Na oko bezpiecznie
29 marca 2004
Niegdysiejszy zachwyt technologiami
biometrycznymi jakoś ucichł. Nie widać, by systemy okrzyknięte superbezpiecznymi strzegły dostępu
do… czegokolwiek, a już na pewno nie do krytycznych systemów informatycznych. Niewypał technologiczny,
zbyt droga zabawka czy brak zrozumienia?
Tomasz Grabowski
Kształt twarzy i dłoni,
układ linii papilarnych, kształt i kolor tęczówek oczu, brzmienie głosu, charakterystyczne cechy
pisma odręcznego czy nawet sposób pisania przy pomocy klawiatury – to cechy dla każdego człowieka
unikalne. Tę naturalną niepowtarzalność wykorzystuje biometria – dziedzina wiedzy zajmująca
się zastosowaniem unikalnych cech człowieka w systemach identyfikacji osobistej i szeroko rozumianych systemach
kontroli dostępu.
Możliwość identyfikacji oparta na cechach nie do podrobienia, a jednocześnie
będących „zawsze przy sobie” wydaje się ostatecznym rozwiązaniem problemów pojawiających
się podczas korzystania z konwencjonalnych technik identyfikacji i uwierzytelniania: haseł, numerów PIN,
kart mikroprocesorowych, tokenów i ich niezliczonych kombinacji. Skoro więc jest tak dobrze, to dlaczego jest
tak źle? Dlaczego, pomimo swoich rozlicznych zalet, systemy biometryczne nadal nie są powszechnie wykorzystywane?
Co stoi na przeszkodzie upowszechnienia się ich, jako standardu podczas uwierzytelniania użytkowników?
Orwell nadal straszy
Konwencjonalne techniki identyfikacji pozwalają
ustalić właściwe tylko tyle, że dana osoba zna hasło, numer PIN, czy też posiada odpowiedniej
karty. To, czy jest ona prawowitym użytkownikiem chronionego zasobu pozostaje zagadką. Kolejny problem jest związany
z trwałością „czynników uwierzytelniających”. W przypadku haseł i numerów
PIN – zwłaszcza gdy jest ich kilka czy kilkanaście – pamięć często okazuje się zawodna.
Z kolei w przypadku czynników fizycznych, jak np. karta, w grę wchodzi zgubienie lub kradzież. W obu sytuacjach
dostęp do chronionych zasobów jest uniemożliwiony. Biometria jest wolna od tych mankamentów –
identyfikuje samą osobę, a ponadto odcisk palca raczej trudno jest zgubić czy zapomnieć.
Odbiorców
nowej technologii można doszukać się w praktycznie każdej dziedzinie życia. Łatwo wyobrazić
sobie korzyści płynące np. z sytuacji, w której nie musimy nosić przy sobie żadnych dokumentów
ani zapamiętywać żadnych haseł, a mimo to możemy swobodnie podróżować po całym
świecie, mamy cały czas dostęp do naszej gotówki i możemy w każdej chwili skorzystać
z publicznego telefonu, gdyż ten od razu rozpozna nas i obciąży nasz rachunek odpowiednią kwotą.
Gdy zdarzy nam się wypadek, odpowiednie służby bez trudu – np. po zeskanowaniu tęczówki
– uzyskają pełną informację o naszym stanie zdrowia, grupie krwi i wszelkich innych faktach niezbędnych
potrzebnych do prawidłowego leczenia. Z identyfikacją nie będzie żadnego problemu – nawet jeżeli
skaleczymy się w palec, kamera umieszczona w miejscu publicznym bez trudu umożliwi odpowiednim służbom
ustalenie naszej tożsamości.
W ten sposób dochodzimy do pierwszej poważnej przeszkody na
drodze do upowszechnienia się systemów biometrycznych. Paradoksalnie bowiem główne zalety biometrii
są jednocześnie jej głównymi wadami. Jako jeden z najbardziej oczywistych problemów jawi się
tutaj Orwellowski obraz społeczeństwa całkowicie kontrolowanego przez Państwo. Ustalenie tożsamości
każdego obywatela przy pomocy pozostawionych przez niego odcisków palców lub szybka i jednoznaczna identyfikacja
przez ukryte systemy skanujące twarz lub siatkówkę oka budzą sprzeciw ruchów broniących
swobód obywatelskich i kłócą się z naszą wewnętrzną potrzebą prywatności.
Co by było, gdyby do założenia rachunku bankowego konieczne było pobranie odcisków
palców? To budzi jednoznacznie złe skojarzenia, powodując tym samym niechęć do tego typu zabezpieczeń.
Pójdźmy dalej. Dlaczego tylko bank miałby znać odcisk naszego palca? W końcu w świecie, który
byłby zdominowany przez uwierzytelniające nas przy każdej okazji urządzenia biometryczne, odcisk palca
mógłby służyć nie tylko do dostępu do rachunku bankowego, ale także telefonu komórkowego,
samochodu, mieszkania itd.
