На фоне агрессивно-вульгарного (с постулированием догмата о вечной непогрешимости, который позволяет проигнорировать без рассмотрения ветку компрометации) впаривания технологий биометрической идентификации человечков полагаю полезным привести исторический экскурс по теме компрометации на примере одной из первых (и потому обременённой достаточной временнОй базой подбора) технологий.
Итак:
Подделка отпечатков пальцев — можно, но сложно
Исследователи научились создавать фейковые отпечатки пальцев, способные обмануть множество устройств, — правда, потратив на это немало усилий.
Дебаты о том, насколько безопасна авторизация при помощи отпечатков пальцев, ведутся уже не первый год. Еще в 2013-м, вскоре после того как вышел iPhone 5S с Touch ID, его смогли обмануть, сфотографировав отпечаток пальца на стекле и сделав слепок. Однако технологии не стоят на месте.
Например, в прошлом году смартфоны начали массово оснащать ультразвуковыми сканерами отпечатков пальцев, которые прячутся под экран гаджета, так что никакие дополнительные панели не нужны. Такие сканеры считались более надежными, чем их предшественники.
Наши коллеги из команды Cisco Talos решили проверить, легко ли обмануть сканеры отпечатков пальцев в современных устройствах, или же эта технология наконец-то стала по-настоящему безопасной.
Авторизация с помощью отпечатков пальцев — теория
Для начала поговорим о том, как работают сканеры отпечатков пальцев. Основная идея проста: когда вы прикладываете палец к сканеру, чтобы разблокировать смартфон, ноутбук или умный замок, сенсор тем или иным способом получает изображение вашего папиллярного рисунка. Существует несколько типов сканеров, и каждый из них распознает отпечаток по-своему. Исследователи из Cisco Talos сосредоточились на трех наиболее популярных типах:
- Емкостные сканеры — самый распространенный тип. Емкостный сканер получает изображение при помощи небольшого электрического заряда. Для этого в него встроены миниатюрные конденсаторы — устройства, способные накапливать электричество. Когда палец касается сканера, он эти конденсаторы разряжает. В тех местах, где палец вплотную подходит к датчику (гребни отпечатка) — больше, а там, где между кожей и датчиком остается зазор (впадины отпечатка) — меньше. Сканер измеряет эту разницу и определяет по ней рисунок отпечатка.
- Оптические сканеры фактически фотографируют отпечаток пальца. Устройство светит на палец через призму, свет по-разному отражается от гребней и впадин, а датчик считывает его и получает нужную картинку.
- Ультразвуковые сканеры вместо света посылают ультразвуковой сигнал и записывают эхо, которое от гребней и впадин тоже образуется разное. Такому сканеру не обязательно соприкасаться с пальцем, поэтому его можно прятать под экран смартфона. Кроме того, он «слышит» не только ту часть пальца, которая прилегает к поверхности, но и удаленные от датчика края подушечки, так что картинка выходит объемная. Это помогает распознать обман с помощью плоских копий отпечатка.
Получив ваш отпечаток пальца, сканер — или операционная система — сравнивает его с тем, который хранится в памяти устройства. При этом все существующие методы считывания отпечатков могут давать некоторую погрешность, так что при сравнении допускается определенный процент несовпадений — для каждого устройства свой.
Если этот процент высокий, скорее всего, подделать отпечаток будет проще. Если настройки более строгие и процент допустимой погрешности низкий, обмануть сканер будет сложнее, но и настоящего хозяина гаджет будет узнавать через раз.
Как исследователи отпечатки подделывали
Так или иначе, чтобы изготовить копию отпечатка пальца, нужно сначала добыть сам отпечаток. Исследователи нашли три способа это сделать.
Как украсть отпечаток пальца, первый способ: снять форму для отливки
Можно снять отпечаток пальца жертвы, пока человек находится в бессознательном состоянии или, скажем, основательно пьян. Для этого подойдет любой мягкий, но застывающий материал — например, полимерная глина.
