Index Vakbarát Hírportál

Azt hiszi, a kéz beszkennelése a biztonság csúcsa?

2015. október 9., péntek 19:26

A biometriai azonosításról valahogy azt gondoljuk, elég biztonságos dolog: mégis csak a testünkről van szó, fizikai közelség is kell hozzá, ellopni sem olyan könnyű, hát még lemásolni vagy hamisítani. Az Óbudai Egyetem hekkerei a Hacktivityn bebizonyították, hogy egyik gondolat sem igaz: az ipari rendszereknél használt biometrikus azonosítás nagyon könnyen hekkelhető, elég egy papírra nyomtatott amorf tenyér is hozzá.

Képzeljük magunk elé egy tipikus digitális-betörős amerikai film fő jeleneteit: a bankokban, szupertitkos központokban a biztonsági rendszerek nemcsak holmi jelszavakból állnak, hanem nyomásérzékelős padlóból, íriszazonosításból (ez az, amikor a szemünket kell leszkennelni a belépéshez), ujjlenyomat-leolvasóból és tenyérlenyomat-olvasóból. Nyilván azért, mert ezek a legbiztonságosabb dolgok. Vagy mégsem? Az úgynevezett biometrikus azonosra épülő biztonsági rendszerek etikus hekkelésével foglalkozik az Magyarországon Óbudai Egyetem egyik csoportja is.

Az elmúlt években többször előadtak a Hacktivityn, Magyarország legnagyobb fehér kalapos (jó szándékú) hekkerkonferenciáján, elbukott már a színpadon az ujjlenyomat-azonosítás ugyanúgy, mint az arcfelismerés, és pont tavaly demonstrálták, hogy tesztkörnyezetben mennyire máshogy tudnak viselkedni ipari szoftverek, mint a valós életben (pont erről szól a Volkswagen hatalmas botránya is). Most a tenyérlenyomat volt a soros: Fehér András, Kapitány Sándor Martinkovics Dániel és Otti Csaba kiválasztott két önként jelentkezőt a színpadról, beszkennelték a tenyerüket, majd jól visszaéltek vele.

Felmerül a kérdés, hogy egyáltalán miért használnak kézgeometriai azonosítást, amikor ott van sok más, korábban felsorolt technológia. A szakértők szerint ennek az eszköznek megvan a helye az iparban, jól jön ott, ahol nincs sok idő, de rengeteg felhasználót kell azonosítani: például egy gyárban, ahol a kártya nem elég, mert azt bárki odaadhatja a haverjának, hogy menjen be dolgozni helyette, és ha elég sokan vannak, senki sem nem fog feltűnni.

A baj csak az, hogy a biztonságos azonosításra szánt eszköz biztonsága hagy kivetni valót maga után. A kutatók néhány perc alatt beléptek a rendszerbe hamis személyazonossággal, vagy úgy, hogy átverték a gépet, vagy úgy, hogy el is lopták az eredeti bejelentkező. személyazonosságát.

Elég lefényképezni valakinek a kezét

A hekkeléshez érdemes kicsit megnézni a gép működését:

A kutatóknak ezt a rendszert több helyen is sikerült megtörniük. Először is, kiderült, hogy 

valódi kéz helyett megteszi egy teljesen sima, megfelelően kivágott A4-es papírlap,

 ami nyomokban tenyérre hasonlít. Ezt simán be lehetett szkennelni a rendszerrel, bőven bevette tenyérnek. Jó, lehet, hogy valakinek ilyen a tenyere, ha átment rajta egy úthenger, de talán ennyire mégsem kellene szélső értékekre tervezni.

A java viszont csak ezután jött: elég egy nem is annyira jó minőségű fotót (mobillal is simán megoldható) készíteni valakinek a kezéről, kinyomtatni megfelelő méretben, kis szivaccsal kitömködni, és máris beléphetünk az áldozat nevében. Akarom mondani, kezében. Az ipari biztonsági rendszerekről a filmek alapján mindig azt képzeljük, hogy ugyan fel lehet törni őket, de ahhoz aztán már tényleg csúcs profinak kell lenni, jó sok pénzzel, megfelelő technológiával. Hát, eléggé kijózanító pofon a magyar szakemberek előadása. 

A biztonsági rendszerben tojtak a biztonságra

A meglepetéseknek viszont még ezzel sincs vége. Gyárakban előfordul, hogy valakinek megsérül a keze, innentől nem lehetne azonosítani. Alapvetően ezeket a rendszereket a jobb kéz azonosítására tervezik, de pont a sérülések miatt kapott egy speciális funkciót is: a bal kezet is oda lehet pakolni ilyenkor azonosításhoz, csak ezt külön be kell állítani a felhasználóhoz.

A hekkernek ilyenkor nincs más dolga, minthogy megszerezze a kedvezményezett felhasználó azonosítóját,

ugyanis a gép valójában semmit nem csinál

 a balkezesekkel, csak kijelzi, hogy azonosította, de ha egy másik kezet tesznek oda neki, akkor is ezt csinálja.

Nehéz erre mit mondani, de ennél nagyobb gáz is van a rendszerben: az ilyen olvasóknak csatlakozniuk kell valamilyen adatbázishoz, amiben eltárolják a felhasználókat. Azt azért tudjuk, hogy az ipar lassan reagál, ez pedig bőven kihat a biztonságra, de azért azt gondolnánk, hogy kifejezetten a biztonság miatt tervezett eszközöknél azért kicsit jobban figyelnek rá.

Tévedés. A szakemberek által kivesézett olvasó olyan elavult adatbázist használ, hogy a jelszavakat az internetről letöltött programmal pár perc alatt ki lehet húzni belőle, utána tetszés szerint módosítható az adatbázis, aztán visszatölthető a rendszer. Szóval, ha valaki bárhogy, akár távolról hozzáfér az adatbázishoz (manapság lustaság miatt nem ritka, hogy az ipari gépek rajta lógnak a belső hálón, ami meg az interneten, innen pedig már nincs megállás), simán felvisz egy új felhasználót vagy kicserél tetszőleges adatokat és már bent is van. 

Rovatok