Pull to refresh

Уязвимость «большого пальца»: я твой палец по фотографии взломаю

Information Security *


Биометрия набирает обороты

В России обсуждают вопросы о создании Национального биометрического Центра с объемом базы данных 100 – 150 млн. записей. В Госдуму уже внесен проект закона об обязательной биометрической регистрации. На Хабре пишут про результаты тестирования алгоритмов биометрических компаний и пытаются выяснить, кто круче: пароль или биометрия. Даже Mastercard выпускает платёжную карту со сканером отпечатков пальцев и VISA тоже.

Хакеры ехидно потирают ручки

И запасаются камерами высокого разрешения и жидким силиконом. Пальцы отрезать теперь необязательно, их можно сделать самому.

Про то, как «хакнули по фотографии» первую женщину на посту министра обороны Германии, читайте под катом.

image
Обойти биометрию могут даже дети (надеюсь, что мужик жив и просто спит)

Год назад немецкие хакеры показали как надо взламывать смартфоны с биометрией


Видео про то как взломать систему биометрии смартфона:



А вот как сканировали жирные следы со смартфона и изготовляли «палец». Наглядное пособие для тех кто хочет повторить эксперимент:



В комментах написали (@maeris):
В случае, если кто-то не очень понял по немецкому видео, что происходит:
  1. cканируем или фотографируем отпечаток;
  2. переводим в монохром: выступы белым, ямки чёрным;
  3. печатаем на лазерном принтере на фотобумаге (знатоки уже почуяли ЛУТ, да);
  4. гладим утюгом распечатку по текстолиту, чтобы перешёл тонер;
  5. отмываем бумагу водой;
  6. травим хлоридом железа;
  7. смазываем тонким слоем какого-нибудь жира, чтобы резина отошла легко;
  8. наносим жидкую резину (силиконовую замазку для щелей, что угодно);
  9. после затвердевания получаем наш палец.


Выступы на картинке должны быть белым, потому что на текстолите они отмечают области, которые нужно травить, т.е. будут ямками, а после нанесения резины станут обратно выступами.


Демонстрация авторизации искусственным пальцем на 31c3:





Отпечатки есть везде, но и они по большому счету не нужны, можно просто сфотографировать или погуглить, что наглядно показали немцы в этом году

А в этом году




Хакер в дерзкой толстовке (про него даже написали в газете), Ян Крисслер (Jan Krissler), использовал доступные проги и пару снимков руки министра обороны. Основную часть из них он сам сделал обычным фотоаппаратом с расстояния около трёх метров во время одной из пресс-конференций. Дополнительные снимки он получил из видеозаписей высокого разрешения, на которых рука Урсулы была показана крупным планом с разных ракурсов.

Используя программу VeriFinger, хакер выполнил фильтрацию и автоматическое сопоставление опорных узлов изображения. Вот так получилась цифровая копия пальца.

Урсула Гертру́да фон дер Лайен (род. 8 октября 1958 года) — немецкий политик, министр по делам семьи (2005—2009), министр труда и социальных вопросов (2009—2013), министр обороны (с 2013). Первая женщина на посту министра обороны Германии.

image


Ursula von der Leyen



Меры предосторожности




«Я доверяю своему паролю гораздо больше, чем скану отпечатка или сетчатки глаза», – говорит Starbug
«Наверное, в будущем политики будут появляться на публике только в перчатках», — пошутил Starbug в конце своего выступления.

Продолжение Я тебя по блеску в глазах взломаю

P.S.
Выступление Starbug с английским переводом:

Only registered users can participate in poll. Log in, please.
Вы доверяете биометрии?
10.18% да 306
64.83% нет 1948
24.99% не знаю 751
3005 users voted. 306 users abstained.
Tags:
Hubs:
Total votes 66: ↑64 and ↓2 +62
Views 97K
Comments Comments 66