facebook adres e-mail telefon

Skaner żył można oszukać ręką z wosku zrobioną na podstawie… fotografii

“Rozpoznawanie układu żył jest dobre bo ich układu nie widzisz w świetle widzialnym”. Niestety ten pogląd trzeba będzie zrewidować po tym, jak niemiecki badacz odblokował czytniki modelem dłoni. 

Oczywiście to znów CCC

Skaner żył można oszukać ręką z wosku zrobioną na podstawie… fotografii. Kto mógłby wpaść na pomysł, żeby oszukiwać skaner żył ręką z wosku? Jan Krissler kojarzony z grupą Chaos Computer Club (CCC). Wcześniej interesował się on oszukiwaniem czytników linii papilarnych oraz odtwarzaniem odcisków palców na podstawie fotografii. Krissler twierdził m.in., że odtworzył odcisk palca niemieckiej minister obrony Ursuli von der Leyen na podstawie zdjęcia reporterskiego. O grupie CCC było też głośno gdy złamała ona zabezpieczenia biometryczne Samsunga Galaxy S8.

Czytniki żył są uważane za korzystną odmianę zabezpieczeń biometrycznych bo układ naczyń krwionośnych nie zmienia się w ciągu życia tak bardzo jak geometria dłoni. W przypadku każdego człowieka jest to układ unikalny i nawet dwie ręce jednej osoby różnią się pod tym względem. Układ żył można ujrzeć dopiero w świetle zbliżonym do podczerwieni, które jest absorbowane przez hemoglobinę w krwi nienatlenionej. Dzięki temu na fotografii żyły widać na czarno. Na utrwalonym w ten sposób obrazie żył określa się położenie odpowiednich punktów referencyjnych, a następnie zapisuje się te informacje w formie kodu.

Jan Krissler (obecnie pracujący dla Uniwersytetu Technologicznego w Berlinie) wraz z kolegą Julianem Albrechtem postanowili oszukać ten rodzaj biometrii. Musieli rozwiązać dwa problemy. Jak wydobyć od kogoś układ żył i co przyłożyć do czytnika zamiast ręki?

Zdjęcie z suszarki do rąk?

Pierwszy problem rozwiązano zwykłym aparatem cyfrowym z usuniętym filtrem podczerwieni i odpowiednio mocną lampą błyskową. Badacze postanowili wykorzystać takie fotografie właśnie w celu “wykradania” obrazów żył.

 

W wypowiedzi cytowanej przez Motherboard Krissler stwierdził, że do ataku wystarcza zdjęcie zrobione z odległości 5 metrów. Odpowiednie do ataku zdjęcie da się zrobić teoretycznie na konferencji prasowej chociaż – musimy to dodać –  Krissler i Albrecht wykonali ok. 2,5 tys. zdjęć w ciągu 30 dni w celu wypracowania obrazów nadających się do ataku. Dodatkowym problemem widocznym na slajdzie powyżej jest to, że naczynia krwionośne w palcach są osadzone głębiej i dobrze jest je fotografować z podświetlaniem z tyłu.

Oczywiście zdjęć nie trzeba robić z dystansu. Krissler dostrzega możliwość pozyskiwania obrazów żył poprzez instalowanie odpowiednich urządzeń w suszarkach w toaletach. Cóż. Teraz macie jeszcze jeden powód, aby stronić od tych urządzeń.

Wydruk i wosk

Kiedy już udało się zrobić dobre zdjęcia, badacze wykonali woskowe modele ręki. Większość mediów prezentuję poniższą fotografię autorstwa Krisslera i Albrechta, choć nie wszyscy tłumaczą co dokładnie na niej widać.

 

Model jest dwuwymiarowy. Na żółtym wosku, który znalazł się pod spodem, umieszczono nadruk ze wzorem żył. Następnie przykryto ten nadruk czerwonym woskiem imitującym skórę. Wydruk musi być zrobiony na takiej drukarce, która nanosi cząstki tonera odpowiednio absorbujące światło (czytaj: nie uda się z każdym modelem). Mimo wszystko Krissler przyznał, że był mocno zaskoczony łatwością z jaką udało się oszukać czytnik.

Fujitsu uważa atak za niemożliwy

Efekty eksperymentu zostały przekazane firmom Fujitsu i Hitachi, które są producentami czytników żył.

Firma Hitachi jest otwarta na współpracę z badaczem, natomiast Fujitsu nie uważa ataku za wykonalny w praktyce. Firma twierdzi, że badacz musiał użyć urządzenia, w którym skonfigurowano niską rozdzielczość obrazu. Poza tym czytniki Fujitsu mają być wyposażone w metodę wykrywania fałszywych obiektów, której firma dokładniej nie opisała, nie mówiąc już o wyjaśnieniu dlaczego ta metoda nie zadziałała w czasie testów badaczy.

Krissler twierdzi, że w ogóle nie zmieniał konfiguracji badanych urządzeń.

Materiał do przemyśleń

Badacze przyznają, że czytniki biometryczne mogą wykrywać przepływ krwi w naczyniach krwionośnych i takich urządzeń woskowa ręka by nie oszukała. Być może dałoby się zrobić rękę drukowaną w 3D, która mogłaby udawać żywy organ, ale wówczas koszt ataku nieporównywalnie rośnie. Przede wszystkim jednak to co pokazali badacze powinno uświadamiać nam jedno. Układ naszych żył nie jest tak bardzo ukryty jak sądzimy.

W CSK zalecamy i wdrażamy naszym użytkownikom najlepsze rozwiązania gwarantujące najwyższe poziomy zabezpieczeń. Pamiętajmy jednak że urządzenia te nie zapewniają stuprocentowej ochrony komputera.

Źródło: niebezpiecznik.pl

Masz pytania? Napisz do nas!

Wyślij wiadomość