Саусақ ізін ұрлау оңай ма?

Қазақстанда міндетті дактилоскопия төңірегіндегі даулар өршіп тұр. Йорик интернетте қазып, саусақ іздері туралы ең көп кездесетін мифтерді тапты. Сондай-ақ, біздің қызықты елесіміз басып шығаруды ұрлау және қайта жасау фильмдердегідей оңай емес екенін білді.

Касперский зертханасында саусақ ізі сканерлері қаншалықты сенімді екендігі айтылды.

Алдымен ұйым саусақ ізі сканерлерінің қалай жұмыс істейтіні туралы айтты. Смартфонды, ноутбукты немесе ақылды құлыпты ашу үшін саусағыңызды сканерге қолданған кезде сенсор папиллярлық суреттің суретін алады. Сканерлердің бірнеше түрлері бар және олардың әрқайсысы басып шығаруды өз жолымен таниды. Cisco Talos зерттеушілері ең танымал үш түрге назар аударды:

• Сыйымды сканерлер — ең көп таралған түрі. Сыйымды сканер кішкентай электр зарядының көмегімен суретті алады. Мұны істеу үшін оған миниатюралық конденсаторлар — электр энергиясын жинай алатын құрылғылар салынған. Саусақ сканерге тигенде, ол конденсаторларды босатады. Сол жерде саусақ тығыз подходит к датчику (жоталар іздерін) — көп, ал арасындағы тері және датчигімен қалады саңылау (қатпары іздерін) — кем. Сканер бұл айырмашылықты өлшейді және ондағы басып шығару үлгісін анықтайды.
• Оптикалық сканерлер саусақ ізін суретке түсіреді. Құрылғы саусаққа призма арқылы жарқырайды, Жарық жоталар мен қуыстардан әр түрлі көрінеді, ал сенсор оны оқып, қажетті суретті алады.
• Ультрадыбыстық сканерлер жарықтың орнына ультрадыбыстық сигнал жібереді және жоталар мен қуыстардан әртүрлі заттар пайда болатын жаңғырықты жазады. Осындай сканеру міндетті емес соприкасаться с саусақпен, сондықтан, прятать астында экран смартфонының. Сонымен қатар, ол саусақтың бетіне жақын орналасқан бөлігін ғана емес, сонымен қатар сенсордан жастықшаның шеттерін де” естиді”, сондықтан сурет көлемді болады. Бұл алдауды басып шығарудың жалпақ көшірмелері арқылы тануға көмектеседі.

Саусақ ізін алғаннан кейін сканер немесе амалдық жүйе оны құрылғының жадында сақталғандармен салыстырады. Сонымен қатар, басып шығаруды оқудың барлық қолданыстағы әдістері кейбір қателіктер тудыруы мүмкін, сондықтан салыстыру кезінде сәйкессіздіктердің белгілі бір пайызы рұқсат етіледі — әр құрылғы үшін әр түрлі.

Егер бұл пайыз жоғары болса, басып шығаруды жасау оңайырақ болады. Егер параметрлер неғұрлым қатаң болса және рұқсат етілген қатенің пайызы төмен болса, сканерді алдау қиынырақ болады, бірақ гаджет бір уақытта нақты иесін таниды.

Сканерді қалай алдауға болады?

Зертханада үш жол табылды:

Бірінші әдіс: құю формасын алыңыз

Адам ес-түссіз немесе, айталық, мас болған кезде жәбірленушінің саусақ ізін алуға болады. Бұл үшін кез — келген жұмсақ, бірақ қатайтатын материал қолайлы-мысалы, полимерлі саз.

Нәтижесінде қаскүнемнің қолында бірден жалған басып шығару нысаны пайда болады. Айқын қиындық-сіз жәбірленушіні “дұрыс” күйде ұстауыңыз керек немесе оны осы күйге енгізуіңіз керек.

Екінші әдіс: сканерден суретті алу

Сондай-ақ, сканердің көмегімен түсірілген саусақ ізін алуға болады. Бұл әдіс техникалық жағынан күрделі. Алайда, биометриялық деректермен жұмыс істейтін барлық компаниялар оларды сенімді сақтай бермейді. Сондықтан ұры желіде сканерленген іздерді табуы немесе даркнеттен арзан сатып алуы мүмкін.

