Поддельные отпечатки с 3d-принтера на 80% обманывают читателей

Опасность

Поддельные отпечатки с 3D-принтера обманывают читателей на 80%?

Исследователи Cisco Talos достигли 80% эффективности, атаковав считыватели отпечатков пальцев с помощью копий отпечатков пальцев, созданных с помощью 3D-принтера. Однако вы должны добавить — процесс занимает много времени, а эффективность зависит от метода получения отпечатка.

Вы прекрасно знаете, что биометрию можно обойти. Иногда для этого достаточно липкой ленты или викол, но вы можете использовать более продвинутые технологии, такие как 3D-принтер. Такое оборудование становится все лучше и дешевле, поэтому исследователи из Cisco Talos решили проверить, насколько биометрическим данным можно доверять в текущем состоянии.

Исследователям пришлось учитывать разнообразие считывателей отпечатков пальцев, которые теперь можно разделить на три группы.

  • Емкостные — считыватели используют миниатюрные конденсаторные системы. Прикосновение пальца к считывателю вызывает электрический дисбаланс, и конденсаторы, к которым прикасается кожа, будут вести себя иначе, чем те, которые попадают в борозду на коже и не касаются.
  • Оптические считыватели — считывайте изображение отпечатка пальца и должны иметь источник света, который срабатывает, когда он соприкасается с поверхностью кончика пальца. Отраженный кончиком пальца свет направляется через призму и линзу на светочувствительную матрицу.
  • Ультразвуковые считыватели — относительно новые, и мы находим их особенно в устройствах, которые обнаруживают отпечаток пальца через экран. В этом случае псевдоизображение отпечатка пальца создается на основе ультразвуковых волн, отраженных кончиком пальца. Борозды на коже отражают волны иначе, чем пластинки.

Само разнообразие читателей влияет на сложность атаки. Необходимо было выбрать такие методы изготовления реплик и материалов, чтобы они могли повлиять на каждого читателя.

Получение отпечатков

Исследователи Cisco Talos рассмотрели три возможных сценария атаки.

  • Прямая загрузка отпечатков пальцев, т. Е. заставить жертву сделать отпечаток пальца на мягком материале (например,. в пластилине). Такой способ атаки удобен тем, что мы сразу получаем хорошо подготовленную форму для изготовления реплики отпечатка.

    К сожалению, люди не всегда готовы сотрудничать, и иногда их приходится принуждать или накачивать психоактивными веществами. Это неудобство.

  • Отпечаток читателем, то есть сценарий, который можно использовать в аэропорту или в спортзале. Чтобы начать атаку, исследователи Talos разработали простой считыватель, состоящий из датчика UART, подключенного к Arduino UNO.
  • Снятие отпечатка с поверхности, ранее затронутой пользователем.

Каждый из описанных сценариев вызывал разные проблемы. Например, отпечаток пальца, полученный считывателем пальцев, оказался слишком маленьким для некоторых датчиков, используемых в телефонах. Вам нужно было взять несколько образцов и объединить их в одно изображение.

Прекрасная иллюстрация проблемы. Отпечатки пальцев Аль Капоне в досье ФБР. Если бы мы хотели получить от читателя столь широкие принты, нам пришлось бы собирать их из нескольких частей, взятых в разное время.

Отпечатки на стекле пришлось обработать для получения лучшего контраста, так что на этом этапе тоже нужно было поработать.

Подготовка анкет

Графически подготовленные оттиски пришлось преобразовать в формы для изготовления реплик. Именно на этом этапе использовались 3D-принтеры. Проблемы возникли снова, потому что отпечатки нужно было очень точно масштабировать. Программное обеспечение ZBrush не облегчило эту задачу, и, кроме того, печатная форма отпечатка должна была быть подвергнута УФ-отверждению, что изменило окончательный размер. Исследователям пришлось создать более 50 форм отпечатков пальцев, которые затем были протестированы на читателях, чтобы оценить точность полученных размеров.