В результате в руках злоумышленника сразу оказывается форма для отливки фейкового отпечатка. Очевидная трудность состоит в том, что нужно застать жертву в «правильном» состоянии или же ее в это состояние ввести.
Как украсть отпечаток пальца, второй способ: раздобыть снимок со сканера
Также можно тем или иным способом раздобыть отпечаток пальца, снятый при помощи сканера. Сам по себе этот метод технически сложнее. Однако далеко не все компании, работающие с биометрическими данными, хранят их надежно. Поэтому не исключено, что воришка найдет отсканированные отпечатки в Сети или по дешевке купит в даркнете.
После этого плоскую картинку нужно превратить в трехмерную модель и распечатать на 3D-принтере — и тут есть свои нюансы. Во-первых, в программе, в которой исследователи готовили рисунок к печати, не оказалось возможности задать размер модели. Во-вторых, фотополимер, который использовался в бюджетном 3D-принтере, нужно было после печати прогреть, и габариты образца при этом менялись.
В-третьих, по опыту исследований собственно отпечаток из этого полимера получается слишком жестким, чтобы хотя бы один сканер признал его за настоящий палец. Поэтому исследователи в итоге напечатали не сам слепок, а форму, в которой потом вручную отливали фальшивые отпечатки из более упругого материала.
Как украсть отпечаток пальца, третий способ: сфотографировать отпечаток на стекле
Еще один очевидный вариант — сфотографировать отпечаток на стеклянной поверхности. Именно так поступили взломщики в истории с iPhone 5S — в таком виде отпечаток получить проще всего. После этого картинку придется обработать, чтобы добиться нужного уровня четкости, а дальше, как и в предыдущем случае, все упрется в 3D-печать.
Как отмечают исследователи, эксперименты с 3D-принтером оказались очень долгими и муторными: нужно было откалибровать принтер, наощупь найти подходящий размер формы, а сама печать одной модели (которых им в общей сложности пришлось сделать 50 штук) с нужными настройками занимала час. То есть быстренько слепить фейковый отпечаток пальца для разблокировки украденного смартфона таким способом не получится. Да и метод со снятием отпечатка у спящей жертвы тоже не суперскоростной.
К тому же форма для отлива отпечатков — это еще полдела. Нужно же и сам фейк изготовить. Тут самым нетривиальным оказался выбор материала, ведь тестировать подделку планировалось на трех типах сенсоров с разным подходом к считыванию отпечатков. Например, ультразвуковому и оптическому датчикам неважно, проводит палец ток или нет, а емкостному — важно.
Правда, в итоге как раз эта часть процесса оказалась доступной любому желающему: лучше всего для изготовления фальшивых отпечатков подошел дешевый клей для ткани.
Какие устройства удалось взломать
Подделки, полученные тремя описанными выше способами, исследователи примерили к набору мобильных телефонов, планшетов и ноутбуков разных производителей, а также к умному замку и двум защищенным USB-накопителям — Verbatim Fingerprint Secure и Lexar Jumpdrive Fingerprint F35.
Результат оказался довольно грустным: основную массу гаджетов удалось обмануть в 80–90% случаев, а кое-где успех был и вовсе стопроцентный. Слепки, изготовленные при посредничестве 3D-принтера, были чуть менее эффективными, однако в большинстве случаев — именно чуть.
Впрочем, были и исключения. Так, исследователям вообще не удалось взломать смартфон Samsung A70. С другой стороны, это как раз тот гаджет, который и настоящие отпечатки законного владельца распознает очень неохотно.
Также непробиваемыми оказались все устройства с Windows 10, вне зависимости от производителя. Исследователи связывают это удивительное единодушие с тем, что сравнением отпечатков с образцом занимается сама операционная система, так что от конкретного производителя устройства тут мало что зависит.
