Гигабайты власти - Берд Киви (книги серии онлайн .TXT) 📗
Любопытства ради эксперты «c't» немного поиграли не только с лобовыми атаками на основе «фальшивых» частей тела, но и с более тонкой технологией «повторного воспроизведения». В этом случае подлинная биометрическая информация незаметно перехватывается на канале между сенсором и проверяющей программой, а затем вновь воспроизводится в нужный момент для получения нелегального доступа. Как показали эксперименты, коммуникационный порт USB, через который обычно подсоединяются к ПК биометрические датчики, легко допускает подобные манипуляции, поскольку информация здесь никак не шифруется.
Справедливости ради следует признать, что все из опробованных систем относятся к сравнительно недорогому рынку потребительских товаров, т. е., грубо говоря, не предназначены для защиты секретных объектов. С другой стороны, у экспертов журнала просто не было доступа к исследованию дорогих «настоящих» систем, а, кроме того, все выявленные слабости оборудования относятся не столько к собственно сенсорам, сколько к алгоритмам программного обеспечения. И если более мощное ПО уже существует, то почему не применяется? Как известно, производители биометрических систем всячески уклоняются от внятных ответов на подобные вопросы, предпочитая напирать на то, что лабораторные эксперименты весьма далеки от условий реальной эксплуатации.
В августе 2003 г. пришло известие, что и этот аргумент производителей пытливые исследователи демонстративно раздолбали. В Германии, на проходившем под открытым небом близ Берлина слете хакеров Chaos Computer Camp, свою исследовательскую работу продемонстрировали два местных умельца, именующие себя Starbug и Lisa. Новой компрометации вновь подверглись сканеры, идентифицирующие людей по отпечатку пальца, поскольку именно такое оборудование все чаще начинают использовать в торговых точках для электронной регистрации покупок. Методика преодоления системы разработана для реальных условий и позволяет обманывать сканер даже в присутствии надзирающего ока продавца или охраны.
Метод весьма дешев и при наличии навыка позволяет подделывать отпечаток, по характеристике авторов, «на лету» с помощью тонкой прозрачной полоски из латекса. Технология подделки с некоторыми модификациями повторяет способ группы Мацумото: отпечаток жертвы снимается с помощью графитовой пудры и липкой ленты-скотча; со слепка (еще лучше, с нескольких слепков) делается цифровой снимок, качество папиллярного рисунка улучшается специальной графической программой, которая переводит изображение на покрытую светочувствительным слоем фольгу печатной платы; после травления на плате остается объемный рельеф нужного пальца, и по этой форме из жидкого латекса изготовляется ложный отпечаток. После высыхания небольшая тонкая полоска прикрепляется к пальцу и становится практически незаметна. При надлежащем навыке на всю процедуру подделки уходит меньше 10 минут.
Starbug и Lisa подчеркнули, что целенаправленно занялись разработкой своей атаки для того, чтобы продемонстрировать серьезность угрозы и неискренность изготовителей. Поэтому способ немецких хакеров не только базируется на уже известных приемах, но и продемонстрирован в реальной эксплуатации. Чтобы не конфликтовать с законом, Starbug и Lisa сделали отпечатки пальцев друг друга и сделали в магазине компьютерного оборудования «контрольные закупки» с помощью поддельных накладок [АНОЗ].
Проведенный в конце 2002 года в США социологический опрос показал, что предупреждения компетентных экспертов о недостаточной надежности и небезопасности биометрических систем идентификации явно не доходят до массового сознания американского общества. Исследование, проведенное по заказу Бюро судебной статистики США, свидетельствует, что от 75 до 90 процентов опрошенных по телефону американцев хотели бы видеть большее применение биометрии как в частном, так и в общественном секторе. В частности, респонденты полагают, что системы биометрического сканирования повысят безопасность жизни, если их применять в таких областях: проверка личности по базам осужденных преступников при покупке оружия (91%); верификация личности при покупке по кредитной карте (85%); снятие наличных в банкомате (78%); доступ к документам с конфиденциальной информацией, таким как медицинская карта или финансовая отчетность (77%); проверка биографических данных (76%). Это же исследование показывает, что в представлениях общественности биометрия тесно связана с защитой от «краж личности», сильно возросших за последние годы [LR03].
Достаточно очевидно, что подобные взгляды общественного сознания, не понимающего особенностей технологии, являются прямым результатом весьма успешной государственной «промывки мозгов» через СМИ и шумного рекламного гвалта коммерческих фирм, продвигающих это оборудование в качестве «наиболее надежного, современного и универсального средства безопасности».
Интересно, что в ноябре 2002 г., практически одновременно с социологическим опросом, в специализированном журнале по защите информации Info Security Magazine было опубликовано любопытное интервью с Джимом Уэйманом, несколько последних лет возглавлявшим национальный Центр тестирования биометрии США (U.S. Biometrics Test Center). Данный материал интересен прежде всего тем, что это – очень редко встречаемые в прессе честные и здравые суждения о биометрических системах защиты с точки зрения профессионала, занимающего серьезный пост в официальных структурах (точнее говоря, занимавшего, потому что ныне Уэйман уже не возглавляет Центр биометрии).
В самом кратком изложении суть оценок этого авторитетного эксперта выглядит так. Еще в 1998 году Джим Уэйман предупреждал индустрию, что сделанная ею установка на провозглашение биометрии в качестве надежного средства идентификации – это ошибка, которая будет иметь самые негативные последствия. Во-первых, потому что биометрия не является надежной. И во-вторых, потому что на самом деле она вовсе не для безопасности, а для удобства пользователей.
Прошедшие с той поры годы и новейшие технологические достижения ничуть не поколебали позицию Уэймана, по-прежнему убежденного, что биометрия вовсе не плоха сама по себе, просто на нее возлагают явно преждевременные и чрезмерные надежды. Выступая в прессе и на конференциях, Уэйман подчеркивает, что пока еще даже на подходе нет сколь-нибудь зрелых протоколов для серьезного тестирования биометрических устройств, а в производство и приобретение такого рода систем уже торопливо вбухиваются многие миллионы долларов.
Одним из наиболее заметных поборников сравнительно новой технологии является правительство США: в военном агентстве передовых исследований DARPA развернут 42-миллионный четырехлетний проект по разработке технологии биометрической идентификации для охраны посольств США по всему миру; Министерство обороны выразило желание закупить системы распознавания лиц, выделяющие и идентифицирующие людей из толпы. Список этот можно продолжать, по мнению же Уэймана, столь истовая вера правительственных боссов в биометрические системы распознавания в определенной степени вызвана откровенными преувеличениями в заявлениях производителей биометрического оборудования – достаточно познакомиться с тем, что они провозглашают на своих сайтах и в рекламных релизах [AS02][АН02].
Другой серьезный эксперт в области биометрических систем, австралийский профессор Роджер Кларк, идет в своих заключениях существенно дальше и доказывает, что в современных условиях биометрия вообще должна быть запрещена. В работах Кларка проанализировано, сколь гигантское количество проблем возникает при широком внедрении биометрических систем опознания, сколь стремительно растет сложность мер защиты этих систем при появлении контрмер и необходимости выработки контр-контрмер.