Пользователь
268,7
рейтинг
4 марта 2015 в 19:46

Разработка → Уязвимость «большого пальца»: я твой палец по фотографии взломаю



Биометрия набирает обороты

В России обсуждают вопросы о создании Национального биометрического Центра с объемом базы данных 100 – 150 млн. записей. В Госдуму уже внесен проект закона об обязательной биометрической регистрации. На Хабре пишут про результаты тестирования алгоритмов биометрических компаний и пытаются выяснить, кто круче: пароль или биометрия. Даже Mastercard выпускает платёжную карту со сканером отпечатков пальцев и VISA тоже.

Хакеры ехидно потирают ручки

И запасаются камерами высокого разрешения и жидким силиконом. Пальцы отрезать теперь необязательно, их можно сделать самому.

Про то, как «хакнули по фотографии» первую женщину на посту министра обороны Германии, читайте под катом.

image
Обойти биометрию могут даже дети (надеюсь, что мужик жив и просто спит)

Год назад немецкие хакеры показали как надо взламывать смартфоны с биометрией


Видео про то как взломать систему биометрии смартфона:



А вот как сканировали жирные следы со смартфона и изготовляли «палец». Наглядное пособие для тех кто хочет повторить эксперимент:



В комментах написали (@maeris):
В случае, если кто-то не очень понял по немецкому видео, что происходит:
  1. cканируем или фотографируем отпечаток;
  2. переводим в монохром: выступы белым, ямки чёрным;
  3. печатаем на лазерном принтере на фотобумаге (знатоки уже почуяли ЛУТ, да);
  4. гладим утюгом распечатку по текстолиту, чтобы перешёл тонер;
  5. отмываем бумагу водой;
  6. травим хлоридом железа;
  7. смазываем тонким слоем какого-нибудь жира, чтобы резина отошла легко;
  8. наносим жидкую резину (силиконовую замазку для щелей, что угодно);
  9. после затвердевания получаем наш палец.


Выступы на картинке должны быть белым, потому что на текстолите они отмечают области, которые нужно травить, т.е. будут ямками, а после нанесения резины станут обратно выступами.


Демонстрация авторизации искусственным пальцем на 31c3:





Отпечатки есть везде, но и они по большому счету не нужны, можно просто сфотографировать или погуглить, что наглядно показали немцы в этом году

А в этом году




Хакер в дерзкой толстовке (про него даже написали в газете), Ян Крисслер (Jan Krissler), использовал доступные проги и пару снимков руки министра обороны. Основную часть из них он сам сделал обычным фотоаппаратом с расстояния около трёх метров во время одной из пресс-конференций. Дополнительные снимки он получил из видеозаписей высокого разрешения, на которых рука Урсулы была показана крупным планом с разных ракурсов.

Используя программу VeriFinger, хакер выполнил фильтрацию и автоматическое сопоставление опорных узлов изображения. Вот так получилась цифровая копия пальца.

Урсула Гертру́да фон дер Лайен (род. 8 октября 1958 года) — немецкий политик, министр по делам семьи (2005—2009), министр труда и социальных вопросов (2009—2013), министр обороны (с 2013). Первая женщина на посту министра обороны Германии.

image


Ursula von der Leyen



Меры предосторожности




«Я доверяю своему паролю гораздо больше, чем скану отпечатка или сетчатки глаза», – говорит Starbug
«Наверное, в будущем политики будут появляться на публике только в перчатках», — пошутил Starbug в конце своего выступления.

Продолжение Я тебя по блеску в глазах взломаю

P.S.
Выступление Starbug с английским переводом:

Вы доверяете биометрии?

Проголосовало 2969 человек. Воздержалось 300 человек.

Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

Алексей @MagisterLudi
карма
113,5
рейтинг 268,7
Пользователь
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (66)

  • +6
    А кто говорил, что биометрические данные (а именно отпечаток) — это супер-пупер защита. Как-никак аналог пин-коду. Хотя исследование прикольное.
    • +1
      Зато в тюрьму по отпечаткам — легко и непринуждённо.
      • +7
        Не следует путать идентификацию и аутентификацию. Компрометация отпечатка никак не скажется на надежности идентификации персоны (в случае если стоит перед тобой неизвестный человек и нужно выяснить личность по его отпечатку, когда-то ранее внесенному в базу), но вот аутентификацию в каких-либо более-менее критичных системах делать по пальцу не очень разумно. Да и не делает это никто, кроме как в кино.
        • 0
          Но ведь по скомпрометированному отпечатку можно изготовить искусственный палец и наследить им на месте преступления.
          • 0
            И как это может помешать идентифицировать человека по отпечатку?
            • +2
              Если снимать отпечатки напрямую с человека, то никак. Я и товарищ выше говорим о случаях, когда по отпечаткам, оставленным на месте преступления идентифицируют преступника.
              • +1
                Ну так я вроде достаточно четко написал, о чем идет речь.
                Ну и только по отпечаткам, без других доказательств никто не посадит (рассматриваем случай честного и беспристрастного следствия и суда, в противном случае даже и отпечатки не потребуются).
        • +1
          Аутентификация в любых более-менее критичных системах должна быть двухфакторной просто.
          • 0
            Чаще всего трех.
        • +3
          Отпечаток пальца не является стопроцентно надёжным способом идентификации персоны, и это было неоднократно показано на практике. В 1995 году был проведён тест среди экспертов по отпечаткам пальцев. Им было предложено сопоставить семь наборов отпечатков снятых с мест преступлений с четырьмя полными наборами отпечатков снятых после ареста. Всего в тесте принимали участие что-то около ста пятидесяти человек. То ли 60%, то ли все 70% экспертов — сертифицированных признанных специалистов, между прочим — не смогли выполнить задание без ошибок. Кроме того, насколько я знаю, не существует убедительных научных доказательств уникальности отпечатков пальцев. Ошибки идентификации случались раньше, и продолжают случаться. Например Ширли МакКи, офицер полиции, которую чуть не упекли за убийство. В итоге бюджету Шотландии эта ошибка стоила 750000 фунтов стерлингов только в виде компенсации за проведенное под арестом время. И таких примеров ещё много. Тот же троллинг конференции криминалистов, когда им дали их же собственные отпечатки и эталонные наборы известных маньяков прошлого для идентификации с весьма печальным результатом. Возможность подлога тоже высока. Но тем не менее, валидность такого способа идентификации не поддаётся сомнению в суде.
          • +1
            Причины этих проблем не в самих отпечатках, а в людях, в том, как отпечатки собирают, обрабатывают и анализируют. Раньше всего несколько точек контрольных было, маленькие базы отпечатков, не было коллизий. Базы сильно подросли, точности стало не хватать, начались описанные выше проблемы. Увеличили разрешение/количество контрольных точек — проблемы на какое-то время ушли. Вот и всё, никакой мистики или теории заговора.
            • 0
              Сколько нужно «точек», чтобы гарантировать отсутствие ложных срабатываний? Когда человеческий фактор будет исключён из процесса полностью? Где научные доказательства уникальности каждого отпечатка? Вы совершенно правы, никакой мистики и теорий заговора нет. Есть проблема, на которую проще закрыть глаза, чем потом разбираться с последствиями.
              • 0
                Обширнее база — больше точек требуется.
                Человеческий фактор устраняется полностью только вместе с человеком. bender_rodriges.jpg
                В любой системе есть ошибки. В любой. Давайте сразу обернемся в простыню и поползем на кладбище. Всё тлен и тщета.
                • 0
                  Вы опять совершенно правы, в любой системе есть ошибки. Но не любая система может похвастаться тем, что знает величину возможной ошибки.
      • +1
        Отпечатки не являются ни необходимым, ни достаточным условием для посадки же. Одна из возможных улик, не более.
        • 0
          И тем не менее, эта одна из возможных улик может решить судьбу подсудимого.
          • 0
            В случае с присяжными, например, все решает их мнение. Убедят ли их улики в виновности подсудимого или нет. А в итоге все зависит от таланта адвоката vs следователя.
            • 0
              Это, мягко говоря, однобокий взгляд на проблему.
          • 0
            Я вот никак не могу понять о чем вы говорите. Совпали мои отпечатки(потому что, случайность) с отпечатками на месте преступления. Я был с друзьями и вообще возможно в другом городе. Никто меня никуда не посадит. Я был недалеко, у меня были мотивы и тд и еще отпечатки совпали, да отпечатки решат мою судьбу, но это 99.99999% и был я. Тот мизерный шанс когда я мог быть причастен к преступлению да еще мои отпечатки совпали с отпечатками преступника не стоит упоминания потому что он мизерный, крайне мизерный, один на миллион или вообще на всю практику судопроизводства.
            • 0
              Я сделал резиновую копию вашего отпечатка и убил человека рядом с местом, где вы были, «наследив» им на оставленном орудии преступления и вокруг. Сам был в перчатках, свидетелей нет. Кого посадят?
    • 0
      Это общественный стереотип
      Но мало того что возможность смены биометрических параметров исключена, например в случае компрометации базы.
      Так еще их легко подделать.
    • 0
      Зависит от применения. Если идентификация на проход в охраняемое здание, то фальшивые данные подсунуть тяжело. А у смартфонов любая защита в принципе не надежнее tot13.
      • +1
        Помнится, разрушители мифов как-то сломали промышленный замок со сканером пальцев… кусочком бумаги с распечатанным отпечатком :) Что не прокатило с «даже ноутбуком».
  • +1
    Автор бесстрашно решил что Чак пригоден для КДПВ
  • +3
    Но почему у парня из первого видео так жестоко трясутся руки? :)
    • +3
      Тут «новость» в том, что уже даже не нужен физический отпечаток — достаточно современной фотографии или видео.
  • +3
    Теперь я знаю как в армейской столовой можно 2 раза пообедать!
  • +8
    В случае, если кто-то не очень понял по немецкому видео, что происходит:
    1. cканируем или фотографируем отпечаток;
    2. переводим в монохром: выступы белым, ямки чёрным;
    3. печатаем на лазерном принтере на фотобумаге (знатоки уже почуяли ЛУТ, да);
    4. гладим утюгом распечатку по текстолиту, чтобы перешёл тонер;
    5. отмываем бумагу водой;
    6. травим хлоридом железа;
    7. смазываем тонким слоем какого-нибудь жира, чтобы резина отошла легко;
    8. наносим жидкую резину (силиконовую замазку для щелей, что угодно);
    9. после затвердевания получаем наш палец.

