Information Security #3 - 2004

Адрес документа: http://itsec.ru/insec03-2004.php?id=11

Обведем вокруг пальца?

Обман биометрических систем доступа, использующих дактилоскопическую идентификацию личности

П.З. Ларин, исполнительный директор
Е.И. Ревер, инженер
Компания "Роякс"

Специалисты Университета Иокогамы изготовили специальную матрицу, залив в которую желатин можно получить искусственный палец с копией отпечатка реального человека. В ходе проведенных экспериментов выяснилось, что искусственные пальцы идентифицируются в 80% систем определения личности. На изготовление муляжа требуется всего несколько минут, а необходимые для этого компоненты обходятся менее чем в $15. По мнению ученых, факт, что столь значительных результатов легко добиться при помощи подручных материалов, дискредитирует системы безопасности, основанные на дактилоскопическом методе. (ВВС)


"…систему, идентифицирующую отпечатки пальцев, не сложно ввести в заблуждение с помощью муляжа из воска, на котором воспроизведен ранее похищенный образец отпечатка. Японский специалист по безопасности Цутоми Мацумото на практике показал, как просто обмануть биометрические сканеры отпечатков, имея некоторые подручные средства. Он использовал желатин и пластиковый шаблон, чтобы создать поддельный палец, который успешно "проходил" через сканер в четырех случаях из пяти. Более того, полученный нечеткий отпечаток можно перенести на стекло и улучшить с помощью вязкого цианокобаламина (витамин В12) в сочетании с тонким слоем любого суперклея и цифровой камеры. Программа Photoshop позволит улучшить контрастность изображения, чтобы затем перенести результат на пленку. Цутоми Мацумото проверил 12 разных коммерческих моделей сканеров, получив на всех вероятность взлома 80%. Поэтому не стоит безраздельно доверять 100-долларовым сканерам отпечатков пальцев, встроенным в мыши…".
Александр Евангели, "Биометрические технологии", "BYTE", апрель 2004 г.

Наболело

Поводом для написания нашей статьи послужили многочисленные утверждения, будто систему, использующую отпечатки пальцев, обмануть особого труда не составляет. Публикаций, касающихся "вскрытия" дактилоскопических устройств контроля доступа, не так много. Как правило, это перепечатка из одного источника, не всегда корректного. Поэтому было принято решение проверить на практике надежность биометрических считывателей на технической базе компании "Биометрические системы". Фальшивые отпечатки зарегистрированных в системе пользователей изготовлялись не на допотопной желатиновой основе - подобная технология вызывает сомнение - а с применением современных материалов. Отпечатки снимались как непосредственно у пользователя системы, так и с различных предметов, которых он прикасался (в том числе и со стекла стаканов). Материал, который мы представляем вашему вниманию, расскажет о результатах тестирования.

Немного истории

Биометрика - древняя наука. Еще фараоны удостоверяли папирусы отпечатком своего большого пальца. В 1850 г. британец Уильям Хершель для предотвращения мошенничества при выплате жалованья требовал от своих индийских солдат, чтобы они оставляли в ведомости отпечатки 2 пальцев с помощью штемпельной краски. "За 20 лет я изготовил тысячи карточек с отпечатками пальцев и теперь могу на их основе идентифицировать личность", - сообщал он генеральному инспектору тюрем Бенгалии.

В это же время шотландский врач Генри Фулдс из Токио писал: "Сравнение отпечатков пальцев на глиняных черепках, которые возникли, видимо, когда глина была еще мягкой, с вновь сделанными отпечатками побудило меня заняться этой проблемой. Рисунок линий кожи не изменяется в течение всей жизни и может лучше фотографии служить средством идентификации".

Впервые научно доказал уникальность отпечатков пальцев и их неизменность от рождения и до смерти Френсис Галтьон, двоюродный брат Чарлза Дарвина, сравнив в 1893 г. отпечатки - свои и брата-близнеца. Позднее сэр Эдвард Генри разработал применяемый и по сей день способ идентификации человека по его отпечаткам, основанный на разбиении канавок кончиков пальцев на 8 категорий. Анализ и подсчет папиллярных линий дает подгруппы, которые можно выразить цифрами. Эти цифры вместе с буквами для обозначения рисунка составляют формулу, по которой и следует классифицировать карточки с отпечатками пальцев.

