Клонирование отпечатка пальца: миф или реальность?
Пароли — это традиционные методы аутентификации для компьютеров и сетей. Но пароли можно украсть. Биометрическая аутентификация кажется идеальным решением этой проблемы. Существует несколько видов биометрической аутентификации, в том числе сканирование сетчатки глаза, распознавание лица и аутентификация по отпечатку пальца, самые распространенные. Отпечатки пальцев каждого человека уникальны, и принято считать, что по ним можно идентифицировать человека.
Технологическая эволюция распространила аутентификацию по отпечатку пальца на все виды устройств, от ноутбуков до мобильных телефонов, до замков и зашифрованных USB-накопителей. Аутентификация по отпечатку пальца стала широкодоступной на телефонах с запуском Apple TouchID в iPhone 5 в 2013 году. Эта технология была обойдена вскоре после выпуска. С тех пор технология превратилась в три основных типа датчиков: оптические, емкостные и ультразвуковые.
Тесты показали, что в среднем удается достичь около 80 процентов успеха при использовании поддельных отпечатков пальцев, когда датчики были обойдены хотя бы один раз.
Достижение такого успеха было трудной и утомительной работой. Исследователи обнаружили несколько препятствий и ограничений, связанных с масштабированием и физическими свойствами материала. Даже в этом случае такой уровень успеха означает, что существует очень высокая вероятность разблокировки любого из протестированных устройств. Результаты показывают, что отпечатков пальцев достаточно, чтобы защитить конфиденциальность обычного человека, если он потеряет свой телефон. Однако человек, который может стать целью хорошо финансируемого и мотивированного субъекта, не должен использовать аутентификацию по отпечатку пальца.
Исследователи разработали три варианта использования моделей угроз, которые соответствуют сценариям реального мира. В результате читатель должен сравнить результат с домашней системой безопасности. Если вы хотите, чтобы это помешало хорошо финансируемым субъектам, таким как органы национальной безопасности, шпионить за вашим домом, это может не дать достаточного результата. Для обычного пользователя аутентификация по отпечатку пальца имеет очевидные преимущества и предлагает очень интуитивно понятный уровень безопасности. Однако, если пользователь является потенциальной целью для финансируемых злоумышленников или их устройство содержит конфиденциальную информацию, исследователи рекомендуют больше полагаться на надежные пароли и двухфакторную аутентификацию по токену.
Эти результаты вместе с недавними утечками информации о биометрической компании и недавней проблеме с датчиком, используемым Samsung на смартфоне Galaxy S10, понимание этой технологии и влияние утечки данных отпечатков пальцев (или, в более общем смысле, биометрических) вызвали вопросы. Поскольку трехмерная печать развивалась, и домашний принтер стал иметь разрешение в микронах. Может ли обычный человек создать поддельный отпечаток пальца со стекла с помощью трехмерного принтера? Или это должно быть государственное учреждение? А можно ли это сделать, пока пользователь находится на пограничном пункте?
Исследователи превратили эти вопросы в три основные цели:
- Каковы улучшения безопасности при сканировании отпечатков пальцев с момента его первого поражения на iPhone 5?
- Как технология трехмерной печати влияет на аутентификацию по отпечатку пальца?
- Определите модель угроз для атак, чтобы обеспечить реалистичный контекст.
Исследователи тестировали разные марки и модели устройств. Чтобы определить модель угроз, наложили бюджетные ограничения, исходя из предположения, что если это можно сделать при небольшом бюджете, то это могут сделать субъекты, спонсируемые государством.
Сложность процесса также была важна для определения модели угрозы. Исследователи хотели знать, насколько сложно обычному пользователю воспроизвести эти результаты.
Третьим компонентом модели угроз была техника сбора. Исследователи определили три метода сбора данных, каждый из которых связан с моделью угроз, которая включает свои собственные характеристики. Некоторые из них имеют дополнительную сложность получения зарегистрированного отпечатка пальца, поскольку большинство пользователей не будут использовать более одного пальца.
Какие новости? Технологии трехмерной печати позволили любому человеку создавать поддельные отпечатки пальцев. Но не только то, что это также сделало возможным, при наличии нужных ресурсов, сделать это в больших масштабах. Более того, с демократизацией использования аутентификации по отпечатку пальца влияние копий биометрических данных стало даже больше, чем в прошлом. Исследователи применили эти модели угроз к мобильным телефонам, ноутбукам, замкам и USB-накопителям.
Как это работало? Исследователи создали копии, используя три разных метода, которые были определены в соответствии с определенными профилями угроз. Форма была создана с помощью трехмерного принтера, который затем использовался для воссоздания отпечатка пальца с помощью текстильного клея.
