|
Обман системы опознания по радужной оболочке глаза Что же касается систем аутентификации пользователя по отпечатку пальца с помощью емкостного сенсора на «мышке» или клавиатуре, то здесь самым тривиальным способом обмана является повторное «оживление» уже имеющегося отпечатка, оставленного зарегистрированным пользователем. Для «реанимации» остаточного отпечатка иногда бывает достаточно просто подышать на сенсор, либо приложить к нему тонкостенный полиэтиленовый пакет, наполненный водой. Подобные трюки, в частности, весьма удачно опробованы на мышках ID Mouse фирмы Siemens, оснащенных емкостным сенсором FingerTIP производства Infineon. Еще эффективнее срабатывает более тонкая технология, когда оставленный «жертвой» отпечаток на стекле или CD посыпается тонкой графитовой пудрой, лишний порошок сдувается, а сверху накладывается липкая лента, фиксирующая характерный узор папиллярных линий. Прикладывание этой ленты обманывает не только емкостные, но и некоторые более строгие оптические сенсоры. Наконец, «искусственный палец», отлитый в парафиновой форме из силикона, позволил исследователям преодолеть все из шести протестированных систем на основе дактилоскопии. Обман дактилоскопических систем опознания Любопытства ради эксперты «c't» немного поиграли не только с лобовыми атаками на основе «фальшивых» частей тела, но и с более тонкой технологией «повторного воспроизведения». В этом случае подлинная биометрическая информация незаметно перехватывается на канале между сенсором и проверяющей программой, а затем вновь воспроизводится в нужный момент для получения нелегального доступа. Как показали эксперименты, коммуникационный порт USB, через который обычно подсоединяются к ПК биометрические датчики, легко допускает подобные манипуляции, поскольку информация здесь никак не шифруется. Справедливости ради следует признать, что все из опробованных систем относятся к сравнительно недорогому рынку потребительских товаров, т.е., грубо говоря, не предназначены для защиты секретных объектов. С другой стороны, у экспертов журнала просто не было доступа к исследованию дорогих «настоящих» систем, а, кроме того, все выявленные слабости оборудования относятся не столько к собственно сенсорам, сколько к алгоритмам программного обеспечения. И если более мощное ПО уже существует, то почему не применяется? Как известно, производители биометрических систем всячески уклоняются от внятных ответов на подобные вопросы, предпочитая напирать на то, что лабораторные эксперименты весьма далеки от условий реальной эксплуатации. — 154 —
|