Jump to content
Forum Kopalni Wiedzy
KopalniaWiedzy.pl

Można oszukać skaner tęczówki

Recommended Posts

Podczas konferencji Black Hat zademonstrowano sposób na oszukanie jednego z najskuteczniejszych zabezpieczeń biometrycznych - skanera tęczówki. Zespół Javiera Galbally z Universidad Autonoma de Madrid wykorzystał dane o tęczówce przechowywane przez system biometryczny do wydrukowania obrazu oka. Okazało się, że w 80% przypadków system uznał takie wydruki za prawdziwe oczy.

Po raz pierwszy udowodniono, że możliwa jest kradzież danych o tęczówce w celu kradzieży tożsamości.

Share this post


Link to post
Share on other sites

Przyda się informacja, że oszukiwanie skanerów tęczówki to żadna rewelacja (jeśli to ma być najskuteczniejszy system biometryczny, to pogratulować). Ciekawe jest tylko to, że obraz tęczówki został wygenerowany na podstawie nie zdjęcia ukradzionego z bazy jakichś porównań, a syntetycznych parametrów przechowywanych w systemie. To taki odpowiednik generowania prawidłowego hasła (niekoniecznie identycznego z oryginałem) na podstawie jego hasha.

Share this post


Link to post
Share on other sites

Wszystko co człowiek stworzył, człowiek oszukać może.

 

ps: chyba jednak lepsze są skomplikowane hasła....

Share this post


Link to post
Share on other sites

Ja jak już pisałem w innym wątku, jestem przeciwny zabezpieczeniom biometrycznym (w tym i w paszportach, dowodach itp.), bo nawet jak zabezpieczenia będą się rozwijać to równolegle z nimi rozwijać się będą metody ich oszukiwania.

Hasło zmienisz, a obraz tęczówki?

 

radar

Share this post


Link to post
Share on other sites

oszukanie jednego z najskuteczniejszych zabezpieczeń biometrycznych - skanera tęczówki.

 

Skanowanie siatkówki jest lepszym zabezpieczeniem, aczkolwiek bardziej skomplikowanym, kłopotliwym (czas skanowania, niemożność identyfikacji w locie) i inwazyjnym (wymaga oświetlenia naczyń dna oka).

Share this post


Link to post
Share on other sites

Od dawna układam plany przepisów, które do autoryzacji wszystkiego wymagałyby używania próbek kału. Co prawda plany dotyczyły urzędów - próbki musiałyby być składowane minimum przez pięć lat w przezroczystych szafach (i pojemnikach) w tym samym pokoju, w którym pracowałby urzędnik wymagający dokumentów od petenta (o ile załatwienie sprawy wymagałoby więcej dokumentów niż jedna kartka A4). Gdyby pokój uległ przepełnieniu, próbki wędrowałyby w górę, zgodnie z hierarchią urzędniczą.

 

 

Myślę, że to byłoby ostateczne rozwiązanie problemu uwierzytelniania we wszelkich instytucjach i korporacjach.

  • Upvote (+1) 1

Share this post


Link to post
Share on other sites

Niestety ten projekt nie ma szans. Typowy urzędnik cały swój kał wkłada w wykonywaną pracę, a resztkami obsmarowuje podatników.

 

Pomysł zacny, ale bez szans na realizację.

  • Upvote (+1) 1

Share this post


Link to post
Share on other sites

Nawet jeśli istniałby ustawowy nakaz używania najbardziej kruchych przezroczystych materiałów znanych nauce? Zepsułeś mi dzień...

