HomeAbout MeSecurityDCLinuxEee PCMusic3D GraphicsRobotsContact Me

Na oko bezpiecznie

29 marca 2004

 

Niegdysiejszy zachwyt technologiami biometrycznymi jakoś ucichł. Nie widać, by systemy okrzyknięte superbezpiecznymi strzegły dostępu do… czegokolwiek, a już na pewno nie do krytycznych systemów informatycznych. Niewypał technologiczny, zbyt droga zabawka czy brak zrozumienia?

Tomasz Grabowski

Kształt twarzy i dłoni, układ linii papilarnych, kształt i kolor tęczówek oczu, brzmienie głosu, charakterystyczne cechy pisma odręcznego czy nawet sposób pisania przy pomocy klawiatury – to cechy dla każdego człowieka unikalne. Tę naturalną niepowtarzalność wykorzystuje biometria – dziedzina wiedzy zajmująca się zastosowaniem unikalnych cech człowieka w systemach identyfikacji osobistej i szeroko rozumianych systemach kontroli dostępu.

Możliwość identyfikacji oparta na cechach nie do podrobienia, a jednocześnie będących „zawsze przy sobie” wydaje się ostatecznym rozwiązaniem problemów pojawiających się podczas korzystania z konwencjonalnych technik identyfikacji i uwierzytelniania: haseł, numerów PIN, kart mikroprocesorowych, tokenów i ich niezliczonych kombinacji. Skoro więc jest tak dobrze, to dlaczego jest tak źle? Dlaczego, pomimo swoich rozlicznych zalet, systemy biometryczne nadal nie są powszechnie wykorzystywane? Co stoi na przeszkodzie upowszechnienia się ich, jako standardu podczas uwierzytelniania użytkowników?

Orwell nadal straszy

Konwencjonalne techniki identyfikacji pozwalają ustalić właściwe tylko tyle, że dana osoba zna hasło, numer PIN, czy też posiada odpowiedniej karty. To, czy jest ona prawowitym użytkownikiem chronionego zasobu pozostaje zagadką. Kolejny problem jest związany z trwałością „czynników uwierzytelniających”. W przypadku haseł i numerów PIN – zwłaszcza gdy jest ich kilka czy kilkanaście – pamięć często okazuje się zawodna. Z kolei w przypadku czynników fizycznych, jak np. karta, w grę wchodzi zgubienie lub kradzież. W obu sytuacjach dostęp do chronionych zasobów jest uniemożliwiony. Biometria jest wolna od tych mankamentów – identyfikuje samą osobę, a ponadto odcisk palca raczej trudno jest zgubić czy zapomnieć.

Odbiorców nowej technologii można doszukać się w praktycznie każdej dziedzinie życia. Łatwo wyobrazić sobie korzyści płynące np. z sytuacji, w której nie musimy nosić przy sobie żadnych dokumentów ani zapamiętywać żadnych haseł, a mimo to możemy swobodnie podróżować po całym świecie, mamy cały czas dostęp do naszej gotówki i możemy w każdej chwili skorzystać z publicznego telefonu, gdyż ten od razu rozpozna nas i obciąży nasz rachunek odpowiednią kwotą.

Gdy zdarzy nam się wypadek, odpowiednie służby bez trudu – np. po zeskanowaniu tęczówki – uzyskają pełną informację o naszym stanie zdrowia, grupie krwi i wszelkich innych faktach niezbędnych potrzebnych do prawidłowego leczenia. Z identyfikacją nie będzie żadnego problemu – nawet jeżeli skaleczymy się w palec, kamera umieszczona w miejscu publicznym bez trudu umożliwi odpowiednim służbom ustalenie naszej tożsamości.

W ten sposób dochodzimy do pierwszej poważnej przeszkody na drodze do upowszechnienia się systemów biometrycznych. Paradoksalnie bowiem główne zalety biometrii są jednocześnie jej głównymi wadami. Jako jeden z najbardziej oczywistych problemów jawi się tutaj Orwellowski obraz społeczeństwa całkowicie kontrolowanego przez Państwo. Ustalenie tożsamości każdego obywatela przy pomocy pozostawionych przez niego odcisków palców lub szybka i jednoznaczna identyfikacja przez ukryte systemy skanujące twarz lub siatkówkę oka budzą sprzeciw ruchów broniących swobód obywatelskich i kłócą się z naszą wewnętrzną potrzebą prywatności.

Co by było, gdyby do założenia rachunku bankowego konieczne było pobranie odcisków palców? To budzi jednoznacznie złe skojarzenia, powodując tym samym niechęć do tego typu zabezpieczeń. Pójdźmy dalej. Dlaczego tylko bank miałby znać odcisk naszego palca? W końcu w świecie, który byłby zdominowany przez uwierzytelniające nas przy każdej okazji urządzenia biometryczne, odcisk palca mógłby służyć nie tylko do dostępu do rachunku bankowego, ale także telefonu komórkowego, samochodu, mieszkania itd.

