Można oszukać skaner tęczówki

[KopalniaWiedzy.pl 219]

Podczas konferencji Black Hat zademonstrowano sposób na oszukanie jednego z najskuteczniejszych zabezpieczeń biometrycznych - skanera tęczówki. Zespół Javiera Galbally z Universidad Autonoma de Madrid wykorzystał dane o tęczówce przechowywane przez system biometryczny do wydrukowania obrazu oka. Okazało się, że w 80% przypadków system uznał takie wydruki za prawdziwe oczy.

Po raz pierwszy udowodniono, że możliwa jest kradzież danych o tęczówce w celu kradzieży tożsamości.

[Przemek Kobel 65]

Przyda się informacja, że oszukiwanie skanerów tęczówki to żadna rewelacja (jeśli to ma być najskuteczniejszy system biometryczny, to pogratulować). Ciekawe jest tylko to, że obraz tęczówki został wygenerowany na podstawie nie zdjęcia ukradzionego z bazy jakichś porównań, a syntetycznych parametrów przechowywanych w systemie. To taki odpowiednik generowania prawidłowego hasła (niekoniecznie identycznego z oryginałem) na podstawie jego hasha.

[kejm 1]

Wszystko co człowiek stworzył, człowiek oszukać może.

 

ps: chyba jednak lepsze są skomplikowane hasła....

[radar 73]

Ja jak już pisałem w innym wątku, jestem przeciwny zabezpieczeniom biometrycznym (w tym i w paszportach, dowodach itp.), bo nawet jak zabezpieczenia będą się rozwijać to równolegle z nimi rozwijać się będą metody ich oszukiwania.

Hasło zmienisz, a obraz tęczówki?

 

radar

[Przemek Kobel 65]

Zawsze można próbkować DNA... http://en.wikipedia.org/wiki/Gattaca

[wilk 94]

oszukanie jednego z najskuteczniejszych zabezpieczeń biometrycznych - skanera tęczówki.

 

Skanowanie siatkówki jest lepszym zabezpieczeniem, aczkolwiek bardziej skomplikowanym, kłopotliwym (czas skanowania, niemożność identyfikacji w locie) i inwazyjnym (wymaga oświetlenia naczyń dna oka).

[Przemek Kobel 65]

Od dawna układam plany przepisów, które do autoryzacji wszystkiego wymagałyby używania próbek kału. Co prawda plany dotyczyły urzędów - próbki musiałyby być składowane minimum przez pięć lat w przezroczystych szafach (i pojemnikach) w tym samym pokoju, w którym pracowałby urzędnik wymagający dokumentów od petenta (o ile załatwienie sprawy wymagałoby więcej dokumentów niż jedna kartka A4). Gdyby pokój uległ przepełnieniu, próbki wędrowałyby w górę, zgodnie z hierarchią urzędniczą.

 

 

Myślę, że to byłoby ostateczne rozwiązanie problemu uwierzytelniania we wszelkich instytucjach i korporacjach.

[mikroos 70]

Niestety ten projekt nie ma szans. Typowy urzędnik cały swój kał wkłada w wykonywaną pracę, a resztkami obsmarowuje podatników.

 

Pomysł zacny, ale bez szans na realizację.

[Przemek Kobel 65]

Nawet jeśli istniałby ustawowy nakaz używania najbardziej kruchych przezroczystych materiałów znanych nauce? Zepsułeś mi dzień...

[Guest Matsukawa]

Informacja jest albo stara, albo uczestnicy tej konferencji są technologicznie zapóźnieni. W biuletynie NASK ze stycznia br. można przeczytać o opatentowanej w USA metodzie ochrony skanerów tęczówki przed opisywanymi w artykule oszustwami:

 