Автоматическая идентификация

Экскурс в историю нам понадобился для того, чтобы лучше объяснить принцип идентификации отпечатков пальцев биометрической электронной системой, использующей специально разработанные для этого алгоритмы.

Систему можно обмануть, представившись чужим именем, зная некую аутентификационную информацию. Аутентификация возможна за счет предъявления информации, хранящейся в различной форме, что позволяет достоверно разграничить права доступа к информации. Существует метод верификации, основанный на совпадении "один к одному" по одному атрибуту. Этот способ отличается высокой скоростью и предъявляет минимальные требования к вычислительной мощности компьютера. Известен также поиск "один ко многим", который называется идентификацией.

Наиболее распространены биометрические устройства доступа по отпечатку пальца. В них специально разработанная программа обрабатывает отсканированный отпечаток пальца по нескольким десяткам уникальных параметров и сохраняет их описания. Однако в памяти устройства остается не изображение отпечатка пальца, а описание его признаков в электронном виде. При преобразовании отсканированного отпечатка в цифровой код часть рисунка теряется за ненадобностью, поэтому обратное превращение (описания - в изображение) становится невозможным.

Оборудование и материалы

В нашем эксперименте участвовали:

Системы SFI 3000 и HFI 2000 применяются для ограничения доступа в помещение. Сканер и мыши нужны для защиты от несанкционированного входа при загрузке операционной системы персонального компьютера, а также для установки биометрического пароля на файлы. Все вышеперечисленные устройства оборудованы оптическим считывателем отпечатка пальца. Программное обеспечение устанавливалось оригинальное, от производителя.

Конфигурация компьютера для мышей и Hamstera: Pentium-4, RAM 512 Мбайт, HDD Maxtor 80 Гбайт, видеокарта 128 Мбайт Leadtec A170, USB 2.0, операционная система ХР PRO.

Для создания искусственного отпечатка пальца:

Понадобились также:

Принцип, взятый нами на вооружение, заключается в послойном отвердевании формы из жидкого полимера под воздействием ультрафиолетового света.



Этапы изготовления фальшивого отпечатка пальца

Следует:

Небольшое отступление

Как мы уже знаем, в памяти устройства доступа по дактилоскопическому признаку сохраняется не отсканированное изображение отпечатка, а обработанный по определенному алгоритму цифровой код, так называемый темплит. Он же хранится и в памяти компьютера на случай использования дактилоскопических мышей и других устройств для защиты. На изображении отпечатка пальца выбирается несколько десятков ключевых точек, которые и обрабатываются. Расположение их взаимосвязано.

Дактилоскопия

Технология изготовления такова. Палец покрывается краской, а затем делается оттиск на листе белой бумаги. Из нескольких десятков выбирали наиболее качественный. После этого оттиск отсканировали и ввели в компьютер. При помощи программы Photoshop он был преобразован в черно-белое изображение, а затем инвертирован. Там, где был белый цвет, стал черный и наоборот. Это необходимо, чтобы изготовленный отпечаток проецировался на сканер, так же как и настоящий. Потом изображение распечатали на принтере на специальной пленке в черно-белом режиме. Полученную распечатку по периметру обклеили бордюрной лентой. Пространство внутри залили фотополимером. Сверху его накрыли прозрачной пленкой и на нее положили стекло. Пакет засветили под ультрафиолетовой лампой. Таким образом был сделан фальшивый отпечаток пальца. Для визуального сравнения выполнили оттиск нового отпечатка на бумаге. Всего было изготовлено три клона настоящих отпечатков пальца, зарегистрированных в устройствах и системах управления доступом.

Тестирование

Первым был проверен терминал компании Testech Bio-i. При попытке обмануть сканирующее устройство с помощью изготовленного муляжа считыватель Bio-i не стал даже реагировать на него. Тогда мы решили проверить фальшивку на тестовом приборе этой же компании. Дело в том, что фирмой разработан небольшой прибор, который преобразует излучение энергии живой ткани, в данном случае пальца живого человека, в видимый глазом спектр. Когда к считывателю прикладывается палец реального человека, то с обратной стороны виден сканируемый отпечаток, имеющий флуоресцентный цвет.