W sytuacji, gdy coraz więcej instytucji posiadałoby wzór naszych linii papilarnych, ta forma uwierzytelniania stopniowo straciłaby wartość. Jeśli przykładowo ktoś wykradłby z banku tę informację, a następnie w jakiś sposób wytworzył sztuczny palec dokładnie odpowiadający charakterystyce temu prawdziwemu, uzyskałby dostęp nie tylko do naszych pieniędzy, ale także wszystkich innych dóbr i usług zabezpieczonych w ten sam sposób. Konsekwencje odkrycia skutecznego sposobu umożliwiającego oszukiwanie systemów – jeśli świat zdecydowałby się polegać na nich – wydają się wręcz katastroficzne.

Strach to potężna siła. Bez jego przezwyciężenia upowszechnienie się technologii raczej nie będzie możliwe. Tu można jedynie przekonywać, bez gwarancji powodzenia, że  biometria gwarantuje wyższy, od oferowanych obecnie metod autoryzacji, poziom bezpieczeństwa.

Najlepsi w swojej klasie

W materiałach mówiących skuteczności konkretnych rozwiązań biometrycznych dostarczanych przez ich producentów stale przewijają się dwa określenia: False Rejection Rates (FRR) oraz False Acceptance Rates (FAR). Pierwszy z tych wskaźników FRR to wskaźnik fałszywych odrzuceń, określający, jaki procent badanych próbek zostanie odrzuconych mimo, że są prawidłowe. Dla przykładu, FRR równy 10% oznacza, że na sto badanych osób dziesięć z nich nie otrzyma autoryzacji mimo, że są prawowitymi użytkownikami systemu. FAR to z kolei wskaźnik fałszywych akceptacji. Określa on, jaki procent badanych próbek zostanie zaakceptowanych, choć nie będą poprawne.

Branża biometryczna bardzo lubi posługiwać się wskaźnikami FRR i FAR. Im mniejszy wskaźnik FRR, tym system jest mniej uciążliwy dla użytkownika (nie wymaga kilkukrotnych prób uwierzytelniania), natomiast im mniejszy jest wskaźnik FAR tym system jest trudniejszy do złamania dla włamywacza. W idealnych warunkach oba te wskaźniki powinny być równe zero. I zwykle „są” – nie niosą bowiem absolutnie żadnej informacji o rzeczywistym poziomie ochrony, jaki system zapewnia. Osiągany wynik zależy bowiem wyłącznie od sposobu prowadzenia testów. Przykładowo, mając do czynienia z systemem rozpoznawania twarzy, możemy starać się go oszukać zarówno za pomocą zwykłego zdjęcia, jak również za pomocą czyjejś twarzy. Ta twarz z kolei może być bardziej lub mniej podobna do oryginału. Najdelikatniej mówiąc, producenci mają bardzo dużą swobodę w kształtowaniu wartości FRR oraz FAR.

W tej sytuacji najlepszym sposobem sprawdzenia realnego poziomu bezpieczeństwa systemów biometrycznych byłby niewątpliwie jakiś ogólny test pozwalający na zbadanie konkretnych urządzeń w takich samych warunkach. Niestety wszelkie opracowania dotyczą co najwyżej kilku wybranych systemów. Próba stworzenia na ich podstawie wiarygodnego obrazu poziomu bezpieczeństwa wszystkich, a nawet tylko większości, rozwiązań biometrycznych graniczy w praktyce niemożliwością.

Śladami włamywacza

Skoro testy można podrasować, intuicja podpowiada, że musi istnieć sposób, aby system biometryczny oszukać. Spójrzmy więc na rozwiązania biometryczne oczyma włamywacza.

Pierwsza metoda polega na próbie przejęcia kontroli nad bazą danych przechowującej odciski palców osób czy obrazy tęczówek osób uprawnionych. Przejmując kontrolę nad taką bazą włamywacz może wprowadzić do niej swoje własne dane. W takiej sytuacji na nic więc nie zda się najbardziej nawet skuteczne urządzenie biometryczne, jeśli baza danych, z którego ono korzysta będzie przechowywana w niewłaściwy sposób, np. na podłączonym do urządzenia biometrycznego komputerze PC, na którym zainstalowano niewłaściwie zabezpieczony system operacyjny.