И что? Аутентификация по отпечатку пальца теперь широко используется на всех типах устройств. Однако его надежность не на всех устройствах одинакова. Организации должны знать, что безопасность аутентификации по отпечатку пальца небезопасна, несмотря на распространенные предположения. Это означает, что в зависимости от профиля угроз каждого пользователя его использование может быть нецелесообразным. На самом деле некоторые компании обладают такой же надежностью, как и шесть лет назад. Это означает, что с развитием таких технологий, как трехмерная печать, победить их стало еще проще.
Уровень развития
В прошлом злоумышленники несколько раз использовали аутентификацию по отпечатку пальца, что привело к развитию сенсорных технологий. Apple TouchID был впервые публично взломан в 2013 году. Исследователь по имени Starbug впервые продемонстрировал эту технику на iPhone 5s во время конференции Chaos Computer Club . Совсем недавно флагманский мобильный телефон Samsung S10 был случайно сломан пользователем, когда он использовал силиконовый чехол. В конце концов Samsung исправила эту проблему с помощью обновления программного обеспечения. Во время конкурса Geekpwn 2019 Cybersecurity группа исследователей безопасности X-Lab из Tencent взломала аутентификацию по отпечатку пальца с трех разных телефонов, но никаких подробностей об исследовании предоставлено не было. Однако по данным Forbes В статье команда сфотографировала отпечаток пальца на стекле и создала поддельный отпечаток пальца. Весь процесс занял 20 минут, а стоимость оборудования, по словам руководителя группы, составляет около 200 евро. Однако этот процесс представляет собой черный ящик и не документирован.
Концепция
Дизайн аутентификации по отпечатку пальца
Аутентификацию по отпечатку пальца можно разделить на два этапа. Первым шагом является захват, при котором датчик формирует изображение отпечатка пальца. Второй шаг — это анализ и сравнение сгенерированных изображений. Эту задачу может выполнять сам датчик, например, во встроенных и автономных устройствах, таких как дверной замок, или операционная система. Например, в Microsoft Windows сравнение выполняется с помощью «Windows Hello». ОС просит датчик захватить данные, и эти данные пересылаются в ОС с помощью ANSI INCITS 378-2004. формат, созданный NIST. ОС выполняет сравнение и решает, подтверждать ли подключение к системе. Алгоритм сравнения должен включать определенный уровень допуска. Если отпечаток пальца немного изменен, например, с небольшим отрезком, аутентификация должна работать. Пороговые значения не являются общедоступными, поэтому некоторые редакторы более терпимы, чем другие. Слабость можно найти на первом и втором шагах.
Тип датчика
Исследователи обнаружили три основных типа датчиков: емкостные, оптические и ультразвуковые. Разные датчики по-разному реагируют на разные материалы и методы сбора. Большинство датчиков разрабатываются сторонними компаниями и затем интегрируются в устройство. Единственным исключением является Apple, которая создает собственные датчики после приобретения компании AuthenTec в 2012 году.
Наиболее распространенным типом датчиков является емкостный, а некоторые из них являются активными или пассивными.
Рисунок 1. Емкостной датчик отпечатков пальцев
Проще говоря, емкостные датчики используют естественную емкость тела для считывания отпечатков пальцев. Ребра, соприкасающиеся со считывателем, создают естественный конденсатор, который будет обнаружен датчиком. Напротив, впадины будут слишком далеко от считывателя, чтобы создать естественный конденсатор.
Рисунок 2. Активный емкостный датчик отпечатков пальцев
Активные емкостные датчики не полагаются только на естественную емкость, они будут вводить небольшой сигнал, который проходит через палец и, наконец, достигает датчика через прикосновение гребней отпечатка пальца.
Рисунок 3. Оптический датчик отпечатков пальцев
Оптические датчики отпечатков пальцев фактически считывают изображение отпечатка пальца. В этом типе датчика есть источник света, который будет освещать выступы, контактирующие с датчиком. Датчик изображения считывает их через призму.
Рисунок 4. Ультразвуковые датчики
Ультразвуковые датчики – это новейший тип датчиков. Они используются в основном на устройствах с экранными датчиками. В этих случаях датчик излучает ультразвуковой импульс, эхо которого будет считываться датчиком. Гряды и впадины будут иметь разные эхосигналы, позволяющие датчику создать псевдоизображение по отпечатку пальца.
В среднем ультразвуковой датчик кажется наиболее надежным, поскольку он дает нам более высокие показатели успеха. Goodix — один из основных производителей оптического сенсора дисплея. Qualcomm разработала ультразвуковой датчик для Samsung S10, а Synaptics разработала большинство емкостных датчиков, которые тестировались в данном исследовании.