Печать со слоев высотой 25 мкм дала отличные результаты, в то время как печать со слоев высотой 50 мкм позволила значительно сократить время подготовки форм.

Готовые формы оттисков при отверждении УФ-лучами

После того, как слепки отпечатков пальцев были изготовлены, исследователям оставалось создать поддельный отпечаток пальца, чтобы нанести его на палец. Для этого нужно было определиться с лучшим материалом. Он оказался … дешевый клей для ткани.

Полученные результаты

Испытания изготовленных копий отпечатков пальцев проводились на мобильных устройствах, ноутбуках и на замке со считывателем отпечатков пальцев и на зашифрованных флешках. Результаты представлены в таблице ниже (щелкните, чтобы увеличить).

  • Оранжевые полоски показывают процент успешных атак с прямым снятием отпечатков пальцев (т. Е. когда отпечаток пальца отразился на мягком материале). Как видите, эти атаки оказались наиболее успешными.
  • Синие полосы показывают атаки, в которых изображение отпечатка пальца было получено с помощью считывателя.
  • Желтые полосы показывают процент успешных атак с отпечатками, собранными с поверхности.

Как видите, Samsung A70 чем-то защищался, как и HP Pavilion X360, Lenovo Yoga. USB-ключи Verbatim и Lexar также были защищены. Для других устройств полоски показывают процент успешных атак.

Атаки с отпечатками, собранными напрямую, показали себя лучше всего, но, с другой стороны, отпечатки, собранные с поверхности, не дали худших результатов. В случае MacBook Pro 2018 года 60% отпечатков на поверхности были успешно атакованы. В случае Samsung Note 9 и 10 желтые полосы превышали 70%.

Метод не для всех

Такое исследование сложно провести на 100% удовлетворительным образом. С одной стороны, можно предположить, что с немного лучшим принтером и немного большим количеством времени можно было бы нарушить безопасность этих более устойчивых устройств. С другой стороны, исследователи обнаружили, что серьезным препятствием является отсутствие метода масштабирования, из-за которого процесс подготовки форм для печати занимает много времени.

Давайте будем честными, такой метод может быть использован, если должным образом мотивированная группа злоумышленников хочет обойти безопасность на каком-то очень важном устройстве. Однако это не будет метод, который массово используется обычными преступниками.

Вы можете узнать больше о проведенном исследовании и выводах этого исследования в блоге Cisco Talos в статье, озаглавленной. Клонирование отпечатка пальца: миф или реальность?

Также есть краткое содержание фильма.

Что делать? Как жить!

Надевайте перчатки, чтобы защитить себя от коронавируса. Кстати, у вас останется меньше отпечатков пальцев, да и мало их останется, если вы останетесь дома :).

Серьезно, вы можете согласиться с исследователями Talos в одном вопросе — биометрия недостаточно развита, чтобы заменить пароли и двухфакторную аутентификацию в любой ситуации. Это было известно давно. Конечно, биометрия будет лучше, чем отсутствие безопасности, и она будет работать, особенно когда людям нужен быстрый метод аутентификации и они могут забыть пароли. Там, где важна безопасность, по-прежнему полезны надежный пароль и двухфакторная аутентификация.

Простое использование 3D-принтера для обмана биометрии не является чем-то новаторским. Исследователи из Университета штата Мичиган (МГУ) по заказу полиции уже сделали это.

Если вас интересуют другие интересные открытия в области биометрии, обязательно прочтите о том, как обойти Face ID с помощью маски за 150 долларов или как ту же систему обманули с помощью ленты и очков. Также стоит знать, что воск и обычный принтер тоже можно использовать для обмана биометрии.

ТОП—7. Лучшие 3D принтеры 2020 года. Итоговый рейтинг!

Что такое 3D принтер? Что такое 3D печать? Обзор возможностей. Как работает 3д печать?