Биометрия — HackZona.Ru

Биометрия

Биометрия

Тип статьи:
Со старой ХакЗоны.
Источник:
Многие альтернативные устройства аутентификации основаны на принципах биометрии. Вместо традиционной системы с паролем, для доступа к которой вам нужно сообщить нечто, известное только вам(пароль), биометрические устройства считывают уникальные физические характеристики человека.
В настоящее время вокруг биометрии сложилось несколько превратное мнение как исключительно о средстве борьбы с терроризмом.Когда дело доходит до широкого применения, биометрические системы продолжают демонстрировать свое несовершенство.Понадобится устранить еще немало ошибок, прежде чем эти системы можно будет внедрять повсеместно.Точность биометрических систем характеризуется двумя параметрами:
FRR(False Rejection Rate) — процент ошибочных отказов, когда система отказывает в доступе авторизованному пользователю;
FAR(False Acceptance Rate) — процент ошибочных допусков, когда доступ к системе ошибочно предоставляется неавторизованному пользователю.

Необходимо знать оба параметра системы (FRR и FAR), особенно если они были получены в результате лабораторных тестов либо скрупулезного анализа результатов ежедневного использования.Кроме того, намереваясь приобрести ту или иную биометрическую систему, вы должны вначале выяснить ее уязвимые места:
1)Атака путем повторной передачи корректной информации.
Аппаратные компоненты биометрической системы должны передавать информацию на обработку программным компонентам для аутентификации пользователя.Если эти передаваемые данные в определенный момент перехватить, то в будущем можно попытаться повторно симулировать их передачу от аппаратных компонентов, чтобы получить доступ к системе.К примеру, при использовании сканера для проверки отпечатков пальцев, подключенного через порт USB, последовательность передаваемых во время верификации данных может быть перехвачена, и позднее повторно передана тому же порту.
2)Фальсификация. Поскольку принцип работы биометрических устройств идентификации сводится к распознаванию некоторых физических характеристик человека, можно попытаться создать точную копию характеристики.Например чтобы обмануть систему распознавания по голосу, достаточно воспроизвести речь этого человека, записанную на пленку.
3)Манипуляции с базой данных. Биометрическая информация должна храниться в некоторой базе данных, чтобы поступившие данные можно было сравнивать с некоторым образцом в процессе аутентификации пользователя.Поэтому, проникнув в базу данных, шпион может добавить характеристики пользователя, ранее не имевшего доступ к системе.
4)Инженерный анализ. Любое устройство биометрической аутентификации состоит из аппаратной и программной части, которые взаимодействуют с операционной системой или приложениями.Можно проанализировать программный код приложения, чтобы в дальнейшем создать программную «заплату», позволяющую всегда идентифицировать пользователя как легального, даже если на самом деле его данные вообще отсутствуют в системе.Ведь в течении многих лет компьютерные пираты успешно игнорировали, например, схемы защиты программного обеспечения от копирования, изменяя значения шестнадцатеричных кодов на ассамблере в операторах условного выбора либо заменяя фрагменты кода холостыми командами (NOP). И если подростки в состоянии дизассемблировать приложение и убрать нетривиальные средства защиты программы от копирования, то, очевидно, что защита системы биометрической аутентификации также может быть взломана.

Учтите, что с ростом популярности и распространением биометрических устройств в них могут обнаружиться и стать известными широкой общественности новые уязвимые места и способы их использования. Нельзя полагаться исключительно на биометрию, как и на любую другую технологию, для защиты конфиденциальных данных.Необходимо чтобы биометрические устройства включались в состав интегрированных многоуровневых систем защиты информации.

Немецкий компьютерный журнал c't опубликовал в ноябре 2002 года статью, содержащую результаты тестирования 11 биометрических устройств.Во всех случаях система защиты была успешно взломана при помощи ряда простых атак.Англоязычную версию статьи вы можете прочесть здесь heise.de/ct/english/02/11/114/

20.09.2006 Дополнено:

Хорошим примером несовершенства биометрических систем защиты являются сканеры отпечатков пальцев.Модели, ориентированные на массовый рынок, розничная цена которых колеблется в пределах $100...$250, выполняют распознование рельефа кожи на пальцах при помощи внешних аппаратных сканеров, которые могут быть встроены в клавиатуру или мышь.Вначале сканируется отпечаток пальцев авторизованного пользователя, который затем сохраняется в базе данных ( в виде 256-байтного «файла деталей» — изображения. преобразованного в серию точек, в отличие от цифрового изображения отпечатков пальцев, которое обычно делается нашей доблестной милицией:). Затем, когда возникает необходимость идентифицировать пользователя, система повторно сканирует его отпечатки пальцев и осуществляет поиск совпадения в базе данных.Если такой отпечаток найден в базе, вы получаете доступ к компьютеру или данным.Если нет — что ж, значит, вам не повезло.
К сожалению, системы распознавания отпечатков пальцев далеки от совершенства: на точность распознавания может влиять естественное нелушение кожного покрова, царапины, рубцы, пот и гряз.Вдобавок, если ваш противник имеет доступ к вашему пальцу (его отпечаткам) или их точной копии, существует немалая вероятность того, что эта система защиты может быть обманута.
В мае 2002 года Цутому Матцумото, исследователь из Национального университета в Иокогаме, провел презентацию (а позднее опубликовал статью) об уязвимых местах сканеров для отпечатков пальцев.Потратив 10$ на пищевые продукты, которые можно найти на кухне любой домохозяйки, ему удалось сделать из них фальшивые желатиновые отпечатки пальцев, при помощи которых были обмануты большинство моделей сканеров.
Матцумото сделал пластиковые слепки для пальцев некоторых добровольцев, которые затем были заполнены желатином.Восстановленные таким образом отпечатки оказались достаточно надежными для того, чтобы обмануть сканер в 80% случаев.Матцумото также попытался воспользоваться скрытыми отпечатками пальцев, оставленными на стекле, и не меньше преуспел в этом деле, сделав фальшивые отпечатки, которые помогли одурачить большинство сканеров.
Производители сканеров для отпечатков пальцев поспешили опротестовать работу Матцумото, заявив, что подобный успех возможен только в лабораторных условиях.Однако дело было сделано — большинство экспертов по безопасности с сомнением покачали головами и решили, что проведенные исследования являются веской причиной для того, чтобы не полагаться исключительно на биометрические сканеры отпечатков пальцев, как на единственный метод защиты конфиденциальной информации.
Презентацию Матцумото в формате PowerPoint, включая цветные фотографии и инструкции по созданию ваших собственных искусственных отпечатков пальцев, вы можете загрузить здесь.
Нравится
Не нравится

Комментарии

Нет комментариев. Ваш будет первым!