Создание на основе сценариев угроз
Процесс распознавания состоит из двух основных этапов: сбор и создание. На этапе сбора исследователи собрали целевой отпечаток пальца и создали форму. Форма используется для отливки поддельного отпечатка пальца с использованием различных материалов в зависимости от контекста.
Первым делом нужно собрать отпечаток пальца. В разделе, посвященном методам сбора, речь пойдет о различных методах, которые пробовались исследователями. Каждый метод соответствует определенному контексту и конкретной модели угроз.
Прямой сбор : этот метод представляет сценарий атаки, когда жертва либо находится без сознания, либо в состоянии, когда она не имеет полного контроля над своими действиями (например, пьяна). В этом случае прямо на пострадавшем изготавливают форму из мягкого материала, которая затем затвердевает. Он также используется в качестве нашего метода контроля. В этом методе злоумышленник может собрать все отпечатки пальцев или наблюдать за целью, чтобы собрать их.
- Датчик отпечатков пальцев : этот метод представляет собой сбор, сделанный на границе / таможне в аэропорту или частной охранной компанией с помощью считывателя отпечатков пальцев. Большинство пограничников / таможен собирают все отпечатки пальцев, что устраняет эту проблему.
- Сторонний подход : в этом сценарии сбор осуществляется через сторонний объект. Это может быть стакан, бутылка и т. д., сфотографировав объект. Идея состоит в том, что злоумышленник заберет отпечаток пальца жертвы, а затем подготовит поддельный отпечаток пальца. При таком подходе наличие зарегистрированного пальца может быть проблемой, поскольку злоумышленник не контролирует источник коллекции. Однако слепок отпечатка пальца можно создать из нескольких частей одного и того же пальца.
Второй шаг — создать форму на основе ранее собранной информации. Это непростая задача, о чем пойдет речь в разделе ограничений. Исследователи использовали трехмерный принтер для создания форм. Точность светодиодного УФ-принтера составляет 25 микрон. Дермальные гребни отпечатков пальцев имеют ширину ~ 500 микрон и глубину 20-50 микрон. Разрешение принтера полностью соответствует нашим потребностям. Последний шаг — снятие отпечатка пальца. Исследователи перепробовали много разных материалов, самыми актуальными были силикон и тканевый клей.
Вот пример материалов, которые исследователи использовали для форм, на примере общедоступных отпечатков пальцев печально известного гангстера Аль Капоне.
Как находят преступников по отпечаткам пальцев ревдинские полицейские
Кому, зачем и как делать дактилоскопию. Рассказываем на собственном примере.
2019-10-05, 16:20 Быстрый репортаж Татьяна Замятина 7 262
В сентябре исполнилось 117 лет применению дактилоскопии в криминалистике. Этот способ опознания человека по следам пальцев рук основан на неповторимости рисунка кожи. Сейчас, в двадцать первом века, появились и другие методы, например, идентификация по ДНК, но на любом месте преступления непременно эксперты-криминалисты ищут «пальчики». Рассказываем, зачем это делают, и кому, как и зачем можно пройти дактилоскопию.
Технология, известная с начала двадцатого века, когда 13 сентября 1902 года полицейским в Англии по отпечаткам пальцев, оставленных на свежевыкрашенном подоконнике, удалось идентифицировать личность некоего Гарри Джексона и доказать его причастность к краже со взломом.
Зачем нужна дактилоскопическая регистрация
С 2002 года любой человек может пройти добровольную дактилоскопическую регистрацию в МВД. Можно дактилоскопировать даже ребенка. Зачем? Чтобы его идентифицировали при необходимости. Ведь отпечатки пальцев, если они внесены в государственную базу, становятся вашим документом, который невозможно потерять, который у вас не украдут и не подделают.
Особенно дактилоскопия рекомендуется людям, чья работа связана с угрозой для жизни, людям без определенного места жительства и тем, кто по возрасту или по состоянию здоровья не может сообщить данные о себе.
По данным областного Следственного комитета, в том числе отпечатки пальцев изобличили 25-летнего жителя Нижней Салды в совершении убийства. Как было установлено следствием и судом, в феврале этого года он, находясь в гостях, в ходе пьяной ссоры зарезал 24-летнего хозяина квартиры. Убийца постарался уничтожить все следы своего пребывания в жилище жертвы: всю посуду, использовавшуюся во время застолья, и орудия преступления (кухонный и канцелярский ножи), завернул все это в свою испачканную кровью кофту и сложил в пакет, который выбросил в мусорный бак на улице. Уходя, он даже вытер дверную ручку. Но все его старания оказались напрасными — все-таки «наследил» папиллярными линиями. Суд приговорил его к восьми годам колонии строгого режима.
