روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ امنیت احراز هویت مبتنی بر اثر انگشت سالهاست که به بحثی داغ تبدیل شده است. سال 2013، درست کمی بعد از عرضهی آیفون 5s که مجهز به تاچآیدی بود، محققین با عکسبرداری از اثر انگشت روی سطح شیشهای و استفاده از آن برای ساخت قالبی که بتواند سیستم را فریب دهد ثابت کردند این فناوری قابل کرک کردن است. اما فناوری هیچوقت از حرکت باز نمیایستد و خوب پیشرفتها همیشه آدم را امیدوار میکنند. برای مثال سال گذشته تولیدکنندگان شروع کردند به مجهز کردن اسمارتفونها به اسکنرهای اثرانگشت فراصوت که زیر نمایشگر پنهان میشدند. با این اسکنرها دیگر هیچ نیازی به پنلهای اضافی نبود و دستکم (به طور نظری) گوشیها امنتر بودند. تیم Cisco Talos تصمیم گرفت امتحان کنند انواع مختلف اسکنرهای اثر انگشت در دستگاههای مدرن چقدر زود میتوانند فریبشان را بخورند و یا اینکه آیا این فناوری بالاخره امن است یا نه.
احراز هویت با اثر انگشت- تئوری
ایده اولیه بسیار ساده است: انگشت خود را روی اسمارتفون، اسکنر لپتاپ یا قفل هوشمند میگذارید و بعد حسگر تصویری را از اثر انگشت شما استخراج میکند. هر نوع اسکنری به روش خود اثر انگشت را شناسایی میکند. تیم Cisco Talos تمرکر خود را روی سه روش محبوب گذاشت:
• اسکنرهای خازنی
این اسکنرها از همه مدلها رایجترند بوده و بوسیلهی شارژ کوچک برقی تولیدشده توسط خازنهای درونسازهایِ مینیاتوری که قادرند برق را ذخیره کنند، تصویر را میسازند. وقتی انگشت، اسکنر را لمس میکند، شارژ خازنها تخلیه می شود. تماس بیشتر شارژ خازن را بیشتر تخلیه میکند؛ شکافهای بین پوست و حسگر (شیارهای اثر انگشت) این تخلیه شارژ را کمتر میکند. اسکنر میزان تفاوت را اندازهگیری کرده و الگو را تعیین میکند.
• اسکنرهای نوری
در اصل این اسکرها از اثر انگشت عکس میگیرند. این دستگاه از طریق یک منشور، انگشت را روشن میکند؛ هر انگشتی با توجه به شیارهای منحصر به فردی که دارد یک جور متفاوتی نور را بازتاب میدهد و حسگر میتواند اطلاعات را خوانده و آن را به عکس تبدیل کند.
• اسکنرهای فراصوت
این اسکنرها به جای نور از سیگنال فراصوت استفاده میکنند. آنها اکوی تولیدشده توسط شیارها را ثبت میکنند. این نوع اسکنر نیازی به تماس با انگشت ندارد؛ بنابراین میتواند زیر نمایشگر قرار گیرد. علاوه بر اینها، این اسکنر نه تنها بخشی از انگشت را که به سطح نزدیک است میشنود، بلکه همچنین لبههایی که از حسگر دورتر هم هستند را میشنود. بدینترتیب، تصویر حالت سه بعدی بیشتری به خود خواهد گرفت.
اسکنر یا سیستم عامل با دریافت اثر انگشت شما آن را با اثر انگشت ذخیرهشده در دستگاه مطابقت میدهد. از آنجایی که هیچ متود خوانش اثر انگشتی که تا به حال عرضه شده بینقص نیست، هر تولیدکنندهای تا حدی میتواند حاشیه خطا داشته باشد. هر قدر این حاشیه خطا بالاتر باشد، راحتتر میشود اثر انگشت را جعل کرد. اگر تنظیمات سختتر شوند حاشیه خطا پایینتر میآید و به تعاقب آن اسکنر سختتر فریب خواهد خورد. اما خود گجت هم احتمال دارد صاحبش را اشتباه بگیرد.
چطور محققین اثر انگشتها را جعل کردند؟
برای ساخت کپی فیزیکی از اثر انگشت، واضح است که باید اول آن را در اختیار باشید. تیم محقق سه راه برای انجام این کار پیدا کردند.
چطور اثر انگشت را میشود دزدید؟ متود 1: ساخت قالب
این امکان وجود دارد که وقتی فرضاً قربانی به هوش نیست از انگشتش قالب گرفت. هر چیز نرمی میتواند مناسب باشد، مثلاً گل قالبگیری.
مهاجم میتواند سپس از این قالب برای ساخت اثرانگشت جعلی استفاده کند. سختی کار اینجاست که مهاجم به حضور فیزیکی قربانی نیاز دارد.
