Эксперты в сфере компьютерной безопасности рассказали о том, как хакеры могут легко обходить системы авторизации, основанные на сканировании и анализе подкожных кровеносных сосудов. О том, как это делается, исследователи биометрических систем аутентификации поделились на ежегодном собрании Chaos Communication Congress, традиционно проходившем с 27-го по 29-е декабря и собиравшем вокруг себя специалистов по компьютерному взлому со всего света.
Последние годы устройства и системы безопасности все активнее полагаются на так называемую биометрические методы аутентификации, когда для доступа к компьютерным системам используются программные и аппаратные средства для сканирования уникальных физиологических особенностей человека. Примерами таких систем могут служить те же сканеры отпечатков пальцев, либо технология FaceID, которая используется в смартфонах iPhone для предоставления доступа к устройству по особенностям лица пользователя. Одним из наиболее современных и сложных методов биометрической защиты является так называемая идентификация по рисунку вен ладони, которая, как следует из названия, проводит сканирование размера, форм и расположения подкожных кровеносных сосудов в руке пользователя. Но как оказалось, хакеры смогли обойти и его.
Биометрические системы безопасности — не панацея
На проходившем на этой неделе в Германии ежегодном Всемирном конгрессе хакеров специалисты по исследованию систем цифровой безопасности рассказали, как им удалось создать из воска искусственную руку и обмануть с помощью нее систему сканирования подкожных кровеносных сосудов.
«Ирония заключается в том, что подобный метод авторизации позиционируется в качестве высококлассной и передовой системы безопасности. Но вам необходимо всего лишь немного модифицировать обычную камеру, использовать кое-какие довольно дешевые материалы, а затем без проблем ее взломать», — говорит Ян Крисслер, более известный в хакерских кругах под псевдонимом «starbug», который вместе с другим специалистом по взлому компьютерных систем, Джулианом Альбрехтом, проводил исследование метода идентификации по рисунку кровеносных сосудов.
Метод идентификации по карте кровеносных сосудов использует алгоритмы, которые сравнивают рисунок вен на руке пользователя с содержащейся в базе данных эталонной информацией об этом человеке. Согласно последним данным немецких СМИ, такая система используется, например, в новом берлинском офисе Федеральной разведывательной службы Германии.
Одна из особенностей системы авторизации на основе метода сканирования подкожных кровеносных сосудов, выделяющая ее на фоне метода, скажем так, более традиционной системы сканирования отпечатков пальцев заключается в том, что хакеру сложнее вычислить структурные особенности карты кровеносных сосудов пользователя под кожей. Если речь идет об отпечатках пальцев, то получить их дубликат гораздо проще. Например, образец отпечатка можно получить из следов, оставленных на предметах, к которым прикасался человек, либо с помощью качественных фотографий пальцев.
Крисслер и Альбрехт создали свой имитатор ладони на базе фотографий своих собственных рук. Для получения образца карты кровеносных сосудов они использовали обычную однообъективную зеркальную камеру с демонтированным инфракрасным фильтром.
«Вполне хватит снимков ладоней, полученных с расстояния около 5 метров. Для создания меньших подозрений у жертвы такие снимки можно легко получить, например, на пресс-конференции этого человека», — объясняет Крисслер.
В общей сложности за 30 дней исследований Крисслер и Альбрехт получили более 2500 фотографий рук, отобрав в итоге наиболее удачные варианты для максимальной эффективности. После этого хакеры отлили из воска модели ладоней, а затем нанесли на их поверхность карту кровеносных сосудов.
«Когда мы впервые обманули систему авторизации, я очень удивился тому, насколько это оказывается просто», — добавляет Крисслер.
Выводами своей работы Крисслер и Альбрехт поделились с компаниями Fujitsu и Hitachi. Со слов Крисслера, в Hitachi очень заинтересовались исследованием и даже отправили своих сотрудников обсудить его детали. Fujitsu в свою очередь пока никак не отреагировала на сообщение и запросы.
Следует понимать, что Крисслер и Альбрехт занимались этим исследованием всего около месяца. Таким образом, при наличии достаточного финансирования и ресурсов вероятный противник мог бы повторить результаты этих исследований, переведя их на новый масштаб. Опасений добавляет тот факт, что объекты, которые защищаются подобными системами безопасности, как правило являются крупными транснациональными корпорациями, а также правительственными и в том числе военными организациями, которые могут представлять большой интерес со стороны государств-оппонентов.
«Биометрика – это непрекращающаяся гонка вооружений. Производители стараются постоянно улучшать свои системы безопасности, а хакеры всегда возвращаются и пытаются эти системы взломать», — подытоживает Крисслер.