Осыдан кейін тегіс суретті үш өлшемді модельге айналдырып, 3D принтерде басып шығару керек-және оның өзіндік нюанстары бар. Біріншіден, зерттеушілер суретті басып шығаруға дайындаған бағдарламада модельдің мөлшерін анықтауға мүмкіндік болмады. Екіншіден, бюджеттік 3D принтерде қолданылған фотополимерді басып шығарғаннан кейін жылыту керек болды, ал үлгінің өлшемдері өзгерді.

Үшіншіден, зерттеу тәжірибесі бойынша, осы полимердің ізі тым қатал, сондықтан кем дегенде бір сканер оны нағыз саусақ ретінде таниды. Сондықтан, зерттеушілер ақыр соңында құйманың өзін емес, серпімді материалдан жалған басып шығаратын пішінді басып шығарды.

Үшінші әдіс: әйнекке басып шығаруды суретке түсіріңіз

Тағы бір айқын нұсқа — әйнек бетіндегі басып шығаруды суретке түсіру. Хакерлер iPhone 5s-пен тарихта осылай жасады-Бұл түрде басып шығаруды алу оңай. Осыдан кейін, қажетті айқындық деңгейіне жету үшін суретті өңдеу керек, содан кейін, алдыңғы жағдайдағыдай, бәрі 3D басып шығаруға негізделеді.

Зерттеушілер атап өткендей, 3D принтерімен эксперименттер өте ұзақ және күрделі болып шықты: принтерді калибрлеу керек, тиісті пішін өлшемін табу керек, ал бір модельді басып шығарудың өзі (олар 50 дана жасауға мәжбүр болды) қажетті параметрлермен бір сағатты алды. Яғни, ұрланған смартфонның құлпын ашу үшін жалған саусақ ізін тез жасау жұмыс істемейді. Иә мен әдісі со снятием іздерін у ұйқыдағы құрбандары да суперскоростной.

Сол үшін нысан құйма іздері — бұл істің жартысы ғана. Керек сол өзі халықтың санының аздығынан да шығар дайындау. Мұнда материалды таңдау ең тривиалды емес болып шықты, өйткені жалған басып шығаруды оқуға әртүрлі көзқараспен сенсорлардың үш түріне тестілеу жоспарланған. Мысалы, ультрадыбыстық және оптикалық сенсорлар саусақтың ток өткізетіні немесе өткізбейтіні маңызды емес, ал сыйымдылық маңызды емес.

Қандай құрылғылар бұзылды

Жоғарыда сипатталған үш жолмен алынған жалған мәліметтерді зерттеушілер әртүрлі өндірушілердің ұялы телефондарын, планшеттерін және ноутбуктерін, сондай-ақ ақылды құлыпты және екі қорғалған USB дискілерін — Verbatim Fingerprint Secure және Lexar Jumpdrive Fingerprint F35-ті қолданып көрді.

Нәтиже өте қайғылы болды: гаджеттердің көпшілігі 80-90% жағдайда алданып қалды, ал кейбір жерлерде сәттілік толығымен жүз пайыз болды. 3D принтерінің делдалдығымен жасалған Құймалар сәл тиімді болды, бірақ көп жағдайда бұл аз болды.

Алайда, ерекше жағдайлар болды. Сонымен, зерттеушілер Samsung A70 смартфонын мүлдем бұза алмады. Екінші жағынан, бұл заңды иесінің нақты іздерін өте құлықсыз танитын гаджет.

Сондай-ақ, өндірушіге қарамастан Windows 10 бар барлық құрылғылар қол жетімді болмады. Зерттеушілер бұл таңғажайып бірауыздылықты операциялық жүйенің өзі басып шығаруды үлгімен салыстырумен айналысады, сондықтан бұл құрылғының нақты өндірушісіне байланысты емес.

Соңында, қорғалған флэш-дискілер өздерін шынымен қорғағанын көрсетті, дегенмен біздің әріптестеріміз дайындықтың басқа деңгейінде және олар белгілі бір дәрежеде бұзылуы мүмкін екенін ескертеді.