Share this post


Link to post
Share on other sites
Guest Matsukawa

Informacja jest albo stara, albo uczestnicy tej konferencji są technologicznie zapóźnieni. W biuletynie NASK ze stycznia br. można przeczytać o opatentowanej w USA metodzie ochrony skanerów tęczówki przed opisywanymi w artykule oszustwami:

 

"Członkowie Pracowni Biometrii NASK skonstruowali kilka metod testu żywotności oka, które eliminują zagrożenie oszukania systemu przy pomocy fałszywej tęczówki. Najbardziej innowacyjną z nich okazała się technologia bazująca na dynamice oka, badająca zmiany średnicy źrenicy pod wpływem zmiennych warunków oświetleniowych, dzięki czemu można odróżnić żywą tęczówkę od zaawansowanych falsyfikatów gałki ocznej. W badaniach wykorzystano pomiar aktywny, śledzący dynamikę zmian źrenicy przy stymulacji oka impulsem świetlnym. Właśnie ta metoda wraz z urządzeniem pomiarowym uzyskała ochronę patentową Biura Patentów i Znaków Towarowych Stanów Zjednoczonych. Wnioski o uzyskanie ochrony patentowej w kraju oraz pozostałych krajach Unii Europejskiej są jeszcze na etapie przetwarzania przez właściwe urzędy patentowe."

http://www.nask.pl/b...ASK_01_2012.pdf

 

Czyli nowoczesnych skanerów tęczówki oszukać się nie da. Trzeba tylko trochę kasy wyskrobać na modernizację

Share this post


Link to post
Share on other sites

Nie da się oszukać, bo zrobił to NASK i zaakceptował amerykański urząd patentowy?

 

A jaki problem napisać program na telefon, który będzie sprawdzał ile na niego pada światła (co i tak większość telefonów robi automatycznie) i na podstawie pomiaru będzie generował dynamiczny obraz oka? Zresztą, po co generować - wystarczy pokazać zdjęcie zarejestrowane u oryginału przy podobnym natężeniu światła. Albo żeby ułatwić "kradzież" obrazu tęczówki, poświecić "obiektowi" w oczy, szybką kamerą złapać wszystkie fazy zawężania źrenicy i potem to tylko odpowiednio odtwarzać...

 

A zanim ktoś zacznie rozmyślać o jeszcze bardziej zaawansowanej biometrii - szkoda czasu. Niedawno okazało się, że parametry biometryczne z wiekiem zmieniają się, więc zbyt wyrafinowane techniki z tej branży stają się bardziej uciążliwe i kosztowne w utrzymaniu.

  • Upvote (+1) 1

Share this post


Link to post
Share on other sites
Guest Matsukawa
A jaki problem napisać program na telefon, który będzie sprawdzał ile na niego pada światła (co i tak większość telefonów robi automatycznie) i na podstawie pomiaru będzie generował dynamiczny obraz oka? Zresztą, po co generować - wystarczy pokazać zdjęcie zarejestrowane u oryginału przy podobnym natężeniu światła. Albo żeby ułatwić "kradzież" obrazu tęczówki, poświecić "obiektowi" w oczy, szybką kamerą złapać wszystkie fazy zawężania źrenicy i potem to tylko odpowiednio odtwarzać...
Ten patent... ech... nie na tym polega. Oko ludzkie wykonuje bez przerwy mikroruchy (tzw. mikrosakady), które układają się w pewien charakterystyczny wzorzec. Wzorzec ten zmienia się przy niespodziewanym oświetleniu a także nastroju danej osoby. Można w ten sposób wykryć m.in. czy ktoś kłamie, albo czy jest zdenerwowany lub czuje się zagrożony. Wzorzec ten jest bardzo zindywidualizowany, choć oczywiście posiada pewne stałe cechy, które są właśnie chronione patentem i zaszyte w oprogramowaniu. Które to oprogramowanie jest odpowiednio zaszyfrowane itd.

 

Zapewne można to podrobić, jak wszystko inne. Ale na razie limit czasowy skutecznie uniemożliwia takie operacje. W każdym razie wszystkie naiwne metody włamywania typu kamera, telefon z tajemniczą aplikacją, zdjęcia i inne koncepcje z przedszkola nic tu nie dadzą. Oko musi się ruszać, tak jak żywe, znajdujące się w żywej głowie... przytomnego człowieka. Koniec z zawleczeniem nieprzytomnego albo sterroryzowanego gościa pod czytnik...

