13.08 // Создан новый алгоритм обхода биометрии по отпечаткам пальцев
Биометрию нередко рассматривают как способ надёжной аутентификации в различных системах. Особенна популярна биометрия по отпечаткам пальцев, которая из-за простоты использования и сравнительной дешевизны встраивается в замки, системы доступа к рабочим станциям, банкоматам, ноутбукам и персональным гаджетам. Стойкость хранения биометрических данных нередко сравнивают со стойкостью хранения паролей: биометрические данные не хранятся в открытом виде и как считалось ранее, извлечение или похищение таких данных бесполезно для злоумышленника из-за необратимого формата хранения, по которому невозможно восстановить исходный отпечаток. Биометрический отпечаток в некоторых случаях даже используется для выведения ключа шифрования по методу нечёткого хэширования, что нередко также указывается как его преимущество перед паролем.
Однако, в отличие от паролей, биометрические данные не являются однозначными. Поэтому для их хранения используют алгоритмы нечёткого хэширования. При этом традиционно могут возникать два вида ошибок при обработке биометрических данных в зависимости от допуска на нечёткость: ошибочное принятие неверных данных и ошибочное нераспознавание верных данных (false positive и false negative).
Исследователь Andreas Pashalidis обратил внимание на такие системы, в которых отпечаток пальца обрабатывается по фрагментам, сравнивается степень того, насколько фрагменты похожи и подходят друг другу, на основании чего вычисляется финальный рейтинг и производится решение об удачности сравнения. Разработанный автором алгоритм позволяет при условии знания самого алгоритма проверки отпечатка и наличии похищенных кодированных биометрических данных, начать подбирать отпечаток по фрагментам и оценивать степень влияния параметров подбора на успех в распознавании. Далее, соседние участки отпечатка подбираются в соответствии с уже удачно угаданными, так чтобы степень распознавания улучшалась ещё больше. В конце работы алгоритма получается цифровая модель синтезированного отпечатка пальца, данные с которой могут быть поданы на биометрическое устройство для прохождения тестов доступа. Если подключиться напрямую ко входам биометрического устройства невозможно, то можно изготовить накладной отпечаток, с помощью которого обмануть сканирующе-распознающую часть.
При этом сама атака происходит в оффлайне: если злоумышленник смог похитить базу кодированных биометрических данных, то на эмуляторе алгоритма распознавания на своих вычислительных устройствах он может проводить сколь-угодно много попыток адаптивного подбора фрагментов для синтеза полного отпечатка.
Все секьюрные меры в отношении атээмок не мешают ежегодно миллиарды баксов сливать кардерам в свои карманы. Есть сомнения, что будет обходиться и аутентификация по радужной оболочке или отпечатку ануса?
Он тоже уникальный?
Дыры закрывают, но находят другие утечки. Кражи с карт напрямую (скимминг, шимминг) уходят в прошлое с появлением и внедрением чиповых карт. Большая часть атак смещается в сторону социнженерии и хоумбанкингов, читай фишинг. Обнал через дропов на их легальные карты — не взлом ATM, вы это понимаете.
Что-то Германии постоянно не везёт с отпечатками.
P.S. Метод сто лет известен и уже давно используется в криминалистике, поэтому, те, кто думают головой, закрашивают чем-нибудь пальцы на фотографиях (или сразу снимаются в перчатках). :-)