"Członkowie Pracowni Biometrii NASK skonstruowali kilka metod testu żywotności oka, które eliminują zagrożenie oszukania systemu przy pomocy fałszywej tęczówki. Najbardziej innowacyjną z nich okazała się technologia bazująca na dynamice oka, badająca zmiany średnicy źrenicy pod wpływem zmiennych warunków oświetleniowych, dzięki czemu można odróżnić żywą tęczówkę od zaawansowanych falsyfikatów gałki ocznej. W badaniach wykorzystano pomiar aktywny, śledzący dynamikę zmian źrenicy przy stymulacji oka impulsem świetlnym. Właśnie ta metoda wraz z urządzeniem pomiarowym uzyskała ochronę patentową Biura Patentów i Znaków Towarowych Stanów Zjednoczonych. Wnioski o uzyskanie ochrony patentowej w kraju oraz pozostałych krajach Unii Europejskiej są jeszcze na etapie przetwarzania przez właściwe urzędy patentowe."

http://www.nask.pl/b...ASK_01_2012.pdf

 

Czyli nowoczesnych skanerów tęczówki oszukać się nie da. Trzeba tylko trochę kasy wyskrobać na modernizację

[Przemek Kobel 65]

Nie da się oszukać, bo zrobił to NASK i zaakceptował amerykański urząd patentowy?

 

A jaki problem napisać program na telefon, który będzie sprawdzał ile na niego pada światła (co i tak większość telefonów robi automatycznie) i na podstawie pomiaru będzie generował dynamiczny obraz oka? Zresztą, po co generować - wystarczy pokazać zdjęcie zarejestrowane u oryginału przy podobnym natężeniu światła. Albo żeby ułatwić "kradzież" obrazu tęczówki, poświecić "obiektowi" w oczy, szybką kamerą złapać wszystkie fazy zawężania źrenicy i potem to tylko odpowiednio odtwarzać...

 

A zanim ktoś zacznie rozmyślać o jeszcze bardziej zaawansowanej biometrii - szkoda czasu. Niedawno okazało się, że parametry biometryczne z wiekiem zmieniają się, więc zbyt wyrafinowane techniki z tej branży stają się bardziej uciążliwe i kosztowne w utrzymaniu.

[Guest Matsukawa]

A jaki problem napisać program na telefon, który będzie sprawdzał ile na niego pada światła (co i tak większość telefonów robi automatycznie) i na podstawie pomiaru będzie generował dynamiczny obraz oka? Zresztą, po co generować - wystarczy pokazać zdjęcie zarejestrowane u oryginału przy podobnym natężeniu światła. Albo żeby ułatwić "kradzież" obrazu tęczówki, poświecić "obiektowi" w oczy, szybką kamerą złapać wszystkie fazy zawężania źrenicy i potem to tylko odpowiednio odtwarzać...

Ten patent... ech... nie na tym polega. Oko ludzkie wykonuje bez przerwy mikroruchy (tzw. mikrosakady), które układają się w pewien charakterystyczny wzorzec. Wzorzec ten zmienia się przy niespodziewanym oświetleniu a także nastroju danej osoby. Można w ten sposób wykryć m.in. czy ktoś kłamie, albo czy jest zdenerwowany lub czuje się zagrożony. Wzorzec ten jest bardzo zindywidualizowany, choć oczywiście posiada pewne stałe cechy, które są właśnie chronione patentem i zaszyte w oprogramowaniu. Które to oprogramowanie jest odpowiednio zaszyfrowane itd.

 

Zapewne można to podrobić, jak wszystko inne. Ale na razie limit czasowy skutecznie uniemożliwia takie operacje. W każdym razie wszystkie naiwne metody włamywania typu kamera, telefon z tajemniczą aplikacją, zdjęcia i inne koncepcje z przedszkola nic tu nie dadzą. Oko musi się ruszać, tak jak żywe, znajdujące się w żywej głowie... przytomnego człowieka. Koniec z zawleczeniem nieprzytomnego albo sterroryzowanego gościa pod czytnik...

[Przemek Kobel 65]

W każdym razie wszystkie naiwne metody włamywania typu kamera, telefon z tajemniczą aplikacją, zdjęcia i inne koncepcje z przedszkola nic tu nie dadzą.

 

Dokładnie to samo mówili autorzy wszystkich "przestarzałych" systemów biometrycznych.

