Хакери обійшли одну з найскладніших систем безпеки

Експерти в сфері комп’ютерної безпеки розповіли про те, як хакери можуть легко обходити системи авторизації, засновані на скануванні та аналізі підшкірних кровоносних судин. Про те, як це робиться, дослідники біометричних систем аутентифікації поділилися на щорічних зборах Chaos Communication Congress, традиційно проходив з 27-го по 29-е грудня і собиравшем навколо себе фахівців з комп’ютерного злому зі всього світу.

Останні роки пристрої та системи безпеки все активніше покладаються на так звану біометричні методи аутентифікації, коли для доступу до комп’ютерних систем використовуються програмні та апаратні засоби для сканування унікальних фізіологічних особливостей людини. Прикладами таких систем можуть служити ті ж сканери відбитків пальців, або технологія FaceID, яка використовується в смартфонах iPhone для надання доступу до пристрою за особливостями особи користувача. Одним з найбільш сучасних і складних методів біометричної захисту є так звана ідентифікація по малюнку вен долоні, яка, як випливає з назви, проводить сканування розміру, форми і розташування підшкірних кровоносних судин в руці користувача. Але як виявилося, хакери змогли обминути і його.

Біометричні системи безпеки — не панацея

Цього тижня в Німеччині на щорічному Всесвітньому конгресі хакерів фахівці з дослідження систем цифрової безпеки розповіли, як їм вдалося створити з воску штучну руку і обдурити за допомогою неї систему сканування підшкірних кровоносних судин.

«Іронія полягає в тому, що подібний метод авторизації позиціонується в якості висококласної і передової системи безпеки. Але вам необхідно всього лише трохи модифікувати звичайну камеру, використовувати деякі досить дешеві матеріали, а потім без проблем її зламати», — говорить Ян Крисслер, більш відомий в хакерських колах під псевдонімом «starbug», який разом з іншим спеціалістом по злому комп’ютерних систем, Джуліаном Альбрехтом, проводив дослідження методу ідентифікації за малюнком кровоносних судин.

Метод ідентифікації по карті кровоносних судин використовує алгоритми, які порівнюють малюнок вен на руці користувача з міститься в базі даних еталонної інформацією про особу. Згідно з останніми даними німецьких ЗМІ, така система використовується, наприклад, у новому берлінському офісі Федеральної розвідувальної служби Німеччини.

Пара слайдів, які були показані Крисслером в ході його презентації

Одна з особливостей системи авторизації на основі методу сканування підшкірних кровоносних судин, що виділяє її на тлі методу, скажімо так, більш традиційної системи сканування відбитків пальців полягає в тому, що хакеру складніше обчислити структурні особливості карти кровоносних судин користувача під шкірою. Якщо мова йде про відбитки пальців, то отримати дублікат набагато простіше. Наприклад, зразок відбитка можна отримати з слідів, залишених на предметах, до яких торкався осіб, або з допомогою якісних фотографій пальців.

Крисслер і Альбрехт створили свій імітатор долоні на базі фотографій своїх власних рук. Для отримання зразка карти кровоносних судин вони використовували звичайну однообъективную дзеркальну камеру з демонтованим інфрачервоним фільтром.

«Цілком вистачить знімків долонь, отриманих з відстані близько 5 метрів. Для створення менших підозр у жертви такі знімки можна легко отримати, наприклад, на прес-конференції цієї людини», — пояснює Крисслер.

В цілому за 30 днів досліджень Крисслер і Альбрехт отримали понад 2500 фотографій рук, відібравши у підсумку найбільш вдалі варіанти для максимальної ефективності. Після цього хакери відлили з воску моделі долонь, а потім нанесли на їх поверхню карту кровоносних судин.

«Коли ми вперше обдурили систему авторизації, я дуже здивувався тому, наскільки це виявляється просто», — додає Крисслер.

Висновками своєї роботи Крисслер і Альбрехт поділилися з компаніями Fujitsu Hitachi. Зі слів Крисслера, Hitachi дуже зацікавилися дослідженням і навіть відправили своїх співробітників обговорити деталі. Fujitsu в свою чергу поки ніяк не відреагувала на повідомлення та запити.

Слід розуміти, що Крисслер і Альбрехт займалися цим дослідженням всього близько місяця. Таким чином, при наявності достатнього фінансування та ресурсів ймовірний противник міг би повторити результати цих досліджень, перевівши їх на новий масштаб. Побоювань додає той факт, що об’єкти, які захищаються подібними системами безпеки, як правило є великими транснаціональними корпораціями, а також урядовими і в тому числі військовими організаціями, які можуть становити великий інтерес з боку держав-опонентів.

«Біометрика – це безперервна гонка озброєнь. Виробники намагаються постійно поліпшувати свої системи безпеки, а хакери завжди повертаються і намагаються ці системи зламати», — підсумовує Крисслер.