چطور اثر انگشت را میشود دزدید؟ متود 2: در دست داشتن عکس اسکنر
روش بعدی در اختیار داشتن اثر انگشتی است که اسکنر آن را گرفته است. این متود به لحاظ فنی از پیچیدگی بیشتری برخوردار است اما خبر خوب برای سارقین این است که همهی شرکتهایی که دادهی بیومتریک را مدیریت میکنند آن را به طور مطمئنی ذخیره نمیکنند. پس پیدا کردن اثر انگشتهای اسکنشده به صورت آنلاین یا خریدنشان با قیمتی نازل در دارکنت چندان هم دور از ذهن نیست. سپس تصویر تخت باید به مدلی سهبعدی تبدیل شود (روی یک پرینتر سهبعدی). ابتدا، برنامهای که در آن محققین نقش را کشیدند به آنها اجازهی تنظیم سایز نداد. دوم اینکه، فوتوپلیمرِ بکار رفته در پرینتر سهبعدی باید بعد از پرینت، گرم میشد که همین ابعاد مدل را تغییر دد.
سوم اینکه وقتی محققین در نهایت تصمیم به ساخت مدلی مناسب گرفتند کاشف بعمل آمد که پلیمری که از آن ساخته شده بود به شدت سفت بود و هیچ اسکنری را نمیتوانست فریب دهد.
چطور اثر انگشت را میشود دزدید؟ متود 3: گرفتن عکس از اثر انگشت روی سطحی شیشهای
گزینهی دیگر که از همه سادهتر هم هست این است که از اثر انگشت مورد هدف روی سطحی شیشهای عکس بگیریم. دقیقاً همین روش بود که روی آیفون 5s پیاده شد. این تصویر برای دریافت میزان وضوح مورد نیاز پردازش شده و بعد مثل سابق میرود برای پرینتر سهبعدی. به نقل از محققین، آزمایشات پرینت سهبعدی طولانی و خستهکننده بود. آنها مجبور بودند پرینتر را کالیبره و با آزمون و خطا قالب مناسب را پیدا کنند. پرینت اصلی هر مدل (در کل 50 مدل) با تنظیمات لازمشان یک ساعت به طول انجامید. بنابراین ساخت اثر انگشت جعلی برای قفلگشایی اسمارتفونی سرقتشده چیزی نیست که به این سرعت انجام شود. کپی کردن اثر انگشت قربانی بیهوش یا خواب نیز همینطور.
قالب ساختن برای جعل اثر انگشت فقط نصف ماجراست؛ انتخاب ماده برای قالبگیری خودش داستانی است. زیرا این جعل برای تست روی سه نوع حسگر –هر کدام با متود خوانش متفاوت اثر انگشت- -به کار گرفته میشود. با این حال این بخش پروسه برای همه قابلدسترسی است: بهترین ماده برای پرینتهای جعل، چسب ارزانقیمت فابریک است.
چه دستگاههایی با اثر انگشتهای تقلبی کرک شدند؟
محققین موردهای جعل خود را روی تعدادی اسمارتفون، تبلت و لپتاپ تولید شرکتهای مختلف امتحان کردند (همچنین روی قفل هوشمند و دو درایو USB محافظتشده با حسگر اثر انگشت). نتایج کمی مأیوسکننده بود: اکثر اسمارتفونها و تبلتها بین 80 تا 90 درصد فریب خوردند و در برخی موارد این نرخ به 100 درصد هم میرسید. قالبهای سهبعدی پایینترین میزان کارایی را داشتند اما چه فرقی دارد؛ به هر حال هر سه متود تا حد زیادی کارامد بودند.
البته استثناهایی هم بود: برای مثال تیم پژوهشی کاملاً از کرک اسمارتفون A70 عاجز بود- هرچند شایان ذکر است احتمال اینکه این مدل اسمارتفون صاحبش را نشناسد نیز وجود دارد. دستگاههایی که ویندوز 10 اجرا میکنند (صرفنظر از تولیدکنندهشان) نیز بسیار نفوذپذیر دیده شدند. محققین این سازگاری را به این حقیقت نسبت میدهند که خود سیستم عامل مطابقت اثر انگشت را بر عهده گرفته است؛ بنابراین خیلی هم به تولیدکننده دستگاه بستگی ندارد.
در همین حال، درایوهای حفاظتشده با فلش هر چند خیلی از همکارها اعتقاد داشتند نفوذپذیرند از این امتحان سربلند بیرون آمدند. این را هم بگوییم که اسکنرهای اثر انگشت فراصوت از همه راحتتر فریب میخورند. با وجود تواناییشان در درک تصویر سهبعدی، باز هم پرینتهای فیک را جای اصلی اشتباه میگیرند.
حفاظت اثر انگشت برای کاربران معمولی
طبق گفتههای محققین، امنیت مجوز مبتنی بر اثر انگشت هنوز از استانداردها دور است و تا حدی میتوان گفت این وضعیت در مقایسه با سالهای قبل دارد بدتر هم میشود. ساخت انگشت جعلی پروسهای هزینهبردار و در بهترین حالت زمانبر است و این بدانمعناست که کاربر معمولی را در این مورد هیچ خطری تهدید نمیکند. اما اگر از قضا گیر گروه مجرم قدر قدرت که پشتوانهی مالی خوبی هم دارد بیافتید دیگر ماجرا فرق خواهد کرد. در چنین شرایطی بهترین توصیه این است که تمامی دستگاههای خود را با پسوردی خوب (روشی سنتی) محافظت کنید. از اینها گذشته، کرک کردن رمزعبوری قوی سختتر است و شما همیشه میتوانید اگر به کسی مظنون شدید آن را تغییر دهید.
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.