Спецпроекты

Безопасность Стратегия безопасности

Фактор доверия: компании защищаются от поддельной биометрии

Системы биометрического контроля вводятся повсеместно, от предприятий и банков до офисных центров и аэропортов: где-то в обязательном порядке, где-то как привлекательный для клиентов удобный и продвинутый инструмент доступа к сервисам. Новые способы идентификации и аутентификации ставят вопрос, легко ли обойти эту защиту. Например, если система контроля доступа «просвечивает» ладонь пользователя, можно ли… изготовить искусственную руку, и что получится в результате?

Любая система биометрической идентификации, насколько бы точной она не была, оказывается бесполезной, если ее легко обмануть. Несмотря на всю привлекательность биометрической аутентификации, она пока не используется как единственный фактор для допуска людей к защищаемым объектам, если речь не идет о персональном смартфоне, за который отвечает только его владелец. Нужен как минимум еще один фактор с высоким уровнем доверия, то есть гарантированно принадлежащий конкретному пользователю. Всем знакома двухфакторная аутентификация в онлайн-сервисах при помощи пароля и присланного на телефон кода. В системах контроля и управления доступом (СКУД) комплексом факторов может быть биометрическая информация, подтвержденная смарт-картой, токеном или, например, паролем – собственно, все эти формы существования аутентификационной информации и называются «факторами».

Люди любят удобство. И движение в сторону упрощения процессов аутентификации пользователей идет, но пока регуляторы не готовы положиться на биометрию, ссылаясь на примеры взломов таких систем в процессе сбора данных, особенно при удаленной работе с использованием ненадежных систем. Эти опасения не беспочвенны, хотя некоторые российские банки, внедряя биометрические системы для дистанционного обслуживания клиентов без карточки, оценили риски и выразили готовность перейти на однофакторную процедуру аутентификации, без паролей и материальных носителей. Но, как бы хорошо банки ни считали деньги, с их пожеланиями пока не согласны ЦБ РФ и различные международные и национальные стандарты (ISO/IEC 29003, FIPS Pub 201-2 и др.). Они прямо говорят, что биометрический фактор должен использоваться только совместно с другими.

Надежны ли современные системы биометрического контроля? Можно вспомнить широко разошедшиеся в прессе истории, как особенно грамотные и настойчивые пользователи ухитрялись «взломать» защиту смартфонов по отпечатку пальца или распознаванию лица, используя восковые слепки пальцев и фотопортреты владельцев. Но, во-первых, промышленные системы биометрической идентификации и аутентификации по своим возможностям на порядки превосходят «бытовые» средства защиты смартфонов. Во-вторых, со времени тех историй прошло – сюрприз – несколько лет. А за этот срок целые поколения технологий успевают смениться, не говоря уже о достижении ими зрелости.

finger700.jpg
Киберпреступники ищут способы взлома биометрических систем

Каждая система защиты имеет свои «узкие места», которые необходимо постоянно контролировать и усиливать. Для биометрических СКУД это возможность доступа к защищаемым ресурсам при помощи подделок биометрических факторов. Даже когда в организации работает система, сканирующая инфракрасный отпечаток ладони со всеми ее уникальными рисунками подкожных вен, теоретически может найтись очень хорошо мотивированный злоумышленник, пожелавший получить доступ к внутренним секретам. Сделать это крайне сложно, и без помощи инсайдера в службе безопасности не обойтись, но, если позволяют ресурсы, можно изготовить муляж ладони, повторяющий руку человека, имеющего допуск.

К счастью, в реальности такие случаи нам неизвестны, а сама вышеописанная технология «взлома» биометрической системы защиты была разработана учеными «в мирных целях»: исследователи из Берлинского технического университета Ян Крисслер и Юлиан Альбрехт придумали способ обхода биометрической идентификации по кровеносным сосудам при помощи специально подготовленного и распечатанного рисунка, который был залит воском для имитации кожи. Информация об этом была опубликована буквально несколько месяцев назад.

Для некоторых участников рынка эта история стала открытием, но оказалось, что в России давно придумано противодействие новому способу взлома. Компания BioSmart еще четыре года назад выявила потенциальную проблему, усовершенствовала защиту и обезопасила все серийно выпускаемые устройства на программном и аппаратном уровнях от «инновационного» метода несанкционированного доступа.

В принципе, любая биометрическая СКУД должна иметь возможность надежного выявления подделок факторов. В системе BioSmart за это отвечают элементы полнофункционального программно-аппаратного комплекса, обеспечивающие реализацию данного требования. Теперь несколько слов о том, как работает система.

Сканирование венозного русла ладони производится инфракрасной подсветкой. При этом система BioSmart выявляет и запоминает значительно больше, чем просто рисунок вен. Существует определенная зависимость коэффициентов отражения, проникновения и поглощения ИК лучей в зависимости от длины волны: она разная у тканей человеческого тела, а также воска, баллистического желатина и других похожих по механическим характеристикам материалов, которыми можно попытаться подменить живую руку. Именно эта особенность лежит в основе аппаратной части комплекса по выявлению муляжей. В системе BioSmart используется мультиспектральная ИК-подсветка, которая дает возможность производить серию снимков ладони на разных длинах волн. Последующий анализ полученных данных позволяет достоверно определить, из какой группы материалов представлен объект системе BioSmart и принять соответствующее решение.

biosmart.jpg
В системе BioSmart используется мультиспектральная ИК-подсветка

Кроме того, в системе дополнительно реализована программная защита от подделок. Изображение вен ладони тщательно анализируется при помощи специально разработанных алгоритмов классификации. Алгоритм принимает на вход цифровое изображение, извлекает из него необходимые признаки и классифицирует объект на изображении как живую ладонь, либо как муляж. Программная защита разработана с использованием современных методик машинного обучения, текстурного и морфологического анализа изображений.

Таким образом, СКУД BioSmart стала системой, на несколько лет опередившей разработки «взломщиков». Тем не менее, поскольку стандарты и требования регуляторов пока никто не отменял, она имеет средства контроля доступа по картам и оснащена всеми другими функциональными возможностями, необходимыми современной СКУД.

Павел Притула

Короткая ссылка