Уязвимость «большого пальца»: я твой палец по фотографии взломаю

Information Security


Биометрия набирает обороты

В России обсуждают вопросы о создании Национального биометрического Центра с объемом базы данных 100 – 150 млн. записей. В Госдуму уже внесен проект закона об обязательной биометрической регистрации. На Хабре пишут про результаты тестирования алгоритмов биометрических компаний и пытаются выяснить, кто круче: пароль или биометрия. Даже Mastercard выпускает платёжную карту со сканером отпечатков пальцев и VISA тоже.

Хакеры ехидно потирают ручки

И запасаются камерами высокого разрешения и жидким силиконом. Пальцы отрезать теперь необязательно, их можно сделать самому.

Про то, как «хакнули по фотографии» первую женщину на посту министра обороны Германии, читайте под катом.

image
Обойти биометрию могут даже дети (надеюсь, что мужик жив и просто спит)

Год назад немецкие хакеры показали как надо взламывать смартфоны с биометрией


Видео про то как взломать систему биометрии смартфона:



А вот как сканировали жирные следы со смартфона и изготовляли «палец». Наглядное пособие для тех кто хочет повторить эксперимент:



В комментах написали (@maeris):
В случае, если кто-то не очень понял по немецкому видео, что происходит:
  1. cканируем или фотографируем отпечаток;
  2. переводим в монохром: выступы белым, ямки чёрным;
  3. печатаем на лазерном принтере на фотобумаге (знатоки уже почуяли ЛУТ, да);
  4. гладим утюгом распечатку по текстолиту, чтобы перешёл тонер;
  5. отмываем бумагу водой;
  6. травим хлоридом железа;
  7. смазываем тонким слоем какого-нибудь жира, чтобы резина отошла легко;
  8. наносим жидкую резину (силиконовую замазку для щелей, что угодно);
  9. после затвердевания получаем наш палец.


Выступы на картинке должны быть белым, потому что на текстолите они отмечают области, которые нужно травить, т.е. будут ямками, а после нанесения резины станут обратно выступами.


Демонстрация авторизации искусственным пальцем на 31c3:





Отпечатки есть везде, но и они по большому счету не нужны, можно просто сфотографировать или погуглить, что наглядно показали немцы в этом году

А в этом году




Хакер в дерзкой толстовке (про него даже написали в газете), Ян Крисслер (Jan Krissler), использовал доступные проги и пару снимков руки министра обороны. Основную часть из них он сам сделал обычным фотоаппаратом с расстояния около трёх метров во время одной из пресс-конференций. Дополнительные снимки он получил из видеозаписей высокого разрешения, на которых рука Урсулы была показана крупным планом с разных ракурсов.

Используя программу VeriFinger, хакер выполнил фильтрацию и автоматическое сопоставление опорных узлов изображения. Вот так получилась цифровая копия пальца.

Урсула Гертру́да фон дер Лайен (род. 8 октября 1958 года) — немецкий политик, министр по делам семьи (2005—2009), министр труда и социальных вопросов (2009—2013), министр обороны (с 2013). Первая женщина на посту министра обороны Германии.

image


Ursula von der Leyen



Меры предосторожности




«Я доверяю своему паролю гораздо больше, чем скану отпечатка или сетчатки глаза», – говорит Starbug
«Наверное, в будущем политики будут появляться на публике только в перчатках», — пошутил Starbug в конце своего выступления.

Продолжение Я тебя по блеску в глазах взломаю

P.S.
Выступление Starbug с английским переводом:

Only registered users can participate in poll. Log in, please.
Вы доверяете биометрии?
10.18% да 306
64.83% нет 1948
24.99% не знаю 751
3005 users voted. 306 users abstained.
Tags:взлом
Hubs: Information Security
+62
96.9k 228
Comments 66
Project Manager
January 26, 202124,000 ₽GeekBrains
Профессия Product Manager
January 27, 2021108,500 ₽Нетология
Аналитика для руководителей
January 27, 202167,500 ₽Нетология
Product Manager IT-проектов
January 28, 202160,000 ₽OTUS
JavaScript Developer. Professional
January 28, 202170,000 ₽OTUS

Top of the last 24 hours