Подделка отпечатков пальцев

Подделка отпечатков пальцев

Биометрические системы идентификации по отпечатку пальца занимают самый большой сегмент на рынке биометрических технологий и, как следствие, вызывают наибольший интерес с точки зрения защиты от проникновения.

В Медиа периодически публикуют информацию об успешном обмане того или иного биометрического считывателя. Некоторые даже делают смелые заявления о несостоятельности биометрических технологий аутентификации по отпечатку пальца в качестве средств защиты от несанкционированного доступа. Что звучит несколько странно, ведь вероятность, что ключи могут украсть или сделать с них слепки, не означает, что дверь не нужно запирать. Тем не менее, вопрос эффективности биометрических систем игнорировать нельзя.

Как обмануть биометрический считыватель?

Пожалуй, не стоит всерьез рассматривать вариант из кровавых триллеров, когда в качестве идентификатора для биометрической системы используется палец мертвеца. Хотя разработчики алгоритмов защиты не исключают такой возможности, но, все-таки, вероятность применения для несанкционированного доступа пальца трупа – крайне мала.

Самые примитивные способы обмана – тоже вряд ли сработают. В частности, широко известный в отрасли тест биометрических считывателей от Лайзы Тэлхейм и Яна Крисслера, которые умудрились обмануть ряд с устройств, активировав последний оставленный отпечаток при помощи графитового порошка, встречной засветки, мешка с водой и даже просто подышав на поверхность чувствительного элемента, – уже явно утратил актуальность. Хотя бы потому, что на сегодняшний день, каждый уважающий себя производитель включает в систему контроля доступа защиту от повторного прохода. Совершенствуются также технологии, повышая класс самих считывателей. Поэтому, пожалуй, единственный эффективный способ обмануть биометрическую систему аутентификации по отпечатку пальца – создать подделку.

Поддельный отпечаток пальца или же поддельный палец – в современном мире совсем не редкость. В англоязычных странах для обозначения процесса идентификации по муляжу пальца существует даже специальный термин: Спуфинг (Spoofing). Однако, прежде чем создать имитацию отпечатка пальца пользователя, зарегистрированного в системе, - нужно этот отпечаток получить.

Захват образца отпечатка пальца

Захват образца отпечатка пальца зарегистрированного пользователя для создания муляжа – технология достаточно известная. По сути, существует два метода получения образца отпечатка.

Первый метод - контактный: образец отпечатка получают с поверхности, с которой контактировал пользователь. Интернет пестрит сообщениями, что для снятия образца отпечатка с идеальной поверхности (корпуса смартфона, например) достаточно 30 секунд. В этот момент потенциальный пользователь полностью разочаровывается в биометрической системе, представив мысленно, скольких поверхностей касаются его пальцы за день.

При этом, почему-то никто особо не задумывается о том, как кража отпечатка выглядит на практике. Что 30 секунд – то время, за которое отпечаток снимет эксперт- криминалист с большим опытом работ и полными карманами графитного порошка. Что прежде чем дактилоскопировать поверхность, с которой контактировал пользователь, нужно получить к ней доступ. Желательно дважды: прежде чем человек её коснется (чтобы протереть) и после. И даже если доступ к поверхности получен (к примеру, вор, в лучших традициях шпионского детектива, выкупил стакан пользователя у официанта в кафе) – вероятность того, что на поверхности окажется отпечаток, подходящий для создания муляжа (именно того пальца, хорошего качества, не смазанный), далеко не 100%.

Таким образом, кража отпечатка пальца путем получения образца с поверхности, которой касался зарегистрированный пользователь СКУД, из 30-секундной акции превращается в долгий и крайне трудоемкий процесс, требующий недюжинной изобретательности.