Наконец, защищенные флешки показали себя действительно защищенными, хотя наши коллеги предупреждают, что при другом уровне подготовки и их с некоторой вероятностью могут взломать.
Среди прочих выводов отмечается, что легче всего было обмануть… ультразвуковые сканеры отпечатков пальцев. Несмотря на свою способность воспринимать трехмерную картинку, они охотно признавали подлинным фейковый отпечаток, любезно прижатый к датчику настоящим пальцем, в том числе в перчатке.
Защита отпечатками пальцев — для рядовых пользователей
Как отмечают исследователи, безопасность авторизации с помощью отпечатка пальца оставляет желать лучшего, и в какой-то мере ситуация даже ухудшилась по сравнению с прошлыми годами.
Тем не менее, изготовление фейка — довольно затратная процедура, как минимум с точки зрения времени. А значит, простому пользователю опасаться нечего: уличные воришки на коленке фальшивый отпечаток не сделают.
Другое дело, если вами могут интересоваться хорошо финансируемые преступные группировки или спецслужбы. В этом случае лучше всего защищать устройства старым добрым паролем: все-таки его и взломать сложнее, если вы умеете его готовить, и всегда можно сменить, если есть опасение, что он попал в чужие руки.
И-23: а вот это (гальванизация парольного механизма на фоне неупоминания его главного «достоинства»)… форменный ИВНР.
Впрочем, для источника (лаборатория продаванов вредоносного ПО им. касперского) закономерный…
© sas 14 апреля 2020
Комментарии
любую защиту можно взломать.
вопрос цены - времени - возможностей.
В целом, как я понял, для рядового пользователя - уровень защиты по отпечатку пальца на данный момент вполне приемлемый.
В этом месте мне вспоминается история с лично наблюдавшимися особенностями реализации блокировки устройства во времена, предшествовавшие эпохе массового впаривания дополнительной периферии.
старый добрый метод длинного неочевидного пароля рулит
См. мой комментарий о неназываемых «достоинствах» парольного механизма.
Ага
Проходимость прямого маршрута в режиме игры в луноход далекот не репрезентует общей защищённости.
Старый добрый паяльник
в заднрулит.Это если время есть, быстрее палец секатором
Да я к тому, что самое слабое звено - это всегда сам носитель пароля.
С этой точки зрения парольный механизм слабоотличим от предмета статьи.
Как там у нонешних классиков - "Сорок тысяч обезьян в жопу сунули банан" (Лукьяненко).
По легенде - фраза была втиснуть в официальный отчет, который "все равно никто не будет читать".
Строго говоря, метод подхода к решению такого рода задач (если тебе лень читать вывод, напиши программу, которая сделает это за тебя) много старше современного фетиша имитаторов интеллекта.
ага, Фальшивые зеркала )))
Вся беда, что паролей много и даже их записывание не спасает от потери. А уж вспомнить в солидном возрасте пароль, который используется редко та ещё проблема. Да на латинице, да с простыми и прописными.
И тут мы приходим к вопросу обоснования практически отменённой во славу ада рекомендации использования различных паролей для разных сервисов.
Опять же - статическое мышление вижу я ;)
Являются ли отпечатки пальцев однозначным способом идентификации - да, но на некотором временном отрезке. Мной читана литература об изменении папиллярных линий с возрастом, осознанное сведение оных или результат ожога или последствия вредностей некоторых профессий оставим в стороне, хотя и их след включить в.
СПН!
Чой-то мне подсказывает, что с историзмом в применении к новомодным технологиям биометрической идентификации человечков при ближайшем достаточно плотном рассмотрении получится та же история.
ЗЫ: И тут мы снова возвращаемся к
схоластикеТектологии в проекции частного приложения к метрологии.Сегодня наткнулся, переводная книга по защите от излучения, Лоренц (ФРГ), 1966 (оригинал 1961 год). Цитируется памятка херманского общества защиты врачей 1956 года:
один из пунктов (последний, "ж") - контроль отпечатков пальцев (опасаются рентгенкатера в качестве профессионального заболевания и неизбывного желания засунуть руку под рентгеновский пучок или же помацать ентой рукой изотоп). Титул, выходные данные и оглавление - избыточно, имхо.
