Śladami włamywacza

Intuicja podpowiada nam, że skoro testy można podrasować, musi istnieć sposób, aby system biometryczny oszukać. Spójrzmy więc na rozwiązania biometryczne oczyma włamywacza.

Pierwsza metoda polega na próbie przejęcia kontroli nad bazą danych przechowującą wzorce biometryczne: odciski palców osób czy obrazy tęczówek osób uprawnionych. Przejmując kontrolę nad taką bazą, włamywacz może wprowadzić do niej swoje dane. Nawet najbardziej skuteczne urządzenie biometryczne zda się na nic, jeśli baza danych, z której on korzysta, będzie przechowywana w niewłaściwy sposób, np. na podłączonym do urządzenia biometrycznego komputerze PC z niewłaściwie zabezpieczonym systemem operacyjnym.

Druga kategoria ataków polega na wprowadzeniu błędnych danych na drodze pomiędzy urządzeniem biometrycznym a jego bazą danych. W przypadku np. urządzeń chroniących dostęp do komputera PC, podłączanych do niego za pomocą złącza USB, będzie to próba wprowadzenia przez atakującego własnego sygnału do portu USB imitującego zachowanie urządzenia biometrycznego. Z technicznego punktu widzenia przeprowadzenie takiego ataku nie jest, wbrew pozorom, niczym trudnym. Sprawa może okazać się jeszcze prostsza, gdy transmisja pomiędzy urządzeniem biometrycznym a jego bazą danych odbywa się za pomocą fal radiowych. Brak silnego algorytmu szyfrującego komunikację - i to najlepiej w każdej warstwie OSI z osobna - to wręcz zaproszenie do włamania.

Trzecia kategoria ataków polega na próbie oszukania urządzenia biometrycznego. Atakujący może oszukać system, wykorzystując do tego celu sztucznie wytworzone przedmioty, takie jak sztuczny palec wykonany na podstawie pozostawionych odcisków palców lub też zdjęcie siatkówki osoby uprawnionej do korzystania z systemu. O ile większości ataków z dwóch pierwszych kategorii można stosunkowo łatwo zapobiegać, o tyle skuteczność i sposoby zabezpieczania się przed atakami trzeciego typu są raczej mało znane.

Z wizytą u okulisty

Jednym z ciekawszych opracowań poruszających ten temat jest dokument pt. Body Check autorstwa Lisy Thailheim, Jana Krisslera i Petera-Michaela Zieglera. Autorzy poddawali tam testom urządzenia, które są obecnie najbardziej popularne. Wśród systemów służących do rozpoznawania odcisków palców znalazły się produkty firm: Biocentric Solution, Cherry, Eutron, Siemens, Veridicom, Identix i IdentAlink. Przetestowano także służący do skanowania siatkówki oka system Authenticam firmy Panasonic oraz rozwiązanie do uwierzytelniania na podstawie wyglądu twarzy FaceVACS-Logon stworzone przez Dresner Cognitec AG. To ostatnie oprogramowanie wykorzystuje zwykłą kamerę internetową podłączaną do komputera PC. Producent zaleca stosowanie kamery ToUcam PCV 740K firmy Philips, dlatego wszystkie testy odbyły się przy użyciu takiego właśnie sprzętu. Proces uwierzytelniania przebiega całkowicie automatycznie. FaceVACS-Logon na bieżąco analizuje obraz z kamery i kiedy w jej polu widzenia znajdzie się twarz człowieka, jest ona automatycznie rozpoznawana. Najpierw oprogramowanie stara się umiejscowić oczy badanej osoby, a następnie na tej podstawie określić, gdzie znajduje się pozostała część twarzy. Następnie wybrane fragmenty obrazu z kamery są porównywane z tymi przechowywanymi w bazie danych. Jeśli oba pasują do siebie, uwierzytelnienie kończy się sukcesem.

Jak się jednak okazuje, zdjęcia w bazie danych systemu FaceVACS-Logon są przechowywane w postaci zwykłych plików .PPM oraz .FVI. Nie są nawet szyfrowane. Pierwsza próba oszukania systemu polegała więc na skopiowaniu tych plików na laptopa i użyciu ich zamiast prawdziwej twarzy człowieka. Okazało się, że po ustaleniu odpowiedniej odległości ekranu laptopa od kamery, system za każdym razem udzielał autoryzacji. Oczywiście, jeśli baza danych jest w prawidłowy sposób chroniona, zdobycie wykorzystywanych przez system obrazów jest znacznie utrudnione. Kolejna próba oszukania systemu polegała więc na zrobieniu zwykłym aparatem cyfrowym trzech różnych zdjęć osobie, która ma dostęp do systemu. Następnie zdjęcia te znowu pokazano systemowi za pomocą laptopa. Okazało się, że system udostępnił chronione zasoby już przy drugim zdjęciu...