W sytuacji, gdy coraz więcej instytucji posiadałoby wzór naszych linii
papilarnych, ta forma uwierzytelniania stopniowo straciłaby wartość. Jeśli przykładowo ktoś
wykradłby z banku tę informację, a następnie w jakiś sposób wytworzył sztuczny palec
dokładnie odpowiadający charakterystyce temu prawdziwemu, uzyskałby dostęp nie tylko do naszych pieniędzy,
ale także wszystkich innych dóbr i usług zabezpieczonych w ten sam sposób. Konsekwencje odkrycia skutecznego
sposobu umożliwiającego oszukiwanie systemów – jeśli świat zdecydowałby się polegać
na nich – wydają się wręcz katastroficzne.
Strach to potężna siła. Bez jego
przezwyciężenia upowszechnienie się technologii raczej nie będzie możliwe. Tu można jedynie
przekonywać, bez gwarancji powodzenia, że biometria gwarantuje wyższy, od oferowanych obecnie metod autoryzacji,
poziom bezpieczeństwa.
Najlepsi w swojej klasie
W materiałach
mówiących skuteczności konkretnych rozwiązań biometrycznych dostarczanych przez ich producentów
stale przewijają się dwa określenia: False Rejection Rates (FRR) oraz False Acceptance Rates (FAR). Pierwszy
z tych wskaźników FRR to wskaźnik fałszywych odrzuceń, określający, jaki procent badanych
próbek zostanie odrzuconych mimo, że są prawidłowe. Dla przykładu, FRR równy 10% oznacza,
że na sto badanych osób dziesięć z nich nie otrzyma autoryzacji mimo, że są prawowitymi użytkownikami
systemu. FAR to z kolei wskaźnik fałszywych akceptacji. Określa on, jaki procent badanych próbek zostanie
zaakceptowanych, choć nie będą poprawne.
Branża biometryczna bardzo lubi posługiwać
się wskaźnikami FRR i FAR. Im mniejszy wskaźnik FRR, tym system jest mniej uciążliwy dla użytkownika
(nie wymaga kilkukrotnych prób uwierzytelniania), natomiast im mniejszy jest wskaźnik FAR tym system jest trudniejszy
do złamania dla włamywacza. W idealnych warunkach oba te wskaźniki powinny być równe zero. I zwykle
„są” – nie niosą bowiem absolutnie żadnej informacji o rzeczywistym poziomie ochrony, jaki
system zapewnia. Osiągany wynik zależy bowiem wyłącznie od sposobu prowadzenia testów. Przykładowo,
mając do czynienia z systemem rozpoznawania twarzy, możemy starać się go oszukać zarówno za
pomocą zwykłego zdjęcia, jak również za pomocą czyjejś twarzy. Ta twarz z kolei może
być bardziej lub mniej podobna do oryginału. Najdelikatniej mówiąc, producenci mają bardzo dużą
swobodę w kształtowaniu wartości FRR oraz FAR.
W tej sytuacji najlepszym sposobem sprawdzenia realnego
poziomu bezpieczeństwa systemów biometrycznych byłby niewątpliwie jakiś ogólny test pozwalający
na zbadanie konkretnych urządzeń w takich samych warunkach. Niestety wszelkie opracowania dotyczą co najwyżej
kilku wybranych systemów. Próba stworzenia na ich podstawie wiarygodnego obrazu poziomu bezpieczeństwa
wszystkich, a nawet tylko większości, rozwiązań biometrycznych graniczy w praktyce niemożliwością.
Śladami włamywacza
Skoro testy można podrasować,
intuicja podpowiada, że musi istnieć sposób, aby system biometryczny oszukać. Spójrzmy więc
na rozwiązania biometryczne oczyma włamywacza.
Pierwsza metoda polega na próbie przejęcia
kontroli nad bazą danych przechowującej odciski palców osób czy obrazy tęczówek osób
uprawnionych. Przejmując kontrolę nad taką bazą włamywacz może wprowadzić do niej swoje
własne dane. W takiej sytuacji na nic więc nie zda się najbardziej nawet skuteczne urządzenie biometryczne,
jeśli baza danych, z którego ono korzysta będzie przechowywana w niewłaściwy sposób, np.
na podłączonym do urządzenia biometrycznego komputerze PC, na którym zainstalowano niewłaściwie
zabezpieczony system operacyjny.