Да банально шрам через подушку пальца ломает распознавание, надо будет переучивать заново
Читал истории ВОВ, что немцы не могли снять отпечатки пальцев с прачек.. От постоянного использования весьма агрессивных моющих средств при стирке - папиллярные линии на пальцах исчезали )
«результат ожога или последствия вредностей некоторых профессий оставим в стороне»
1. Главная проблема биометрии в том, что для ее прохождения достаточно иметь тело, не обязательно в живом или сознательном состоянии, и добровольностью на авторизацию. То есть используя биометрическую авторизацию люди этим самым фактом создают угрозу своей жизни и здоровью, побуждая преступников применить насилие для получения доступа. Печатать на принтере отпечатки - это долго, а отрезать палец монтажными кусачками - 3 секунды.
2. Если биометрия - это единственный способ авторизации, то это вообще худший случай. Есть куча травм и иных обстоятельств, которые приводят к невозможности снятия отпечатков.
3. Пароль, ключ или иной способ идентификации можно поменять, усложнить и т.п., то биометрия не меняется и тупо привязана к телу.
4. Если нужно сделать клон, то штука достаточно простая. Нужно просто иметь устройство и уметь работать со считывателем. То есть смотреть на мир не своими глазами, а "глазами" сканера отпечатков, тогда будет понятно, что важно, а что нет.
Считаю варварством использовать монтажные кусачки!! Есть добрый, старый, ламповый хирургический инструмент (никелированные) от немецких производителей. Ну, на крайний случай - болторез!
Есть еще гильотинки для сигар
Вроде как уже есть технология, которая проверяет приложенный палец на температуру и наличие пульса, только подержать подольше... и некоторые даже уверяют, что шумы работы сердца, улавливаемые через палец индивидуальны и сами по себе могут использоваться для идентификации... правда кардиологи против.
Без отрезки пальца биометрия легко применяется вопреки воли владельца пальца, в т.ч. в бессознательном состоянии. Выпытать пароль сложнее, чем силой приложить палец, вопреки воли.
На отрезаном пальце все тоже возможно, ну только чуток сложнее. Да и не все устройства содержат все эти навороты.
Биометрия, как способ идентификации людей правоохранителями - это правильно и нужно. Но как средство идентификации доступа достаточно дурацкое решение, создающее больше гемора и вреда, чем пользы. А если этот доступ к чему-то реально важному или дорогостоящему, то банально это очень опасно для жизни.
Самое забавное, я с вами согласен.
Но технология продолжает развиваться, ибо люди тупеют, а улыбнуться на камеру проще чем запомнить пароль.
…и для кого я писал комментарий относительно главных «достоинств» парольного механизма?..
А относительно «тупеют» — следствие агрессивного утверждения Разделения.
Когда с тебя спрашивают за результат, который зависит не только и не столько от тебя.
При этом тщательнейшим образом оберегая от обретения сколько-нибудь целостного опыта…
Статья похожа на пособие для депортируемых из страны.
А основанное на реликтах статического мировоззрения не-знание законодателями особенностей выбранной технологии конечно же ни при чём…
Всё что описано в статье - это начальные этапы любого инновационного производства.
Всего лишь хотели оценить сложности, с которыми столкнутся потенциальные взломщики.
Но после успешного решения всех задач "исследователей" -
кто-то уже может сделать инструкцию по запуску фабрики фейковых фингерпринтов.
Всё сводится к предпечатной обработке материала, выбору принтера и выбору материала.
Собственно больше сложностей в оказании услуг не остаётся.
Можно лишь улучшать сервис и оптимизировать производство наверняка успешной услуги Fingerprint As Service :)
Написал заявление на отказ от сбора биометрических данных.