Второй метод кражи образца отпечатка пальца для последующего создания имитации – цифровая фотография. Еще в 2014 году участники Chaos Computer Club заявили, что научились воспроизводить отпечатки, используя несколько фотографий одного и того же пальца. Однако этот метод также требует соблюдения ряда условий. Во-первых, хорошая аппаратная база: фотографии должны получаться хорошего качества даже с достаточного расстояния. Во-вторых, достаточная техническая грамотность: полученное фото еще потребуется почистить и обработать для получения качественного папиллярного рисунка. В-третьих, возможность доступа в качестве фотографа на публичное мероприятие, где просьба «помахать ручкой» в камеру – не вызовет настороженности. И в-четвертых, долгая и кропотливая «фотоохота» за нужными ракурсами, поскольку даже попадание в кадр внутренней поверхности ладони – не гарантирует получения фотографии пригодной в качестве образца для создания поддельного пальца.

Таким образом, захват образца отпечатка пальца технологически вполне осуществим. Однако на практике, кража отпечатка пальца, зачастую, требует значительно больших трудозатрат, чем кража обычного ключа или карты доступа. Тем более, образец недостаточно получить. Нужно еще и создать по нему поддельный отпечаток пальца.

Технологии создания поддельного отпечатка пальца

Как правило, различия между поддельными отпечатками пальцев заключаются в материалах, используемых для создания муляжа. Чаще всего применяется, технический желатин, глина, пластилин, стоматологический гипс. После получения образца отпечатка пальца пользователя, имеющего доступ в атакуемую биометрическую систему, - создается форма, в которой и отливается поддельный палец.

В современном мире, возможна также печать муляжа на 3D принтере. Особенно такой способ удобен в случае, когда захват образца отпечатка изначально осуществлялся в виде цифровой фотографии.

В случае, если биометрическая система имеет какую-либо защиту от спуфинга, взломщику требуется с большим вниманием относиться к выбору материала. Так для обхода алгоритма защиты, базирующегося на анализе кожных выделений, специалисты NIST предложили технологию, предусматривающую растворение кожного секрета в жидком гептане с добавлением полиизобутилена. А чтобы наносить отпечатки из этой смеси на поддельный палец, сконструировали пневматический пистолет особой конструкции с шариком на конце, который работает по принципу шариковой ручки. Правда, такой уровень технологической подготовки недоступен среднестатистическому взломщику.

Тем не менее, технологии двигаются вперед, а компании, разрабатывающие алгоритмы защиты биометрических систем, стремятся находиться на шаг впереди взломщиков.

Например, при создании поддельного отпечатка пальца при помощи 3D принтера часто упускается из виду такая особенность живого человека, как влага, которая естественным образом выделяется через поры кожи.

"Мы говорим с парой 3D-печающих компании, призывая их прийти к поли-гидрогель материалам, которые могут поглощать и рассеивать жидкость. Представьте себе печать 3D пальца с свойствами, аналогичными свойствам реального пальца, который также обладает способностью диффундировать солевые или масляные растворы. NexID, рассматривает это как возможность для дальнейшего сдерживания атак. Если вы можете создать пародию такого калибра, а затем разработать меры противодействия - с программным обеспечением такого класса защиты, вам будет трудно найти плохого парня с более высоким уровнем способностей," - говорит Марк Корнетт, операционный директор NexID.

В любом случае, прежде чем выбирать материал для поддельного пальца, необходимо выяснить, какой вид биометрических считывателей используется в системе, поскольку имитация, подходящая для обмана полупроводниковых считывателей может быть совершенно неэффективна в случае оптического сканера, и наоборот.

Таким образом, даже если взломщик уже имеет в наличии образец отпечатка пальца, и технологическое материальное обеспечение высокого уровня – взлом биометрической системы должен осуществляться в два подхода. Первый подход – разведывательный, для получения точной информации об установленном оборудовании. Второй подход – непосредственно атака с уже изготовленным муляжом. Время изготовления подделки при этом редко менее часа.

Таким образом, вопрос о целесообразности взлома биометрической системы возникает сам собой.

Целесообразность взлома биометрической системы

Парадоксально, что возможность взлома биометрической системы всех так удивляет. Никакая система физической безопасности не может быть защищена от обмана абсолютно.

Однако для биометрической аутентификации по отпечатку пальца взлом занятие трудоемкое и продолжительное, порой требующее высокого уровня технической подготовки. Поэтому злоумышленник будет взламывать подобную систему только в крайнем случае, когда «игра стоит свеч», т.е. когда речь идет о действительно ценных вещах или данных.