Басқа қорытындылардың арасында ультрадыбыстық саусақ ізін сканерлеуді Алдау оңай болды. Үш өлшемді суретті қабылдау қабілетіне қарамастан, олар сенсорға шынайы саусақпен, соның ішінде қолғаппен басылған шынайы жалған басып шығаруды мойындады.

Рас, нәтижесінде процестің бұл бөлігі кез-келген адамға қол жетімді болды: арзан мата желімі жалған басып шығару үшін жақсы болды.

Зерттеушілер атап өткендей, саусақ ізі арқылы авторизацияның қауіпсіздігі көп нәрсені қалайды және белгілі бір дәрежеде жағдай өткен жылдармен салыстырғанда нашарлады.

Дегенмен, жалған жасау, кем дегенде, уақыт тұрғысынан өте қымбат рәсім. Сонымен, қарапайым қолданушыдан қорқатын ештеңе жоқ: көшедегі ұрылар жалған із қалдырмайды.

Егер сізді жақсы қаржыландырылған қылмыстық топтар немесе арнайы қызметтер қызықтырса, бұл басқа мәселе. Бұл жағдайда құрылғыларды жақсы ескі парольмен қорғаған дұрыс: егер сіз оны қалай пісіруді білсеңіз, оны бұзу қиынырақ болады, егер ол дұрыс емес қолға түсіп кетсе, оны әрдайым өзгертуге болады.

Өз кезегінде, “биометриялық аутентификация туралы тағы бір рет” ғылыми мақаласында Михаил Левашов, ф.-м.ғ. к., ЭЖМ ҒЗУ профессоры, ең жиі кездесетін наным-сенімдерді қарастыруды ұсынады.

№ 1 Миф. Биометриялық аутентификация басқа аутентификация технологияларына балама ретінде.

Ақпараттық жүйенің адам – пайдаланушысын аутентификациялау үшін ешқандай биометриялық деректерді дербес пайдалануға болмайды. Ақпараттық қауіпсіздік саласындағы мамандар аутентификациялық деректерге қойылатын негізгі талаптарды жақсы біледі. Бұл, атап айтқанда, аутентификациялық деректердің құпиялылығы және үш айдан бір аптаға дейінгі кезеңмен пайдаланушылардың мерзімді ауысуы. Кейбір ерекше маңызды жағдайларда аутентификация деректерін өзгерту әр 1-2 күн сайын жүргізілуі керек. Мұндай мерзімдерді, мысалы, киберқауіпсіздік жөніндегі бірінші халықаралық конгресте елдің жетекші банктерінің бірі басшылығының өкілі айтты.

Қарапайым мысалда айтылғандарды түсіндірейік. Классикалық “логин/пароль” схемасында пайдаланушы ақпараттық жүйеге ұсынатын идентификатор болып табылады. Бұл схемадағы аутентификация деректері пароль болып табылады. Шын мәнінде, жоғарыда аталған талаптар оған қолданылады. Өздеріңіз білетіндей, парольдер қатаң құпия болуы керек. Оларды тікелей пайдаланушылардың өздері енгізеді және өзгертеді. Бұл процесте делдалдар жоқ, олар жүйенің әкімшілері ме, жоқ па-
онда басқа мамандар болмауы керек. Сонымен бірге, аутентификация мақсатында пайдаланылатын немесе пайдалануға ұсынылатын кез-келген биометриялық деректер осы негізгі талаптарға жауап бермейді: біріншіден, олар жеке емес, екіншіден, оларды өзгерту мүмкін емес. Әрине, қарастырылып отырған тапсырмада биометриялық деректердің пайдасы әлі де бар. Бірақ егер олар дұрыс парольді терген пайдаланушының жеке басын куәландыратын қосымша (мысалы, парольдерге) аутентификация параметрі ретінде қолданылса ғана. Және одан басқа ештеңе жоқ.

№ 2 Миф. Қаржылық операцияларды жүргізу (растау) кезіндегі биометрияның қауіпсіздігі.