Druga kategoria ataków polega na wprowadzeniu błędnych danych na drodze pomiędzy urządzeniem biometrycznym a jego bazą danych. W przypadku np. urządzeń chroniących dostępu do komputera PC, podłączanych do niego za pomocą złącza USB, będzie to próba wprowadzenia przez atakującego własnego sygnału do portu USB komputera imitujących zachowanie urządzenia biometrycznego. Z technicznego punktu widzenia przeprowadzenie takiego ataku nie jest, wbrew pozorom, niczym trudnym. Sprawa może okazać się jeszcze prostsza, gdy transmisja pomiędzy urządzeniem biometrycznym a jego bazą danych odbywa się za pomocą fal radiowych. Brak silnego algorytmu szyfrującego komunikację – i to najlepiej w każdej warstwie OSI oddzielnie – daje szanse na to wręcz zaproszenie do włamania.

Trzecia kategoria ataków polega na próbie oszukania urządzenia biometrycznego. Atakujący może oszukać system wykorzystując do tego celu sztucznie wytworzone przedmioty takie jak np. sztuczny palec wykonany na podstawie pozostawionych odcisków palców lub też zdjęcie siatkówki osoby uprawnionej do korzystania z systemu. O ile większości ataków z dwóch pierwszych kategorii można stosunkowo łatwo zapobiegać, o tyle skuteczność i sposoby zabezpieczania się przed atakami trzeciego typu są raczej mało znane.

Z wizytą u okulisty

Jednym z ciekawszych opracowań poruszających ten temat jest dokument pt. Body Check autorstwa Lisy Thailheim, Jana Krisslera i Petera-Michaela Ziegler. Autorzy poddawali tam testom urządzenia, które są w chwili obecnej najbardziej popularne. Wśród systemów służących do rozpoznawania odcisków palców znalazły się produkty firm Biocentric Solution, Cherry, Eutron, Siemens, Veridicom, Identix i IdentAlink. Przetestowano także służący do skanowania siatkówki oka system Authenticam firmy Panasonic oraz rozwiązanie służące do uwierzytelniania na podstawie wyglądu twarzy FaceVACS-Logon stworzone przez Dresner Cognitec AG.

To ostatnie oprogramowanie wykorzystuje zwykłą kamerę internetową podłączaną do komputera PC. Producent zaleca stosowanie kamery ToUcam PCV 740K firmy Philips, dlatego wszystkie testy odbyły się przy użyciu takiego właśnie sprzętu. Proces uwierzytelniania przebiega całkowicie automatycznie. FaceVACS-Logon na bieżąco analizuje obraz z kamery i kiedy w jej polu widzenia znajdzie się twarz człowieka, jest ona automatycznie rozpoznawana. Najpierw oprogramowanie stara się umiejscowić oczy badanej osoby, a następnie na tej podstawie określić gdzie znajduje się pozostała część twarzy. Następnie wybrane fragmenty obrazu z kamery porównywane są z tymi przechowywanymi w bazie danych. Jeśli oba pasują do siebie, autoryzacja jest pozytywna.

Jak się okazuje zdjęcia w bazie danych systemu przechowywane są w postaci zwykłych plików .PPM oraz .FVI. Nie są nawet szyfrowane. Pierwsza próba oszukania systemu polegała więc na skopiowaniu tych plików na laptopa i użyciu ich zamiast prawdziwej twarzy człowieka. Okazało się, że po ustaleniu odpowiedniej odległości ekranu laptopa od kamery, system za każdym razem udzielał autoryzacji. Oczywiście, jeśli baza danych jest w prawidłowy sposób chroniona, zdobycie wykorzystywanych przez system obrazów jest znacznie utrudnione. Kolejna próba oszukania systemu polegała więc na zrobieniu zwykłym aparatem cyfrowym trzech różnych zdjęć osobie, która ma dostęp do systemu. Następnie zdjęcia te znowu pokazano systemowi za pomocą laptopa. Okazało się, że system udostępnił chronione zasoby już przy drugim zdjęciu…

Aby zapobiec wykorzystywaniu zdjęć do oszukiwania systemu, firma Cognitec dodała do FaceVACS funkcję o nazwie Live-Check. Po jej uaktywnieniu wszystkie powyżej opisane próby ataku okazały się nieskuteczne. Niestety, zdolność oprogramowania do rozpoznawania prawdziwych użytkowników znacznie się przez to pogorszyła. Próba oszukania tego systemu  polegała na wykonaniu krótkiego filmu .AVI, na którym osoba uprawniona do korzystania z systemu poruszała lekko głową w lewo i prawo. Po wyświetleniu tego filmu za pomocą laptopa, system znowu udostępniał chronione zasoby. Jak wykonać taki film? Kamerę za lustrem weneckim w łazience, z której korzysta jego ofiara, lub też niepostrzeżenie nagrać zbliżenie osoby kamerą przemysłową. Możliwości jest wiele.