Так вот! Когда мы приложили отпечаток, сделанный из фотополимера, обратная сторона оставалась темной, и свечения не наблюдалось. Вывод - сканеры Bio-i на основе эффекта Кирлиана считывают информацию об отпечатках пальцев только с живых людей.

Следующим подверглось испытанию устройство немецкой компании UFIS 210 ABS Gm BH. В этом устройстве предусмотрен сенсорный считыватель в виде металлической пластины. К ней прикладывается палец, и через USB-порт устройство передает изображение в компьютер, где установлено программное обеспечение для его поддержки. Устройство распознало приложенный к сканеру палец реального человека и прописало его темплит в свою базу данных. Не менее успешно оно опознало и приложенный фальшивый отпечаток. Возможно, алгоритм сравнения недоработан. Надо отметить, что мы использовали демоверсию программы, поставляемую с данным устройством. В комплекте также поставляется SDK разработчика.

Нами были испытаны устройства и системы, у которых в качестве считывающего модуля применяется оптический сканер с подсветкой красного цвета. Данными сканерами были оборудованы находящиеся у нас на испытании SFI 3000, HFI 2000, Hamster HFDU01-1 и биометрические мышки.

Наши испытания проводилась по циклам. Каждый состоял из ста попыток. Это значит, что устройство или система сканировала один и тот же отпечаток сто раз. На дисплее HFI 2000 при сканировании фальшивого отпечатка выводилось сообщение "Истекло время сканирования". Это означает, что прибор не воспринимает муляж. При проверке фальшивки на чтение в системе SFI 3000 считыватель пытался отсканировать муляж, но безуспешно. Данная система не смогла даже зарегистрировать ложный отпечаток. Так что говорить о каком-либо сравнении настоящего и изготовленного нами отпечатка в этом случае не имеет никакого смысла.

Что касается биометрических мышек, то информацию с подделки удалось - благодаря некоторым ухищрениям - записать в компьютер на 64-й попытке. Ранее мы писали, что цикл состоял из ста попыток, но в этом тесте решили продолжить эксперимент. На 117-м дубле нам "посчастливилось" зарегистрировать отпечаток муляжа еще раз. То есть в базе данных был сохранен ложный отпечаток. Правда, при сравнении его с настоящим система выдавала нам ошибку. Трудности с регистрацией подделки возникли по причине того, что считывающее устройство не могло опознать и отсканировать его.

Теперь о съеме отпечатка пальца с предметов, в частности со стакана, к которому прикасался человек, чей отпечаток зарегистрирован в системе. Последовательность действий такова:

На первых трех этапах неизбежна потеря определенной доли информации, как бы мы ни старались сделать все профессионально. Сколько процентов - зависит от квалификации специалистов. Полученный результат, возможно, удовлетворит криминалистов, так как они сличают непосредственно изображения, но его будет недостаточно для прибора, который по определенному программистом алгоритму идентифицирует темплиты.

Резюме

Для того чтобы получить несанкционированный вход в системы дактилоскопического доступа, одних бытовых средств и популярных знаний явно не хватит. Весь поток информации в журналах и в Интернете о том, что 80% всех находящихся в продаже систем доступа по отпечатку пальца несложно обмануть, изготовив из желатина муляж отпечатка пальца, оказался чистой воды фантазией. Возможно, используя профессиональные знания, навыки и соответствующее оборудование, злоумышленник имеет шанс "вскрыть" HFI 2000 c помощью искусственно изготовленного отпечатка пальца, но нам такие случаи неизвестны.

Итак, мы провели кропотливую, тщательную проверку и опытным путем убедились, на что способны различные системы контроля и управления доступом по отпечатку пальца. Во всяком случае, те из них, которые были в нашем распоряжении.

P.S. Некоторые компании, к которым мы обратились с просьбой предоставить нам на время испытаний дактилоскопические устройства доступа, имеющиеся у них в наличии, нам мягко отказали.


Copyright © 2004-2010, ООО "Гротек"

Rambler's Top100 Rambler's Top100