Старую собаку не научишь новым фокусам.
Пусть безмозглая молодежь развлекается, до первого серьезного происшествия.
Эксперименты со своим телом - это не для всех.
Захват коготка.
Перспективный чат детектед! Сим повелеваю - внести запись в реестр самых обсуждаемых за последние 4 часа.
Я занимался этим вопросом, могу вам накидать ссылок на реальные случаи и исследования
Хакер Ян Кесслер в Германии перехватил отпечаток пальца Урсулы фон дер Ляйен на ее смартфоне - https://www.theguardian.com/technology/2014/dec/30/hacker-fakes-german-ministers-fingerprints-using-photos-of-her-hands
В Индии в местной банковской сети произошел массовый перехват отпечатков на биометрических терминалах - https://scroll.in/article/1059347/stolen-fingerprints-empty-bank-accounts-how-customers-are-paying-for-gaps-in-aadhaar
Вот другой источник про это же, история нашумела там - https://indianexpress.com/article/cities/bangalore/aadhaar-enabled-payment-citizens-karnataka-8990185/
Вот исследование воспроизведения пароля, введенного на планшете, через снятие отпечатков пальцев с экрана. Но это уже не дистанционно - https://cse.seu.edu.cn/_upload/article/files/a2/cc/f0bf36894858984d071d012ea89c/f935da2a-de33-4d55-b7b1-e02179bb5781.pdf Это ещё 2012 год.
Спасибо.
Пожалуйста. Это у меня побочные результаты исследований. Я занимался вообще оптическим каналом утечки информации и в частности способами и случаями перехвата паролей, вводимых через клавиатуру или сенсорные экраны оптическим способом (в т.ч. тепловизорами)
По поводу второго пункта скандал с перехватом сам по себе не так интересен, как следствие в виде практического применения добытого.
Интересный материал, спасибо.
Практически вся драматургия строится вокруг двух тем: человека приняли не за того, кто он есть, либо ему удалось выдать себя за другого.
Вопрос не в том, можно или нельзя "взломать" отпечатки, а вопрос "зачем?". Что бы посмотреть на моем телефоне фоточки котеек, бережно мною сохранённых? Получить доступ к карте банковской? А там прямо миллиарды рублей распиханы по счетам))
Гаджеты бытовые, которые подвержены взлому, и так системно через облако привязаны к базам данных к которым имеют доступ кто угодно)
не думаю что запуск ЯО или доступ к супер секретной информации осуществляется по отпечатку пальцев...на айфоне)))
А зачем вообще она нужна? Для чего тогда вообще вводить эту идентификацию? Вот у старых звонилок была стандартная комбинация для разблокировки.
С телефонами с целью их воровства и т.п., получаешь разблокировку, отключаешь эту биометрию. Ну а там и карты, и доступ к банкам. Ну если какому-то наркоману чего-то там не хватает, то это все подойдет. А может и некому мигранту и т.п.
Для удобства и более быстрого доступа. Только с этими целями её вводят.
А так да, биометрия менее защищена, чем простой пароль, вводимый с клавиатуры. Особенно биометрия по лицу
Так проще вообще отключить идентификацию. Вначале паранойя, а потом безбрежность.
Нет, не проще. Идентификация - это основа банковской системы, без неё она развалится.
Как обращают внимание в соседней теме — не только банковой.
Куда интереснее вопрос: для *чьего* «удобства»?
Пользователей, прежде всего. Банкам пофиг как вы будете получать доступ к своим деньгам. А вот клиентам удобнее, когда быстро и ненапряжно.
Ну да. И интенсивность потока нагрузки к таким новым/модным банковым сервисам банкам совершенно не интересна.
Настолько, что они попросту не даёт «лохам» опции выбора *правильного* решения.
а вырастить опечаток пока не реально? выращивают же уже что то там по ДНК.