Хакери развенчаха "Надеждността" на Лицевото разпознаване

Февруари 18, 2009 (http://www.insidetech.com/news/articles/4054-hackers-make-short-work-of-...)

"На най-голямата хакерска конференция участниците показа, че още едина сигурна
технология не е много сигурна."
Проблемът с всяка супернова технология в света на сигурността е, че желанието
за повишаване на конкурентноспособносттаа на даден продукт изглежда неизменно
води до празни хвалби. Такива претенции правят технологията сериозна цел за хакери,
а със светли умове в тази област, отнема малко време да се осмеят "непобедим"
контрамерки. Така беше случаят с RFID, наскоро се доказано, че е изключително
несигурна, а сега изглежда, че поне някои видове на биометрични
данни са тръгнали по същия път.
Nguyen Minh Duc, мениджър на отдела за сигурност "в Bach Khoa Internetwork
Security Center в Ханойския технологичен Университета, е планирал да докаже в
Black Hat DC тази седмица как той и колегите му използват множество методи за
хакване на най-добрите
програми за разпознаване на лица и да получи достъп до системата.
Той и колегите му хакнаха Veriface III на Lenovo, ASUS "SmartLogon V1.0.0005,
и Toshiba’s Face Recognition 2.0.2.32 системи, които идват от компаниите за оборудваните
с уеб камера преносими компютри. Тези Windows XP и Windows Vista лаптопи използват
уеб камери за сканиране на потребителското лице, и ако той съвпада с съхранени
изображения, анализирани от алгоритъм, той ще даде достъп и log-in на лицето.
Лицевото разпознаване се счита от мнозина в света на сигурността за по-малко сигурна
от отпечатъците от пръсти и по-сигурна, отколкото парола.
Виетнамските учени показа, че технологията, може да не е много добра идея, заради
многото средства, за кракването и. Най-простият начин е да се използват само на
снимка на лицето, за да се излъже уеб камерата, че това е потребителя. Предвид
наличието на много готови изображения на сайтове като MySpace и Facebook, това
изглежда е един лесен начин за достъп.
Учените също показаха, че те биха могли да използват brute force атака генериращи
множество случайни фалшиви лица за получаване на достъп, при липса на картината
на лицето. Щатския професор Duc в неговата книга споменава, "механизмите,
използвани от тези три производителя не отговарят на изискванията за сигурност,
необходими за система за автентификация, и те не могат да защитят своите потребители
в цялост от това да бъдат подправени”. Той продължава, "Няма начин да се
фиксира тази уязвимост. ASUS, Lenovo, Toshiba и трябва да премахнат тази функция
от всички модели на своите лаптопи ... [Те] трябва да даде предупредят потребителите
от цялия свят: спрете да използвате тази [ биометрични] функция. "
Той и колегите му ще бъде пуснат набор от инструменти за хакване на софтуер за
лицево разпознаване на конференцията „Black Hat DC”. Ключът към използването подправени
изображения, той и екипът му просто да променят осветлението и ъгъл на снимката,
докато системата я приеме. пише професор Duc, "Поради факта, че хакера не
знае как точно изглежда лицето, той трябва да се създаде голям брой снимки ...
нека наричаме този метод за атака" ‘Fake Face Bruteforce”. "Това е лесно
да се направи с широк кръг от програми за редактиране на изображения."
Той сваля слабостите допълнително, казвайки, "Една специална точка която
установихме, когато проучвахме тези алгоритми е, че всички от тях работят с изображения,
които вече са преминали през дигитализираха и обработка на изображения. Следователно,
ние мислим, че това е най-слабото място в сигурността на системи за лицевото разпознаване,
като цяло и както и в частност системата за контрол на достъп на трите производителя.
"
Много усилия на
правителствов САЩ и другаде,
са насочени към използвате на софтуера за лицево разпознаване като средство за
идентифициране на гражданите в моторни превозни средства или на чувствителни обществени
места като летища.