    Выступы на картинке должны быть белым, потому что на текстолите они отмечают области, которые нужно травить, т.е. будут ямками, а после нанесения резины станут обратно выступами.
    • +1
      Печати/штампы по оттиску примерно так и делают.
      • 0
        собственно я и делал из фотополимера, ничего не получилось
    • 0
      Там, кажется, не жир, а графитовая смазка-спрей. Но уверенности нет полной у меня.
  • 0
    Отпечатки нужны только чтобы определять чей это палец, те за пределами служб где дядя берёт руку/пальцы неизвестного и по ним узнаёт кто это применение технологии не оправданно. Разве что для развлечения.
  • +5
    Больше всех попали мусульмане, иншалла ☝️
  • 0
    Никогда биометрии не доверял. В наше время снять «пальчики» с дверной ручки или бутылки из-под воды и откатать в силиконе не сложно даже дилетанту, а с появлением камер с высоким разрешением/скоростью и аутетникация по радужке уже ненадежна. Только глазное дно пока более-менее…
    • +1
      >> Только глазное дно пока более-менее
      Сразу почему то вспомнилась сцена из фильма Разрушитель, где Саймон Феникс аутетникацию проходил «глазом на ручке»… О_о
      • 0
        дно говорите
        image
  • +7
    Опрос в конце «Вы доверяете биометрии?» не соответствует статье. Фото в паспорте — тоже биометрия. Если не доверять биометрии — то чему доверять? Наличию чипа? Так чип можно украсть, это еще проще.