 

Oko musi się ruszać, tak jak żywe, znajdujące się w żywej głowie... przytomnego człowieka. Koniec z zawleczeniem nieprzytomnego albo sterroryzowanego gościa pod czytnik...

 

A potem się okaże, że 90% pracowników nie przyszło do pracy, bo system nie wpuścił. Bo byli zdenerwowani jakimś deadline'em, zmieniła się pogoda, albo zaczęła się psuć świetlówka przy automacie skanującym.

[mikroos 70]

Myślę, że grubo przesadzasz. Skoro człowiek potrafi poznać człowieka w bardzo różnych warunkach, to jest to obiektywnie możliwe, więc w przypadku maszyny wszystko jest wyłącznie kwestią jej umiejętnego oprogramowania.

[Przemek Kobel 65]

Tak samo myśleli ci, którzy próbowali zaprogramować sieć neuronalną do rozpoznawania czołgów na zdjęciach satelitarnych. W testach wszystko wyszło wspaniale, a w praniu okazało się, że nauczyli maszynę rozróżniać zdjęcia zrobione przy słonecznej pogodzie od tych zrobionych przy pochmurnej.

 

A nie zapominajmy, że sieć neuronalna to nie jest maszyna umiejętnie zaprogramowana, a jedynie umiejętnie naśladująca coś czego tak do końca nie rozumiemy (i nie wiadomo czy kiedykolwiek zrozumiemy).

 

Nie przeczę jednak, że mamy ogromny postęp w zapożyczaniu pewnych mechanizmów z przyrody - roboty przestały się przewracać (chociaż jeszcze muszą być podłączone do mainframe'a), a pozycjonowanie sprzętów latających też jest niczego sobie.

[mikroos 70]

Twoja wypowiedź dowodzi jedynie tego, że maszyna była źle oprogramowana, a nie tego, że maszyna w samej swojej naturze nie jest w stanie rozpoznawać ludzi po odpowiednim zaprogramowaniu.

[Przemek Kobel 65]

Każda maszyna, która źle działa jest albo źle skonstruowana, albo źle zaprogramowana. Na przykład wehikuł czasu na moim balkonie.

[mikroos 70]

Szkoda. Mimo to wierzę w Ciebie!

[Przemek Kobel 65]

Niestety, jedyne co mi ostatnio zadziałało to ładowarka do Nokii zrobiona z dwóch widelców. (serio)

[TrzyGrosze 67]

Podejrzewam, że dobry soft te widelce miały.

[Guest Matsukawa]

A potem się okaże, że 90% pracowników nie przyszło do pracy, bo system nie wpuścił. Bo byli zdenerwowani jakimś deadline'em, zmieniła się pogoda, albo zaczęła się psuć świetlówka przy automacie skanującym.

W takich systemach można ustawić próg wymagalności. I tak np. prezes banku, którego decyzje są niezwykle istotne dla całej instytucji może mieć 100% wymagalność autentyczności i relaksu przed akceptacją podejmowanej decyzji. Ale już przy wejściu do gabinetu wymagana będzie 100% weryfikacja tożsamości i 10% relaks, bo przecież podczas biurowej balangi może się zachcieć skorzystać z prywatnego kibelka...

Z kolei przy głównym wejściu wymagane będzie 30% tożsamości (na wypadek awarii świetlówki), ale przy podpisywaniu listy płac już znacznie więcej, bo skacowany pracownik z przekrwionymi oczkami jest mniej wydajny. Tak więc 100% daje dniówkę z możliwością doliczenia premii, 50% tylko dniówkę, a poniżej 30% na gościa będzie czekał e-mail z działu kadr...

[Przemek Kobel 65]

Musiałem je patchować kamieniami, bo część trzymna się podnosiła po postawieniu telefonu.

[thikim 71]

To świadczy tylko o wadliwym algorytmie rozpoznawania który daje się oszukać wydrukiem. Sam pomysł jest dobry, ale jak widać wprowadzono go optymistycznie w życie i było to wadliwe wprowadzenie.