Aby zapobiec wykorzystywaniu zdjęć do oszukiwania systemu, firma Cognitec dodała do FaceVACS funkcję o nazwie Live-Check. Po jej uaktywnieniu wszystkie opisane próby ataku okazały się nieskuteczne. Niestety, zdolność oprogramowania do rozpoznawania prawdziwych użytkowników znacznie się przez to pogorszyła. Próba oszukania tego systemu polegała na wykonaniu krótkiego filmu .AVI, na którym osoba uprawniona do korzystania z systemu poruszała lekko głową w lewo i prawo. Po wyświetleniu tego filmu za pomocą laptopa, system znowu udostępniał chronione zasoby. Jak wykonać taki film? Kamerą za lustrem weneckim w łazience, z której korzysta jego ofiara, lub też niepostrzeżenie nagrać zbliżenie osoby kamerą przemysłową. Możliwości jest wiele.

Badanie tęczówki oka większości ludzi kojarzy się z filmami science fiction. Systemy takie istnieją jednak tu i teraz, a jednym z nich jest system Authenticam Panasonica. Proste metody oszukania systemu za pomocą zdjęć tęczówki wyświetlanych na ekranie laptopa się nie powiodły. To samo dotyczyło zdjęć wydrukowanych na zwykłym papierze. Jednak dalsze testy wykazały, że algorytm stosowany podczas autoryzacji można wprowadzić w błąd, jeśli pokaże mu się prawdziwą ludzką źrenicę wraz z wydrukowanym zdjęciem tęczówki.

Aby oszukać system, należy więc wydrukować tęczówkę na kartce, wyciąć pośrodku otwór na źrenicę i taką hybrydę poddać skanowaniu. Bingo! Oczywiście, podstawowym wyzwaniem pozostaje zdobycie dokładnego zdjęcia tęczówki. Czy w związku z tym, że jest to w sumie trudne, system można uznać za bezpieczny? Nie do końca. A jeśli jednak komuś uda się zdobyć wierną fotografię tęczówki, np. wykradając zdjęcie z kliniki okulistycznej?

Palec zamiast wytrycha

Kolejnym testowanym urządzeniem było ID Mouse Siemensa. To bardzo popularny system służący do uwierzytelniania użytkowników na podstawie wzoru linii papilarnych. Okazało się, że jest on jednak podatny na tak proste oszustwa, jak chuchanie na pozostawiony na urządzeniu ślad palca. Podczas tego procesu było widać, jak na ekranie monitorującym działanie urządzenia pojawia się coraz wyraźniejszy zarys linii papilarnych pozostawionych na czytniku. System można też było oszukać za pomocą cieniutkiej folii wypełnionej wodą. Skuteczność tej metody okazała się jeszcze większa niż poprzedniej.

Teraz Siemens zabezpiecza swoje urządzenie w taki sposób, że w systemie zapamiętywane jest dokładne ułożenie ostatnio skanowanego palca. Jeśli przy kolejnej próbie uwierzytelnienia palec jest ułożony na czytniku w identyczny sposób, system uznaje to za próbę oszustwa. Metoda jest prosta i skuteczna, a jednocześnie nie przysparza użytkownikom problemów.

Bardziej wyrafinowane metody wciąż są jednak skuteczne. Wystarczy zebrać odciski linii papilarnych z różnych przedmiotów i za pomocą taśmy klejącej i sypkiego grafitu je odtworzyć. Skuteczność - prawie 100%! W następnej kolejności była testowana klawiatura G83-14000 firmy Cherry. Ponieważ okazało się, że wbudowany w nią czytnik linii papilarnych został zbudowany z dokładnie takich samych podzespołów co ID Mouse Siemensa, problemów z włamaniem nie było.

Urządzenie firmy Eutron Magic Secure 3100 nie dawało się już tak łatwo oszukiwać za pomocą chuchania czy folii z wodą, jednak przy wykorzystaniu grafitu i taśmy klejącej dostęp do chronionych zasobów nie sprawiał problemów. Działający na nieco innej zasadzie skaner linii papilarnych Bio-Touch USB 200 Identixa nie był podatny na żaden z wymienionych wcześniej ataków. Okazało się jednak, że można go oszukać, używając kopii palca wykonanej np. za pomocą wosku ze świeczki i silikonu.

Taki "sztuczny palec" umożliwiał już bezproblemowe uzyskanie dostępu do chronionych zasobów.

Stare, dobre klucze

Wnioski nasuwają się same. Produkowane obecnie urządzenia biometryczne nie zapewniają zadowalającego poziomu bezpieczeństwa. Pomysłowy włamywacz jest w stanie oszukać je z tak dużym prawdopodobieństwem, że należy je traktować raczej jako zabawki, a nie systemy zabezpieczeń. Zabawki, dodajmy, nie najtańsze. Niezależnie od entuzjazmu producentów fakt pozostaje faktem: systemy biometryczne muszą przejść jeszcze długą drogę, zanim wyprą z naszego życia hasła, numery PIN, karty mikroprocesorowe czy nieporęczny komplet ciężkich kluczy.

Tomasz Grabowski jest specjalistą ds. bezpieczeństwa usług sieciowych w Akademickim Centrum Informatyki na Politechnice Szczecińskiej