Әрине, саусақ ізі, сандық дауыс немесе бет-әлпеттің көмегімен пайдаланушыларға төлем транзакцияларын растау өте ыңғайлы. Бұл көп уақытты қажет етпейді, құпия сөздерді (ПИН-код) немесе таңбалауыштарды есте сақтаудың немесе іздеудің қажеті жоқ. Ешкім бұл туралы дауласпайды, дегенмен бұл жағдайда қауіпсіздіктің жеткілікті деңгейі туралы айтудың қажеті жоқ. Қазір көптеген ірі IT-компаниялар мен стартаптар адамның биометриялық сипаттамалары бойынша тану жүйелерін де, оларды “алдау”тәсілдерін жасауда бір-бірімен бәсекелеседі. Егер бұрын бұл жалған саусақ іздері болса, қазір әзірлеушілер медиа-тұлғалардың дауыстары мен бейнематериалдардың керемет үлгілерін көрсетеді, олардың динамикалық мінез-құлқы кадрда. Жақында әртүрлі медиа құралдарында, атап айтқанда Мәскеу FM радиосында сюжет үш кейіпкердің (в.Путин, в. Познер және К. Собчак) “әңгімесімен” айтылды, олар 100% дерлік танылатын дауыстық жалғандардың көмегімен модельденді. Бұл композицияны ресейлік VeraVoice компаниясы жүзеге асырды. Шетелдік ұқсас жалғандықтар да белгілі. Менің ойымша, ешкім хабарлады президенттің баспасөз қызметі, егер жарты жылдан кейін жылына 3D-принтерах бастайды, тапсырыс бойынша басып шығару маскалар кез келген адамдар үшін жарамды сәтті биометрикалық идентификациялау.

Қолданыстағы үлгіні тану бағдарламалары үшін түпнұсқалардан “ажыратылмайтын” жалғандықтардың болуы міндетті емес екенін ескеріңіз. Сарапшылар клиенттің түпнұсқалығын анықтау үшін қолданылатын жасанды интеллект элементтерінің (мысалы, нейрондық желілер) маңызды қателіктерге әкелетін өзіндік ерекшеліктері бар екенін біледі – жалған мен түпнұсқаның айтарлықтай айырмашылықтары болса да, адамды анықтайды. Алдау үшін қылмыскерлер белгілі бір нейрондық желінің ерекшеліктерін жақсы біліп, тиімді пайдалануы керек. Осының арқасында кез-келген биометриялық деректерді тиісті материалдық және техникалық ресурстарды жұмсай отырып, оларды аутентификация үшін пайдалану үшін жеткілікті сапа деңгейімен жалған жасауға болады. Әрине, аз мөлшерде бір транзакцияларды растау кезінде қымбат жалған ақша жасау тиімсіз болады. Бірақ ірі сомаларға бірлі-жарым алаяқтық транзакциялар әбден мүмкін. Кейбір жағдайларда мерзімді алаяқтық есептен шығару схемасын және салыстырмалы түрде аз соманы жүзеге асыру өте нақты. Егер шабуылдаушы клиент төлем құралын өте қарқынды пайдаланса және өзінің барлық жасалған транзакцияларын тұрақты негізде тексермесе, мұндай мүмкіндік пайда болуы мүмкін.

Маған, мысалы, саусақ ізі сканері бар банк карталары шығарылатынына қарсылық білдіруі мүмкін. Төлемді растау чипте бар алгоритмнің көмегімен жүзеге асырылады, ол чипте жазылған картаның заңды ұстаушысының саусақ ізінің төлеушінің ізімен сәйкестігін тексереді. Бұл әдіс PIN-кодқа немесе электрондық қолтаңбаға балама ретінде ұсынылады. Бірақ төлеуші – картаны біраз уақыт қарызға алған (ұрлаған) және оның иесінің саусақ ізін алдын ала жасаған қаскүнем екенін елестетіп көріңіз. Содан кейін ол төлемді рұқсатсыз оңай жүргізе алады.

Ғылым саласындағы жаңалықтардан хабардар болу үшін біздің Telegramға жазылыңыз.