Druga kategoria ataków polega na wprowadzeniu błędnych danych
na drodze pomiędzy urządzeniem biometrycznym a jego bazą danych. W przypadku np. urządzeń chroniących
dostępu do komputera PC, podłączanych do niego za pomocą złącza USB, będzie to próba
wprowadzenia przez atakującego własnego sygnału do portu USB komputera imitujących zachowanie urządzenia
biometrycznego. Z technicznego punktu widzenia przeprowadzenie takiego ataku nie jest, wbrew pozorom, niczym trudnym. Sprawa
może okazać się jeszcze prostsza, gdy transmisja pomiędzy urządzeniem biometrycznym a jego bazą
danych odbywa się za pomocą fal radiowych. Brak silnego algorytmu szyfrującego komunikację – i to
najlepiej w każdej warstwie OSI oddzielnie – daje szanse na to wręcz zaproszenie do włamania.
Trzecia kategoria ataków polega na próbie oszukania urządzenia biometrycznego. Atakujący może
oszukać system wykorzystując do tego celu sztucznie wytworzone przedmioty takie jak np. sztuczny palec wykonany
na podstawie pozostawionych odcisków palców lub też zdjęcie siatkówki osoby uprawnionej do
korzystania z systemu. O ile większości ataków z dwóch pierwszych kategorii można stosunkowo
łatwo zapobiegać, o tyle skuteczność i sposoby zabezpieczania się przed atakami trzeciego typu są
raczej mało znane.
Z wizytą u okulisty
Jednym z ciekawszych
opracowań poruszających ten temat jest dokument pt. Body Check autorstwa Lisy Thailheim, Jana Krisslera i Petera-Michaela
Ziegler. Autorzy poddawali tam testom urządzenia, które są w chwili obecnej najbardziej popularne. Wśród
systemów służących do rozpoznawania odcisków palców znalazły się produkty firm
Biocentric Solution, Cherry, Eutron, Siemens, Veridicom, Identix i IdentAlink. Przetestowano także służący
do skanowania siatkówki oka system Authenticam firmy Panasonic oraz rozwiązanie służące do uwierzytelniania
na podstawie wyglądu twarzy FaceVACS-Logon stworzone przez Dresner Cognitec AG.
To ostatnie oprogramowanie
wykorzystuje zwykłą kamerę internetową podłączaną do komputera PC. Producent zaleca stosowanie
kamery ToUcam PCV 740K firmy Philips, dlatego wszystkie testy odbyły się przy użyciu takiego właśnie
sprzętu. Proces uwierzytelniania przebiega całkowicie automatycznie. FaceVACS-Logon na bieżąco analizuje
obraz z kamery i kiedy w jej polu widzenia znajdzie się twarz człowieka, jest ona automatycznie rozpoznawana. Najpierw
oprogramowanie stara się umiejscowić oczy badanej osoby, a następnie na tej podstawie określić gdzie
znajduje się pozostała część twarzy. Następnie wybrane fragmenty obrazu z kamery porównywane
są z tymi przechowywanymi w bazie danych. Jeśli oba pasują do siebie, autoryzacja jest pozytywna.
Jak się okazuje zdjęcia w bazie danych systemu przechowywane są w postaci zwykłych plików .PPM
oraz .FVI. Nie są nawet szyfrowane. Pierwsza próba oszukania systemu polegała więc na skopiowaniu tych
plików na laptopa i użyciu ich zamiast prawdziwej twarzy człowieka. Okazało się, że po ustaleniu
odpowiedniej odległości ekranu laptopa od kamery, system za każdym razem udzielał autoryzacji. Oczywiście,
jeśli baza danych jest w prawidłowy sposób chroniona, zdobycie wykorzystywanych przez system obrazów
jest znacznie utrudnione. Kolejna próba oszukania systemu polegała więc na zrobieniu zwykłym aparatem
cyfrowym trzech różnych zdjęć osobie, która ma dostęp do systemu. Następnie zdjęcia
te znowu pokazano systemowi za pomocą laptopa. Okazało się, że system udostępnił chronione zasoby
już przy drugim zdjęciu…
Aby zapobiec wykorzystywaniu zdjęć do oszukiwania systemu,
firma Cognitec dodała do FaceVACS funkcję o nazwie Live-Check. Po jej uaktywnieniu wszystkie powyżej opisane
próby ataku okazały się nieskuteczne. Niestety, zdolność oprogramowania do rozpoznawania prawdziwych
użytkowników znacznie się przez to pogorszyła. Próba oszukania tego systemu polegała
na wykonaniu krótkiego filmu .AVI, na którym osoba uprawniona do korzystania z systemu poruszała lekko
głową w lewo i prawo. Po wyświetleniu tego filmu za pomocą laptopa, system znowu udostępniał
chronione zasoby. Jak wykonać taki film? Kamerę za lustrem weneckim w łazience, z której korzysta jego
ofiara, lub też niepostrzeżenie nagrać zbliżenie osoby kamerą przemysłową. Możliwości
jest wiele.
Badanie tęczówki oka większości ludzi kojarzy się z filmami science-fiction.