    Биометрия наше все. Просто нужно развивать технологии, а не пальцем в ридере ковыряться. Идентификация по лицу, сетчатке, руке и пр. По зубам, по ДНК в конце концов. Другого просто ничего нет.
    • 0
      Так лицо даже подделывать не надо — просто подсовываешь в сканер 10" планшет с фото пациента.
      • 0
        Уже развиты и используются системы, которые сканируют лицо в объеме (форму черепа). Их сложнее обмануть, чем просто камеру.
        • 0
          Берем тот же сканер и 3D принтер… все равно биометрия — это то же самое что написать свой пароль на листочке и приклеить на лоб.
          • 0
            Сканирование лица в HD 4Dinf тоже вполне по силам совреиенным технологиям. Под этим имею ввиду сканирование 3D по многу «кадров» в течение некоторого промежутка времени (порядка 3-5 сек, — оно суть 4е измерение), с применением инфракрасной камеры.
            Аутентификация производится по факту правдоподобности (HD) и 3D-различности «3D-кадров», а также дополнительный уровень аутентификации определяется через ИК-спектр по уникальному тепловому рисунку лица. (температурный паттерн лица www.gadgetblog.ru/8315/ )
            Живость лица определяется опять же по тому принципу, что оно не только имеет характерную геометрическую 3D-модель и образ (текстуру) в видимом спектре, но и тому, что оно не статично геометрически и присутствует соответствующий образ 3D-модели в ИК спектре и его характерные пульсации для процесса сердцебиения.

            Тоже конечно теоретически взломать можно, построив убедительную модель головы. =) Но это уже не уровень типа напечатай на домашнем принтере с применением сподручных материалов и методов.
            В принципе, теоретически, не видно помех сделать модель (копию) нужного тела человека с любой степенью детализации. И даже засунуть в этот плод хакерского прогресса ИИ, на мощностях небольшого компа на органических транзисторах, спрятанного в псевдокостях, — чтобы «тело» не выглядело пустым болванчиком, вплоть до частичного прохождения теста Тьюринга, и подходящей имитацией характера и привычек «цели» с соответствующей подходящей базой знаний. Если это не реальность 2015, то вполне может быть реальностью 2030, благо по всем озвученным направлениям технологии в зародышевом или относительно развитом состоянии уже сегодня.
            • 0
              Хм, так то оно так, в том же айфоне тоже обещали кучу проверок и «не уровень типа напечатай на домашнем принтере с применением сподручных материалов и методов» и что в итоге: скотч и палец и все взламывается.
              Подозреваю что с лицом все будет даже проще, чем с 3д принтером возится — надо просто изготовить что-то вроде маски и надеть ее на такое же лицо. Врядли точность инфракрасной карты будет достаточно высока для улавливания существенной разницы между персонами.
    • 0
      Вы путаете два разных процесса.
      Биометрия непригодна для аутентификации. Для авторизации она вполне нормально подходит.
      • +1
        А не наоборот? Аутентификация — процедура проверки подлинности, авторизация — предоставление прав.
        • 0
          Вы немного путаете понятия, хоть и привели верное определение.
          Аутентификация расширяет авторизацию. Т.е. на этапе Авторизации система определяет кто вы. Например по логину, или в случае биометрии по отпечатку пальца. На этапе Аутентификации вы подтверждаете что логин ваш, а не чужой. Например с помощью пароля.
          И вы правы — Авторизация определяет предоставленные права, но без Аутентификации она недостоверна.
          С биометрией эти оба этапа объединены в один и более того проводятся по одним и тем же признакам. С точки зрения ИБ так делать нельзя. Более того есть проблема в случае компрометации базы признаков. Если пароли можно сменить, отпечатки пальцев уже не сменить.
          • 0
            Т.е. на этапе Авторизации система определяет кто вы. Например по логину, или в случае биометрии по отпечатку пальца. На этапе Аутентификации вы подтверждаете что логин ваш, а не чужой.

