KopalniaWiedzy.pl 219 Posted July 26, 2012 Podczas konferencji Black Hat zademonstrowano sposób na oszukanie jednego z najskuteczniejszych zabezpieczeń biometrycznych - skanera tęczówki. Zespół Javiera Galbally z Universidad Autonoma de Madrid wykorzystał dane o tęczówce przechowywane przez system biometryczny do wydrukowania obrazu oka. Okazało się, że w 80% przypadków system uznał takie wydruki za prawdziwe oczy. Po raz pierwszy udowodniono, że możliwa jest kradzież danych o tęczówce w celu kradzieży tożsamości. Share this post Link to post Share on other sites
Przemek Kobel 65 Posted July 27, 2012 Przyda się informacja, że oszukiwanie skanerów tęczówki to żadna rewelacja (jeśli to ma być najskuteczniejszy system biometryczny, to pogratulować). Ciekawe jest tylko to, że obraz tęczówki został wygenerowany na podstawie nie zdjęcia ukradzionego z bazy jakichś porównań, a syntetycznych parametrów przechowywanych w systemie. To taki odpowiednik generowania prawidłowego hasła (niekoniecznie identycznego z oryginałem) na podstawie jego hasha. Share this post Link to post Share on other sites
kejm 1 Posted July 27, 2012 Wszystko co człowiek stworzył, człowiek oszukać może. ps: chyba jednak lepsze są skomplikowane hasła.... Share this post Link to post Share on other sites
radar 73 Posted July 27, 2012 Ja jak już pisałem w innym wątku, jestem przeciwny zabezpieczeniom biometrycznym (w tym i w paszportach, dowodach itp.), bo nawet jak zabezpieczenia będą się rozwijać to równolegle z nimi rozwijać się będą metody ich oszukiwania. Hasło zmienisz, a obraz tęczówki? radar Share this post Link to post Share on other sites
Przemek Kobel 65 Posted July 27, 2012 Zawsze można próbkować DNA... http://en.wikipedia.org/wiki/Gattaca Share this post Link to post Share on other sites
wilk 94 Posted July 27, 2012 oszukanie jednego z najskuteczniejszych zabezpieczeń biometrycznych - skanera tęczówki. Skanowanie siatkówki jest lepszym zabezpieczeniem, aczkolwiek bardziej skomplikowanym, kłopotliwym (czas skanowania, niemożność identyfikacji w locie) i inwazyjnym (wymaga oświetlenia naczyń dna oka). Share this post Link to post Share on other sites
Przemek Kobel 65 Posted July 30, 2012 Od dawna układam plany przepisów, które do autoryzacji wszystkiego wymagałyby używania próbek kału. Co prawda plany dotyczyły urzędów - próbki musiałyby być składowane minimum przez pięć lat w przezroczystych szafach (i pojemnikach) w tym samym pokoju, w którym pracowałby urzędnik wymagający dokumentów od petenta (o ile załatwienie sprawy wymagałoby więcej dokumentów niż jedna kartka A4). Gdyby pokój uległ przepełnieniu, próbki wędrowałyby w górę, zgodnie z hierarchią urzędniczą. Myślę, że to byłoby ostateczne rozwiązanie problemu uwierzytelniania we wszelkich instytucjach i korporacjach. 1 Share this post Link to post Share on other sites
mikroos 70 Posted July 30, 2012 Niestety ten projekt nie ma szans. Typowy urzędnik cały swój kał wkłada w wykonywaną pracę, a resztkami obsmarowuje podatników. Pomysł zacny, ale bez szans na realizację. 1 Share this post Link to post Share on other sites
Przemek Kobel 65 Posted July 31, 2012 Nawet jeśli istniałby ustawowy nakaz używania najbardziej kruchych przezroczystych materiałów znanych nauce? Zepsułeś mi dzień... Share this post Link to post Share on other sites