Systemy taki istnieją jednak tu i teraz, a jednym z nich jest system Authenticam firmy Panasonic. Proste metody oszukania
systemu za pomocą zdjęć tęczówki wyświetlanych na ekranie laptopa nie powiodły się.
To samo dotyczyło zdjęć wydrukowanych na zwykłym papierze. Jednak dalsze testy wykazały, że
algorytm stosowany podczas autoryzacji można wprowadzić w błąd, jeśli pokaże mu się prawdziwą
ludzką źrenicę wraz z wydrukowanym zdjęciem tęczówki.
Aby oszukać system
należy więc po prostu wydrukować tęczówkę na kartce, wyciąć po środku otwór
na źrenicę i taką hybrydę poddać skanowaniu. Bingo! Oczywiście podstawowym wyzwaniem pozostaje
zdobycie dokładnego zdjęcia tęczówki. Czy, ponieważ jest to w sumie trudne, system można uznać
za bezpieczny? Nie do końca. A jeśli jednak komuś uda się zdobyć wierną fotografię tęczówki
(np. wykradając zdjęcie z kliniki okulistycznej)?
Palec zamiast wytrycha
Kolejnym testowanym urządzeniem był ID Mouse firmy Siemens. Jest to bardzo popularny system służący
do uwierzytelniania użytkowników na podstawie wzoru ich linii papilarnych. Okazało się, że system
ten jest podatny na tak proste oszustwa jak np. chuchanie na pozostawiony na urządzeniu ślad palca. Podczas tego
procesu widać było jak na ekranie monitorującym działanie urządzenia pojawia się coraz wyraźniejszy
zarys linii papilarnych pozostawionych na czytniku. System można też było oszukać za pomocą cieniutkiej
folii wypełnionej wodą. Skuteczność tej metody okazała się jeszcze większa niż poprzedniej.
Teraz Siemens zabezpiecza swoje urządzenie w taki sposób, że w systemie zapamiętywane jest dokładne
ułożenie ostatnio skanowanego palca. Jeśli przy kolejnej próbie uwierzytelnienia palec ułożony
jest na czytniku w identyczny sposób, system uznaje to za próbę oszustwa. Metoda jest prosta i skuteczna,
a jednocześnie nie przysparza problemów użytkownikom.
Bardziej wyrafinowane metody wciąż
są jednak skuteczne. Wystarczy zebrać odciski linii papilarnych z różnych przedmiotów i przy
pomocy taśmy klejącej i sypkiego grafitu i odtworzyć je. Skuteczność – prawie 100%! W następnej
kolejności testowana była klawiatura G83-14000 firmy Cherry. Ponieważ okazało się, że wbudowany
w nią czytnik linii papilarnych został zbudowany z dokładnie takich samych podzespołów co ID Mouse
Siemensa, problemów z włamaniem nie było.
Urządzenie firmy Eutron Magic Secure 3100 nie dawało
się już tak łatwo oszukiwać za pomocą chuchania czy folii z wodą, jednak przy wykorzystaniu
grafitu i taśmy klejącej dostęp do chronionych zasobów nie sprawiał problemów. Działający
na nieco innej zasadzie skaner linii papilarnych Bio-Touch USB 200 firmy Identix nie był podatny na żaden z wymienionych
wcześniej ataków. Okazało się jednak, że można go oszukać używając kopii palca
wykonanej np. za pomocą wosku ze świeczki oraz silikonu. Taki „sztuczny palec” umożliwiał
już bezproblemowe uzyskanie dostępu do chronionych zasobów.
Stare, dobre
klucze
Wnioski nasuwają się same. Produkowane obecnie urządzenia biometryczne nie
zapewniają zadowalającego poziomu bezpieczeństwa. Pomysłowy włamywacz jest w stanie oszukać
je z tak dużym prawdopodobieństwem, że należy je traktować raczej jako zabawki, a nie systemy zabezpieczeń.
Zabawki, dodajmy, nie najtańsze. Niezależnie entuzjazmu producentów fakt pozostaje faktem: systemy biometryczne
muszą przejść jeszcze długą drogę, zanim wyprą z naszego życia hasła, numery
PIN, karty mikroprocesorowe czy nieporęczny komplet ciężkich kluczy.
_________________________________________
***RAMKA***
Technologia czy tajemnica
Nic lub prawie nic nie wiadomo na temat skuteczności
i podatności na włamania drogich urządzeń biometrycznych produkowanych w limitowanych seriach na potrzeby
np. wojska czy innych służb. Można jednak przypuszczać, że ich prawdziwa siła leży właśnie
w wysokiej cenie, tajności i niedostępności, nie zaś w zastosowanej technologii. Potencjalny włamywacz
nie ma po prostu możliwości sprawdzić, jakie techniki umożliwiłyby ominięcie zabezpieczeń.