            Сначала идёт этап аутентификации. Система определяет, что вы — это вы. Вы показываете логин, а то, что вы — это вы доказываете при помощи секрета (пароля). Прошли аутентификацию — после этого система авторизует вас, выдаёт на этот логин определённые права.
            Меня учили так.
            Поэтому когда вы пишете своё предложение «на этапе авторизации» — мне хочется уточнить, что выдавать права нужно после аутентификации, что вы путанно выражаетесь — и лучше говорить так, чтобы было сразу ясно без пояснений.
            Фраза «аутентификация расширяет авторизацию» — фраза с моей точки зрения вообще малоосмысленная. «Этап А расширяет этап Б», это равные этапы, поэтому уже нехорошо говорить, что один этап расширяет другой. Я ещё мог бы понять фразу «последующий этап расширяет предыдущий», но когда что-то предшествующее расширяет последующее — это есть процесс говорения весьма запутанных фраз.
            Биометрия пригодна как раз для аутентификации «Да, Иванов — это я, вот мой уникальный неподдельный секрет (сетчатка глаза)». Как тут верно пишут — претензии как раз к тому, что легко подделываются все эти отпечатки, сетчатки и т.п.
            А как и что авторизовать, какие права выдавать — это уже зависит от системы, роль биометрии как средства аутентификации закончилась.
            В общем, странное у вас на мой взгляд видение аутентификации и авторизации.
            • 0
              Вы оба путаете, по моему. Упускаете такой шаг как идентификацию.
              Идентификация: Кто этот тип? Вася.
              Аутентификация: Действительно Вася? Да, пароль знает.
              Авторизация: Вася входит в список доступа, открываем дверь.

              Биометрия подходит для идентификации (определить, кем может являться субъект). Пароль — для аутентификации (подтвердить, что субъект действительно им являеся). А механизм дверного замка — для авторизации (предоставить субъекту положенные ему права).
              Т.е., по биометрическим данным можно определить только кем субъект точно не является — если мой рост 160см, то я точно не Валуев, но даже если я ростом 213см, то всё равно не факт, что я Валуев.
    • +2
      На хабре я уже спорил с кем на эту тему.

      Биометрия работает отлично когда есть человек/тело/часть тела, и есть человеки которые это правильно готовят и кладут в сканер.
      Это чтобы исключить искустенные пальцы, глаза и прочее.
      И тогда можно с хорошей достоверностью узнать кто это или чья это часть была.
      Типа пограничный контроль, идентификация жертв катастров или ментовские применения при ОРМ.

      Когда же дело доходит автоматических процедур, когда нет контроля за тем что на самом деле дают сканеру то всё летит к чертям.
      Другой момент в том, что биометрия идентифицирует некий физический объект а не личность, а предлагается это часто использовать именно для удостоверения личности.
      Простой пример: напился, тебя подтащили к банкомату, палец приложили и всё сняли. Ну или возле двери по башке дали, руку приложили и зашли в хату.
      Или вон на картинке, папа спит а пальчики откатали.

      Я не вижу никакого профита в бытовом применения биометрии, ну разве что умный дом сможет без носимых датчиков распозновать жильцов или херовы маркетологи будут делать автоматическую кастомизированную рекламу и надоедать ещё больше.
      Все случаи когда ошибка ничего не стоит, и целенаправленно никто не будет обманывать систему.
      • 0
        >Ну или возле двери по башке дали, руку приложили и зашли в хату.
        Так что мешает возле двери (или где угодно) по башке дать и ключи отобрать?

        Биометрию как правило сочетают с другим фактором аутентификации. Например идея (вроде уже реализованная): замок на двери со сканером отпечатков, если с той стороны двери обнаружено определенное BT или wi-fi устройство — открываем сразу, если не обнаружено — требуем донабрать пин (на крайняк — повернуть ключ). Удобство на высоте, защищенность как минимум не хуже чем у традиционных ключей, с которых опытный щипач без проблем сделает слепок без вашего ведома (и вообще, любой замок поддается взлому). Добавляем маленький obscurity (в дополнение к основным методам защиты это неплохо) — сканер отпечатков малозаметный, если не искать целенаправленно — не увидишь. Классический замок собрать для троллинга вора — сделать его принципиально не проворачивающимся, пока отпечаток не сосканирован. Или еще что-нибудь подобное.
        • 0
          Детсад.

          Нет смысла в биометрии вообще, тем более когда есть уже какое то устройство.
          Для гарантированной защиты нужно чтобы и ключ и замок проверяли что это действительно они, подобно тому как это делается в TLS и прочих системах со взаимной аутентификацией.
          На малых объёмах такие устройства выйдут сильно дешевле системы с биометрией, даже если самому придумывать.

