Hi-Tech

Хакеры обошли одну из самых сложных систем безопасности

О том, как это делается, исследователи биометрических систем аутентификации поделились на ежегодном собрании Chaos Communication Congress, традиционно проходившем с 27-го по 29-е декабря и собиравшем вокруг себя специалистов по компьютерному взлому со всего света. Эксперты в сфере компьютерной безопасности рассказали о том, как хакеры могут легко обходить системы авторизации, основанные на сканировании и анализе подкожных кровеносных сосудов.

Примерами таких систем могут служить те же сканеры отпечатков пальцев, либо технология FaceID, которая используется в смартфонах iPhone для предоставления доступа к устройству по особенностям лица пользователя. Последние годы устройства и системы безопасности все активнее полагаются на так называемую биометрические методы аутентификации, когда для доступа к компьютерным системам используются программные и аппаратные средства для сканирования уникальных физиологических особенностей человека. Но как оказалось, хакеры смогли обойти и его. Одним из наиболее современных и сложных методов биометрической защиты является так называемая идентификация по рисунку вен ладони, которая, как следует из названия, проводит сканирование размера, форм и расположения подкожных кровеносных сосудов в руке пользователя.

Биометрические системы безопасности — не панацея

На проходившем на этой неделе в Германии ежегодном Всемирном конгрессе хакеров специалисты по исследованию систем цифровой безопасности рассказали, как им удалось создать из воска искусственную руку и обмануть с помощью нее систему сканирования подкожных кровеносных сосудов.

Но вам необходимо всего лишь немного модифицировать обычную камеру, использовать кое-какие довольно дешевые материалы, а затем без проблем ее взломать», — говорит Ян Крисслер, более известный в хакерских кругах под псевдонимом «starbug», который вместе с другим специалистом по взлому компьютерных систем, Джулианом Альбрехтом, проводил исследование метода идентификации по рисунку кровеносных сосудов. «Ирония заключается в том, что подобный метод авторизации позиционируется в качестве высококлассной и передовой системы безопасности.

Согласно последним данным немецких СМИ, такая система используется, например, в новом берлинском офисе Федеральной разведывательной службы Германии. Метод идентификации по карте кровеносных сосудов использует алгоритмы, которые сравнивают рисунок вен на руке пользователя с содержащейся в базе данных эталонной информацией об этом человеке.

Пара слайдов, которые были показаны Крисслером в ходе его презентации

Если речь идет об отпечатках пальцев, то получить их дубликат гораздо проще. Одна из особенностей системы авторизации на основе метода сканирования подкожных кровеносных сосудов, выделяющая ее на фоне метода, скажем так, более традиционной системы сканирования отпечатков пальцев заключается в том, что хакеру сложнее вычислить структурные особенности карты кровеносных сосудов пользователя под кожей. Например, образец отпечатка можно получить из следов, оставленных на предметах, к которым прикасался человек, либо с помощью качественных фотографий пальцев.

Для получения образца карты кровеносных сосудов они использовали обычную однообъективную зеркальную камеру с демонтированным инфракрасным фильтром. Крисслер и Альбрехт создали свой имитатор ладони на базе фотографий своих собственных рук.

Для создания меньших подозрений у жертвы такие снимки можно легко получить, например, на пресс-конференции этого человека», — объясняет Крисслер. «Вполне хватит снимков ладоней, полученных с расстояния около 5 метров.

После этого хакеры отлили из воска модели ладоней, а затем нанесли на их поверхность карту кровеносных сосудов. В общей сложности за 30 дней исследований Крисслер и Альбрехт получили более 2500 фотографий рук, отобрав в итоге наиболее удачные варианты для максимальной эффективности.

«Когда мы впервые обманули систему авторизации, я очень удивился тому, насколько это оказывается просто», — добавляет Крисслер.

Со слов Крисслера, в Hitachi очень заинтересовались исследованием и даже отправили своих сотрудников обсудить его детали. Выводами своей работы Крисслер и Альбрехт поделились с компаниями Fujitsu и Hitachi. Fujitsu в свою очередь пока никак не отреагировала на сообщение и запросы.

Таким образом, при наличии достаточного финансирования и ресурсов вероятный противник мог бы повторить результаты этих исследований, переведя их на новый масштаб. Следует понимать, что Крисслер и Альбрехт занимались этим исследованием всего около месяца. Опасений добавляет тот факт, что объекты, которые защищаются подобными системами безопасности, как правило являются крупными транснациональными корпорациями, а также правительственными и в том числе военными организациями, которые могут представлять большой интерес со стороны государств-оппонентов.

Производители стараются постоянно улучшать свои системы безопасности, а хакеры всегда возвращаются и пытаются эти системы взломать», — подытоживает Крисслер. «Биометрика – это непрекращающаяся гонка вооружений.

Подписавшись на наш Telegram-канал, вы будете в курсе самых интересных событий из мира науки и технологий.

Показать больше

Похожие публикации

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»