Guest Matsukawa Posted September 2, 2012 Informacja jest albo stara, albo uczestnicy tej konferencji są technologicznie zapóźnieni. W biuletynie NASK ze stycznia br. można przeczytać o opatentowanej w USA metodzie ochrony skanerów tęczówki przed opisywanymi w artykule oszustwami: "Członkowie Pracowni Biometrii NASK skonstruowali kilka metod testu żywotności oka, które eliminują zagrożenie oszukania systemu przy pomocy fałszywej tęczówki. Najbardziej innowacyjną z nich okazała się technologia bazująca na dynamice oka, badająca zmiany średnicy źrenicy pod wpływem zmiennych warunków oświetleniowych, dzięki czemu można odróżnić żywą tęczówkę od zaawansowanych falsyfikatów gałki ocznej. W badaniach wykorzystano pomiar aktywny, śledzący dynamikę zmian źrenicy przy stymulacji oka impulsem świetlnym. Właśnie ta metoda wraz z urządzeniem pomiarowym uzyskała ochronę patentową Biura Patentów i Znaków Towarowych Stanów Zjednoczonych. Wnioski o uzyskanie ochrony patentowej w kraju oraz pozostałych krajach Unii Europejskiej są jeszcze na etapie przetwarzania przez właściwe urzędy patentowe." http://www.nask.pl/b...ASK_01_2012.pdf Czyli nowoczesnych skanerów tęczówki oszukać się nie da. Trzeba tylko trochę kasy wyskrobać na modernizację Share this post Link to post Share on other sites
Przemek Kobel 65 Posted September 3, 2012 Nie da się oszukać, bo zrobił to NASK i zaakceptował amerykański urząd patentowy? A jaki problem napisać program na telefon, który będzie sprawdzał ile na niego pada światła (co i tak większość telefonów robi automatycznie) i na podstawie pomiaru będzie generował dynamiczny obraz oka? Zresztą, po co generować - wystarczy pokazać zdjęcie zarejestrowane u oryginału przy podobnym natężeniu światła. Albo żeby ułatwić "kradzież" obrazu tęczówki, poświecić "obiektowi" w oczy, szybką kamerą złapać wszystkie fazy zawężania źrenicy i potem to tylko odpowiednio odtwarzać... A zanim ktoś zacznie rozmyślać o jeszcze bardziej zaawansowanej biometrii - szkoda czasu. Niedawno okazało się, że parametry biometryczne z wiekiem zmieniają się, więc zbyt wyrafinowane techniki z tej branży stają się bardziej uciążliwe i kosztowne w utrzymaniu. 1 Share this post Link to post Share on other sites
Guest Matsukawa Posted September 4, 2012 A jaki problem napisać program na telefon, który będzie sprawdzał ile na niego pada światła (co i tak większość telefonów robi automatycznie) i na podstawie pomiaru będzie generował dynamiczny obraz oka? Zresztą, po co generować - wystarczy pokazać zdjęcie zarejestrowane u oryginału przy podobnym natężeniu światła. Albo żeby ułatwić "kradzież" obrazu tęczówki, poświecić "obiektowi" w oczy, szybką kamerą złapać wszystkie fazy zawężania źrenicy i potem to tylko odpowiednio odtwarzać...Ten patent... ech... nie na tym polega. Oko ludzkie wykonuje bez przerwy mikroruchy (tzw. mikrosakady), które układają się w pewien charakterystyczny wzorzec. Wzorzec ten zmienia się przy niespodziewanym oświetleniu a także nastroju danej osoby. Można w ten sposób wykryć m.in. czy ktoś kłamie, albo czy jest zdenerwowany lub czuje się zagrożony. Wzorzec ten jest bardzo zindywidualizowany, choć oczywiście posiada pewne stałe cechy, które są właśnie chronione patentem i zaszyte w oprogramowaniu. Które to oprogramowanie jest odpowiednio zaszyfrowane itd. Zapewne można to podrobić, jak wszystko inne. Ale na razie limit czasowy skutecznie uniemożliwia takie operacje. W każdym razie wszystkie naiwne metody włamywania typu kamera, telefon z tajemniczą aplikacją, zdjęcia i inne koncepcje z przedszkola nic tu nie dadzą. Oko musi się ruszać, tak jak żywe, znajdujące się w żywej głowie... przytomnego człowieka. Koniec z zawleczeniem nieprzytomnego albo sterroryzowanego gościa pod czytnik... 1 Share this post Link to post Share on other sites
Przemek Kobel 65 Posted September 5, 2012 W każdym razie wszystkie naiwne metody włamywania typu kamera, telefon z tajemniczą aplikacją, zdjęcia i inne koncepcje z przedszkola nic tu nie dadzą. Dokładnie to samo mówili autorzy wszystkich "przestarzałych" systemów biometrycznych. Oko musi się ruszać, tak jak żywe, znajdujące się w żywej głowie... przytomnego człowieka. Koniec z zawleczeniem nieprzytomnego albo sterroryzowanego gościa pod czytnik... A potem się okaże, że 90% pracowników nie przyszło do pracy, bo system nie wpuścił. Bo byli zdenerwowani jakimś deadline'em, zmieniła się pogoda, albo zaczęła się psuć świetlówka przy automacie skanującym. 1 Share this post Link to post Share on other sites