          А есть просто смарткарты и iButton (только не те с серийниками от подъездов, а нормальные с крутой начинкой), уже готовые и повсеместно применямые.

          Биометрия им конкурент только когда много народу и пофик на ошибку, типа 1000 гастробайтеров на стройке отфильтровать на входе/выходе, с одним-двумя проходами.
          • 0
            То устройство не проблема стащить, если оно не вшито под кожу.

            Повторяю, биометрия — один из факторов, наиболее удобный из трех. Однофакторная аутентификация априори ненадежна.
            • 0
              С нормального электронного ключа невозможно снять слепок.
              С пальца отпечаток — легко.

              Надёжность зависит от особенностей реализации и применения.
  • +1
    Биометрия не слишком надежна, это факт, но она отлично работает, как часть многофакторной авторизации. Одним из факторов может быть пароль — фактор знания. Другим — получаемая на телефон СМС — фактор владения (подтвержденным телефонным номером). Ну или владение неким физическим ключом, например. Третьим — биометрия — биометрический фактор. Один из этих факторов можно так или иначе скомпрометировать, два или три одновременно скомпрометировать гораздо сложнее.

    Исходя из этого, не придумал, что ответить в опросе. Самой биометрии можно доверять или не доверять одновременно, в зависимости от условий применения.
    • +1
      Существует всего два «фактора» в многофакторной аутентификации: «что я имею» и «что я знаю». Токен и ПИН к нему. SSH-ключ и пассфраза к нему. Металлический ключ + цифровой код к сейфу.

      А биометрия это такой плохой вариант «что я имею»: при компрометации сменить почти невозможно, отпечатки везде остаются, сетчатку тоже наверное уже можно сфотографировать издалека, и так далее.
      • 0
        Я классически лоханулся перепутав аутентификацию и авторизацию, но факторы я назвал правильно. Их три (как минимум). Биометрия это не то, чем я владею, а то, что является частью меня. Фактор владения как бы не обязан идентифицировать человека (ключ от замка может быть у разных людей одновременно, например), а биометрический обязан. Ддругое дело, что сейчас очень уж легко компрометируется, или может быть утрачен, а хозяин действительно не может его заменить. Тем не менее, биометрия в сочетании с фактором владения или знания нередко применяется в различных замках и всяких таких системах контроля доступа.

        Надо еще учитывать, что хотя, к примеру, отпечаток пальца легко получить и подделать, но это уже прямая атака на конкретного субъекта, тогда как, скажем, пароль может быть получен в результате атаки в режиме «ничего личного» в массовом порядке при фишинге или вирусной атаке. Надежность того или иного способа или их сочетания надо оценивать в конкретных условиях. И не забывать, что безопасность находится в компромисе с удобством.
  • +1
    Ну. как — то не совсем корректно всю биометрию к отпечатку пальца сводить, имхо. Есть сканеры по рисунку кровеносных сосудов — megaobzor.com/kompaniya-Fujitsu-anonsirovala-samyy-malenkiy-skaner-krovenosnyh-sosudov.html.
    Так же, более сложные сканеры, смотрят тепловой спектр пальца — живой объект или нет. А взлом бытовых сканеров — это не показатель судить об индустрии.
  • 0
    Отпечатки пальцев, сетчатка глаза, это только для идентификации пользователя, которое отвечает на вопрос кто? Для доступа в систему, применяют инструменты — смарткарты, ключи, токены, отвечают на вопрос — чем? И третье, пароль, ключевое слово для доступа.
  • 0
    (надеюсь, что мужик жив и просто спит) надпись под фото.

    Улыбнуло )))
  • 0
    > «Наверное, в будущем политики будут появляться на публике только
    > в перчатках», — пошутил Starbug в конце своего выступления.

    Он наверняка не читал Александра Мирера «Дом Скитальцев»
    ( часть 1: www.lib.ru/MIRER/domskita.txt часть 2: www.lib.ru/MIRER/domskit2.txt )
    Перчатки — самая главная деталь в одежде, которая удостоверяет, что перед тобой балог, а не захвативший его тело чхаг.
  • –4
    Офигенный зум!)))
    image

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.