  • Upvote (+1) 1

Share this post


Link to post
Share on other sites
W każdym razie wszystkie naiwne metody włamywania typu kamera, telefon z tajemniczą aplikacją, zdjęcia i inne koncepcje z przedszkola nic tu nie dadzą.

 

Dokładnie to samo mówili autorzy wszystkich "przestarzałych" systemów biometrycznych.

 

Oko musi się ruszać, tak jak żywe, znajdujące się w żywej głowie... przytomnego człowieka. Koniec z zawleczeniem nieprzytomnego albo sterroryzowanego gościa pod czytnik...

 

A potem się okaże, że 90% pracowników nie przyszło do pracy, bo system nie wpuścił. Bo byli zdenerwowani jakimś deadline'em, zmieniła się pogoda, albo zaczęła się psuć świetlówka przy automacie skanującym.

  • Upvote (+1) 1

Share this post


Link to post
Share on other sites

Myślę, że grubo przesadzasz. Skoro człowiek potrafi poznać człowieka w bardzo różnych warunkach, to jest to obiektywnie możliwe, więc w przypadku maszyny wszystko jest wyłącznie kwestią jej umiejętnego oprogramowania.

Share this post


Link to post
Share on other sites

Tak samo myśleli ci, którzy próbowali zaprogramować sieć neuronalną do rozpoznawania czołgów na zdjęciach satelitarnych. W testach wszystko wyszło wspaniale, a w praniu okazało się, że nauczyli maszynę rozróżniać zdjęcia zrobione przy słonecznej pogodzie od tych zrobionych przy pochmurnej.

 

A nie zapominajmy, że sieć neuronalna to nie jest maszyna umiejętnie zaprogramowana, a jedynie umiejętnie naśladująca coś czego tak do końca nie rozumiemy (i nie wiadomo czy kiedykolwiek zrozumiemy).

 

Nie przeczę jednak, że mamy ogromny postęp w zapożyczaniu pewnych mechanizmów z przyrody - roboty przestały się przewracać (chociaż jeszcze muszą być podłączone do mainframe'a), a pozycjonowanie sprzętów latających też jest niczego sobie.

Share this post


Link to post
Share on other sites

Twoja wypowiedź dowodzi jedynie tego, że maszyna była źle oprogramowana, a nie tego, że maszyna w samej swojej naturze nie jest w stanie rozpoznawać ludzi po odpowiednim zaprogramowaniu.

Share this post


Link to post
Share on other sites

Każda maszyna, która źle działa jest albo źle skonstruowana, albo źle zaprogramowana. Na przykład wehikuł czasu na moim balkonie.

  • Upvote (+1) 1

Share this post


Link to post
Share on other sites
Guest Matsukawa
A potem się okaże, że 90% pracowników nie przyszło do pracy, bo system nie wpuścił. Bo byli zdenerwowani jakimś deadline'em, zmieniła się pogoda, albo zaczęła się psuć świetlówka przy automacie skanującym.
W takich systemach można ustawić próg wymagalności. I tak np. prezes banku, którego decyzje są niezwykle istotne dla całej instytucji może mieć 100% wymagalność autentyczności i relaksu przed akceptacją podejmowanej decyzji. Ale już przy wejściu do gabinetu wymagana będzie 100% weryfikacja tożsamości i 10% relaks, bo przecież podczas biurowej balangi może się zachcieć skorzystać z prywatnego kibelka...

Z kolei przy głównym wejściu wymagane będzie 30% tożsamości (na wypadek awarii świetlówki), ale przy podpisywaniu listy płac już znacznie więcej, bo skacowany pracownik z przekrwionymi oczkami jest mniej wydajny. Tak więc 100% daje dniówkę z możliwością doliczenia premii, 50% tylko dniówkę, a poniżej 30% na gościa będzie czekał e-mail z działu kadr...

Share this post


Link to post
Share on other sites

To świadczy tylko o wadliwym algorytmie rozpoznawania który daje się oszukać wydrukiem. Sam pomysł jest dobry, ale jak widać wprowadzono go optymistycznie w życie i było to wadliwe wprowadzenie.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...