Badanie tęczówki oka większości ludzi kojarzy się z filmami science-fiction. Systemy taki istnieją jednak tu i teraz, a jednym z nich jest system Authenticam firmy Panasonic. Proste metody oszukania systemu za pomocą zdjęć tęczówki wyświetlanych na ekranie laptopa nie powiodły się. To samo dotyczyło zdjęć wydrukowanych na zwykłym papierze. Jednak dalsze testy wykazały, że algorytm stosowany podczas autoryzacji można wprowadzić w błąd, jeśli pokaże mu się prawdziwą ludzką źrenicę wraz z wydrukowanym zdjęciem tęczówki.

Aby oszukać system należy więc po prostu wydrukować tęczówkę na kartce, wyciąć po środku otwór na źrenicę i taką hybrydę poddać skanowaniu. Bingo! Oczywiście podstawowym wyzwaniem pozostaje zdobycie dokładnego zdjęcia tęczówki. Czy, ponieważ jest to w sumie trudne, system można uznać za bezpieczny? Nie do końca. A jeśli jednak komuś uda się zdobyć wierną fotografię tęczówki (np. wykradając zdjęcie z kliniki okulistycznej)?

Palec zamiast wytrycha

Kolejnym testowanym urządzeniem był ID Mouse firmy Siemens. Jest to bardzo popularny system służący do uwierzytelniania użytkowników na podstawie wzoru ich linii papilarnych. Okazało się, że system ten jest podatny na tak proste oszustwa jak np. chuchanie na pozostawiony na urządzeniu ślad palca. Podczas tego procesu widać było jak na ekranie monitorującym działanie urządzenia pojawia się coraz wyraźniejszy zarys linii papilarnych pozostawionych na czytniku. System można też było oszukać za pomocą cieniutkiej folii wypełnionej wodą. Skuteczność tej metody okazała się jeszcze większa niż poprzedniej. Teraz Siemens zabezpiecza swoje urządzenie w taki sposób, że w systemie zapamiętywane jest dokładne ułożenie ostatnio skanowanego palca. Jeśli przy kolejnej próbie uwierzytelnienia palec ułożony jest na czytniku w identyczny sposób, system uznaje to za próbę oszustwa. Metoda jest prosta i skuteczna, a jednocześnie nie przysparza problemów użytkownikom.

Bardziej wyrafinowane metody wciąż są jednak skuteczne. Wystarczy zebrać odciski linii papilarnych z różnych przedmiotów i przy pomocy taśmy klejącej i sypkiego grafitu i odtworzyć je. Skuteczność – prawie 100%! W następnej kolejności testowana była klawiatura G83-14000 firmy Cherry. Ponieważ okazało się, że wbudowany w nią czytnik linii papilarnych został zbudowany z dokładnie takich samych podzespołów co ID Mouse Siemensa, problemów z włamaniem nie było.

Urządzenie firmy Eutron Magic Secure 3100 nie dawało się już tak łatwo oszukiwać za pomocą chuchania czy folii z wodą, jednak przy wykorzystaniu grafitu i taśmy klejącej dostęp do chronionych zasobów nie sprawiał problemów. Działający na nieco innej zasadzie skaner linii papilarnych Bio-Touch USB 200 firmy Identix nie był podatny na żaden z wymienionych wcześniej ataków. Okazało się jednak, że można go oszukać używając kopii palca wykonanej np. za pomocą wosku ze świeczki oraz silikonu. Taki „sztuczny palec” umożliwiał już bezproblemowe uzyskanie dostępu do chronionych zasobów.

Stare, dobre klucze

Wnioski nasuwają się same. Produkowane obecnie urządzenia biometryczne nie zapewniają zadowalającego poziomu bezpieczeństwa. Pomysłowy włamywacz jest w stanie oszukać je z tak dużym prawdopodobieństwem, że należy je traktować raczej jako zabawki, a nie systemy zabezpieczeń. Zabawki, dodajmy, nie najtańsze. Niezależnie entuzjazmu producentów fakt pozostaje faktem: systemy biometryczne muszą przejść jeszcze długą drogę, zanim wyprą z naszego życia hasła, numery PIN, karty mikroprocesorowe czy nieporęczny komplet ciężkich kluczy.

_________________________________________

 

 

***RAMKA***
Technologia czy tajemnica

Nic lub prawie nic nie wiadomo na temat skuteczności i podatności na włamania drogich urządzeń biometrycznych produkowanych w limitowanych seriach na potrzeby np. wojska czy innych służb. Można jednak przypuszczać, że ich prawdziwa siła leży właśnie w wysokiej cenie, tajności i niedostępności, nie zaś w zastosowanej technologii. Potencjalny włamywacz nie ma po prostu możliwości sprawdzić, jakie techniki umożliwiłyby ominięcie zabezpieczeń.