów, które odcisk w bazie danych i ten użyty do autoryzacji mają wspólne.

W ramach swoich badań, aby sprawdzić, czy możliwe jest użycie odcisku palca wydrukowanego w 3D, który może oszukać większość skanerów, powiedziała, że potrzebna jest drukarka 3D typu żywicy UV. Wykorzystała do tego ekonomiczną drukarkę 3D Anycubic Photon, która może drukować z rozdzielczością 25 mikronów. Co ciekawe, grzbiety ludzkich linii papilarnych mogą mieć wysokość od 20 do 60 mikronów.

Pierwszym krokiem w jej badaniach było zebranie ukrytego odcisku palca za pomocą aparatu cyfrowego z funkcją makro. Obraz został następnie cyfrowo ulepszony narzędziem open source w języku Python. Następnym krokiem było przeniesienie obrazu do narzędzia do modelowania 3D, takiego jak TinkerCAD, w celu stworzenia działającego prototypu.

Według Levalle najtrudniejszą częścią procesu było skonfigurowanie proporcji (długości i szerokości) odcisku palca do tych samych co oryginał. Całość prezentacji była symulowanym atakiem, więc nie można było wykonać dokładnych pomiarów palca, np. za pomocą mikroskopu i przenieść to na tworzony model. Ostatecznie po ponad 10 próbach udało jej się wydrukować w 3D odcisk palca, który mógł oszukać skanery.


Wnioski

Nasuwają się myśli, że biometria wcale nie jest taka bezpieczna jakby mogło się wszystkim wydawać. Jeśli praktycznie każdy jest w stanie zrobić model w domowych warunkach zdolny oszukać skanery, to nie należy bezgranicznie ufać tej metodzie. Mając dobrej jakości zdjęcie cyfrowe makro czyjegoś opuszka palców reszta staje się tylko żmudną pracą i testowaniem prototypów modelu.

Popularne

Masowy wyciek danych PayPal – 15,8 miliona haseł w rękach cyberprzestępców

Masowy wyciek danych PayPal – 15,8 miliona haseł w rękach cyberprzestępców

16 sierpnia br. na forum cyberprzestępczym pojawiła się oferta sprzedaży ogromnej bazy danych, zawierającej ponad 15,8 miliona par adresów e-mail i haseł w formacie jawnego tekstu powiązanych z konta...
Groźna dziura w Microsoft IIS. Deserializacja usług może prowadzić do zdalnego wykonania kodu

Groźna dziura w Microsoft IIS. Deserializacja usług może prowadzić do zdalnego wykonania kodu

W połowie sierpnia 2025 roku ujawniono poważną lukę bezpieczeństwa w narzędziu Microsoft Web Deploy 4.0, używanym do publikacji aplikacji webowych na serwerach IIS. Luka – oznaczona jako CVE-2025-53772 – pozwal...
Nieznany exploit RCE dla Windows 10/11 i Server 2022 na sprzedaż. Czy konto SYSTEM jest już na wyciągnięcie ręki?

Nieznany exploit RCE dla Windows 10/11 i Server 2022 na sprzedaż. Czy konto SYSTEM jest już na wyciągnięcie ręki?

W świecie cyberbezpieczeństwa nic nie budzi większego niepokoju niż niezałatana luka typu zero-day, dająca możliwość wykonania zdalnego kodu bez żadnej interakcji ze strony użytkownika. Na czarnym ry...
Wyciek kodu źródłowego trojana bankowego ERMAC V3.0

Wyciek kodu źródłowego trojana bankowego ERMAC V3.0

Świat cyberbezpieczeństwa odnotował kolejne znaczące wydarzenie – ujawniono pełny kod źródłowy zaawansowanego trojana bankowego ERMAC V3.0, stworzonego z myślą o urządzeniach z systemem Android i działające...
Miliony laptopów Dell narażone na kompromitację

Miliony laptopów Dell narażone na kompromitację

Niedawno pisaliśmy o kłopotach Lenovo, dzisiaj czas na Dell. Okazuje się, że pięć luk w oprogramowaniu ControlVault3 i powiązanych interfejsach API systemu Windows naraża miliony laptopów na trwałe w...