Следовательно, если вы используете логический доступ по отпечатку пальца, чтобы не вспоминать каждый раз пароль, этого в большинстве случаев вполне достаточно для защиты ПК. И если для обеспечения безопасности жилья используется биометрическая СКУД – взломщик с огромной долей вероятности предпочтет не связываться с ней, выбрав для преступления менее защищенный объект.

Тем не менее, каждый зафиксированный взлом биометрической системы заставляет производителей и инсталляторов принимать меры для увеличения защиты от спуфинга. Как правило, это влечет за собой увеличение стоимости проекта. Поэтому клиенту рекомендуется оценить степень возможных рисков и необходимость применения на объекте дополнительных мер по усилению безопасности.

Увеличение защищенности биометрической СКУД

Для увеличения защищенности биометрической системы аутентификации по отпечатку пальца чаще всего используются следующие методы:

• наблюдение за процессом идентификации;
• СКУД, использующая несколько биометрических образцов (т.е. регистрируется несколько отпечатков разных пальцев, и система просит, чтобы пользователь представил определенный образец в произвольном порядке);
• использование систем многофакторной аутентификации (например, отпечаток пальца + пароль, или отпечаток пальца + карта доступа;
• использование многомодальной биометрии (например, отпечаток пальца + радужная оболочка глаза, или отпечаток пальца + распознавание лица);
• технологии обнаружения живого пальца.

Технологии «живого пальца»

Методы распознавания «живых» отпечатков

Для того чтобы отличить поддельный отпечаток пальца (муляж) от настоящего живого пальца пользователя используются программный или аппаратный метод, а также их комбинация.

Аппаратные методы распознавания «живого пальца» в первую очередь зависят от конструкции биометрического считывателя. Наиболее распространены:

• Мультиспектральное отображение (фиксация отражения ИК-излучения: от кожи и от синтетического материала получаются совершенно разные значения). Как правило, используется в оптических считывателях.
• Фиксация пульса. Оптический или ультразвуковой довольно дорогостоящий метод.
• Измерение электрического сопротивления кожи. Один из самых бюджетных методов. Используется в полупроводниковых сканерах. Однако в условиях низкой температуры или повышенной влажности этот метод может давать большое количество ошибок: как в сторону идентификации по поддельному отпечатку, так и в запрете доступа живому пользователю.

Программный метод подразумевает сравнение отсканированного отпечатка пальца с характерными особенностями поддельных образцов. Например, слишком четкий или наоборот слишком рваный край отпечатка, слишком ровные линии папиллярного рисунка, большое количество слишком светлых или слишком темных областей в области сканирования – вот лишь самые распространенные отличия муляжа от «живого пальца».

Программный метод анализа отпечатков пальцев опирается на индивидуальные характеристики и возможности конкретного биометрического оборудования, а также на шаблоны и алгоритмы созданные и запатентованные производителем.

Технологии «живого пальца» на рынке систем безопасности

Fingerprint Cards (FPC) анонсировала FPCLiveTouch - технологию "живого пальца", совместимую со всеми сенсорными датчиками компании, которая не требует дополнительных аппаратных средств или увеличения времени проверки отпечатка.

Учитывая широкое распространение датчиков FPC на рынке смартфонов, антиспуфинговое решение не только позволяет компании занять лидирующую позицию, но и значительно увеличить уровень защищенности биометрического доступа для владельцев устройств.

"FPCLiveTouch (TM) позволит нашим клиентам еще больше расширить уровень безопасности своего смартфона без ущерба для удобства. Наша комплексная система, совмещающая отличное качество изображения с уникальным программным обеспечением, является причиной того, что мы можем претворить это решение в жизнь. Это дает нам уверенность, что мы сможем сохранить наше технологическое лидерство в будущем." - говорит Йорген Лантто, президент и исполнительный директор Fingerprint Cards.

На рынке представлены и другие запатентованные технологии обнаружения поддельных отпечатков пальцев.

Материал спецпроекта "Без ключа"

Спецпроект "Без ключа" представляет собой аккумулятор информации о СКУД, конвергентном доступе и персонализации карт