mikroos 70 Posted September 5, 2012 Myślę, że grubo przesadzasz. Skoro człowiek potrafi poznać człowieka w bardzo różnych warunkach, to jest to obiektywnie możliwe, więc w przypadku maszyny wszystko jest wyłącznie kwestią jej umiejętnego oprogramowania. Share this post Link to post Share on other sites
Przemek Kobel 65 Posted September 6, 2012 Tak samo myśleli ci, którzy próbowali zaprogramować sieć neuronalną do rozpoznawania czołgów na zdjęciach satelitarnych. W testach wszystko wyszło wspaniale, a w praniu okazało się, że nauczyli maszynę rozróżniać zdjęcia zrobione przy słonecznej pogodzie od tych zrobionych przy pochmurnej. A nie zapominajmy, że sieć neuronalna to nie jest maszyna umiejętnie zaprogramowana, a jedynie umiejętnie naśladująca coś czego tak do końca nie rozumiemy (i nie wiadomo czy kiedykolwiek zrozumiemy). Nie przeczę jednak, że mamy ogromny postęp w zapożyczaniu pewnych mechanizmów z przyrody - roboty przestały się przewracać (chociaż jeszcze muszą być podłączone do mainframe'a), a pozycjonowanie sprzętów latających też jest niczego sobie. Share this post Link to post Share on other sites
mikroos 70 Posted September 6, 2012 Twoja wypowiedź dowodzi jedynie tego, że maszyna była źle oprogramowana, a nie tego, że maszyna w samej swojej naturze nie jest w stanie rozpoznawać ludzi po odpowiednim zaprogramowaniu. Share this post Link to post Share on other sites
Przemek Kobel 65 Posted September 7, 2012 Każda maszyna, która źle działa jest albo źle skonstruowana, albo źle zaprogramowana. Na przykład wehikuł czasu na moim balkonie. 1 Share this post Link to post Share on other sites
mikroos 70 Posted September 7, 2012 Szkoda. Mimo to wierzę w Ciebie! Share this post Link to post Share on other sites
Przemek Kobel 65 Posted September 10, 2012 Niestety, jedyne co mi ostatnio zadziałało to ładowarka do Nokii zrobiona z dwóch widelców. (serio) Share this post Link to post Share on other sites
TrzyGrosze 67 Posted September 10, 2012 Podejrzewam, że dobry soft te widelce miały. Share this post Link to post Share on other sites
Guest Matsukawa Posted September 10, 2012 A potem się okaże, że 90% pracowników nie przyszło do pracy, bo system nie wpuścił. Bo byli zdenerwowani jakimś deadline'em, zmieniła się pogoda, albo zaczęła się psuć świetlówka przy automacie skanującym.W takich systemach można ustawić próg wymagalności. I tak np. prezes banku, którego decyzje są niezwykle istotne dla całej instytucji może mieć 100% wymagalność autentyczności i relaksu przed akceptacją podejmowanej decyzji. Ale już przy wejściu do gabinetu wymagana będzie 100% weryfikacja tożsamości i 10% relaks, bo przecież podczas biurowej balangi może się zachcieć skorzystać z prywatnego kibelka...Z kolei przy głównym wejściu wymagane będzie 30% tożsamości (na wypadek awarii świetlówki), ale przy podpisywaniu listy płac już znacznie więcej, bo skacowany pracownik z przekrwionymi oczkami jest mniej wydajny. Tak więc 100% daje dniówkę z możliwością doliczenia premii, 50% tylko dniówkę, a poniżej 30% na gościa będzie czekał e-mail z działu kadr... Share this post Link to post Share on other sites
Przemek Kobel 65 Posted September 11, 2012 Musiałem je patchować kamieniami, bo część trzymna się podnosiła po postawieniu telefonu. Share this post Link to post Share on other sites
thikim 71 Posted October 23, 2012 To świadczy tylko o wadliwym algorytmie rozpoznawania który daje się oszukać wydrukiem. Sam pomysł jest dobry, ale jak widać wprowadzono go optymistycznie w życie i było to wadliwe wprowadzenie. Share this post Link to post Share on other sites