В 2019 году в Ревдинском ОМВД дактилоскопическую экспертизу прошли 369 человек. В основном — принудительно. Например, с помощью дактилоскопии раскрыто убийство женщины в общежитии на Цветников — обнаруженные в комнате отпечатки пальцев совпали с дактилоскопической карточкой гражданина, ранее неоднократно судимого. Преступник был установлен и задержан в дежурные сутки.
Другой случай. В дежурную часть МО МВД России «Ревдинский» поступило заявление о пропаже человека от его родственников. В доме мужчины участковый уполномоченный обнаружил пятна крови и вызвал следственно-оперативную группу. Во время поисков отпечатков эксперты-криминалисты нашли на шкафу явные следы ладони. За шкафом оказалась дверь в погреб, а в погребе — труп хозяина. Преступника задержали.
Однако граждане не спешат оставлять свои отпечатки пальцев в полицейской базе данных, считая, что этому подвергаются только преступники. Но на самом деле это в ваших интересах.
Для кого дактилоскопия обязательна
С 1998 года в России действует федеральный закон «О государственной дактилоскопической регистрации в Российской Федерации», который определяет случаи обязательной дактилоскопической регистрации в целях идентификации личности человека. Закон также гарантирует сохранность и конфиденциальность полученной информации.
МВД гарантирует: дактилоскопическая информация абсолютно конфиденциальна, и никто, кроме ограниченного круга сотрудников полиции, не сможет получить к ней доступ. Если же вы пожелаете изъять из базы данных свои отпечатки пальцев, которые были «сданы» добровольно, то это тоже легко сделать – нужно лишь написать заявление, ваши данные будут уничтожены.
Дактилоскопия: испытано на себе
Хмурое осеннее утро, на часах девять. Мы с фотографом Сашей заходим в здание Ревдинского отделения полиции — чтобы сдать мои отпечатки пальцев. До этого процедуру дактилоскопии приходилось видеть только в кино. Но там все по-киношному пафосно, и хочется узнать, как же на самом деле. И, конечно, рассказать вам.
На втором этаже за тяжелой железной дверью нас встречает начальник экспертно-криминалистической группы Юлия Пухова. Она вручает мне заявление на добровольную дактилоскопию, а сама берет мой паспорт, чтобы заполнить дактилокарту. В карте она записывает мои фамилию, имя и отчество, гражданство, дату и место рождения и регистрации.
Попутно рассказывает: обычно она снимает отпечатки преступников, подозреваемых, пострадавших. За этот год, например, дактилоскопировали уже около четырех сотен, но среди них нет ни одного ревдинца, кто бы пришел сдать отпечатки сам.
— Вообще зря не приходят на дактилоскопическую регистрацию, — рассказывает Юлия. — По твоим отпечаткам пальцев в случае чего тебя потом смогут опознать: если потеряешь память или произойдет несчастный случай. Мы, сотрудники, проходим дактилоскопию при приеме на работу.
В органах Юля служит двенадцать лет, экспертом — четыре. Рассказывает, что, хоть она и не ездит в рейды, работать интересно: никогда не знаешь, что произойдет в следующий час. Пока мы заполняем документы, она узнает, что после меня поедет снимать отпечатки пальцев трупа.
— Просто не надо об этом думать, — отвечает Юля. — Когда я пришла сюда работать, мне сказали: бояться надо живых. Конечно, к этому не привыкнешь никогда. Но уже не так страшно, как в первый самый раз.
В заявлении на снятие отпечатков стандартные строчки: личные данные из паспорта, дата, подпись и так далее. На заполнение документов вместе с разговорам уходит минут 10.
Подходим к маленькому столику. Тут на стекле, измазанном специальной типографской (она не аллергенна) краской, лежат валики. Юлия прокатывает их по краске, а потом по моим пальцам.
— Ручку расслабляем, не напрягаем, получаем удовольствие и от края до края прокатываем, — шутя, объясняет она.
А дальше все происходит быстро: оставляем отпечатки каждого пальца по одному в специальном месте на дактилокарте, затем по четыре пальца и всю ладонь, и вытираем руки влажной салфеткой.
Все. Теперь мои отпечатки отправят в область, занесут в специальную базу на местном, региональном и федеральном уровнях, и, в случае чего, меня легко найдут.
Почитайте другие тексты про полицейских Ревды
- Инспекторы ГИБДД спасли грибника от медведя.
- Изъяли спирт, нашли труп и вернули бабушке велосипед: один день с участковыми. Ревду от террористов на учениях.
Нашли опечатку? Выделите фрагмент с опечаткой мышкой и нажмите Ctrl+Enter.
