Страница:
Забавные игрушки или Почему надежность биометрических систем – это сплошной обман
Государственные структуры, радеющие за повсеместное применение биометрических систем опознания, и компании, продающие на рынке такого рода аппаратуру, всячески заверяют общество, что это – высшее достижение современных технологий безопасности, очень надежное и практически не поддающееся обманам и злоупотреблениям. Реальное же положение дел в этой области, мягко говоря, выглядит абсолютно иначе.
В начале 2002 года японский криптограф Цутомо Мацумото в высшей степени наглядно продемонстрировал, что с помощью подручного инвентаря и недорогих материалов из магазина «Умелые руки» можно обмануть практически любую из биометрических систем контроля доступа, идентифицирующих людей по отпечатку пальца. Мацумото и группа его студентов в Университете Иокогамы не являются профессионалами в области тестирования биометрических систем, а занимаются математическими аспектами защиты информации. Однако, даже чисто любительского энтузиазма исследователей хватило на то, чтобы создать две крайне эффективные технологии для изготовления фальшивых дактилоскопических отпечатков [ТМ02].
Изготовление фальшивого пальца по методу Мацумото:
(a) улучшение качества снятого отпечатка;
(b) создание цифрового отпечатка-образа сканированием;
(c) создание из нескольких образов маски для отливочной формы;
(d) заполнение формы жидким желатином;
(e) остудить форму в холодильнике и осторожно вынуть «палец».
При первом (тривиальном) способе японцы делали непосредственный слепок с пальца «жертвы», для чего использовался обычный пищевой желатин и формовочный пластик, применяемый авиа– и судомоделистами. Полупрозрачную желатиновую полоску-отпечаток можно незаметно прилеплять к собственному пальцу и обманывать компьютерную систему доступа даже в присутствии поблизости охранника. Эта нехитрая технология сработала в 80% случаев при тестировании более десятка коммерческих приборов биометрической защиты.
Но еще более эффективен оказался «высокотехнологичный» способ, разработанный группой Мацумото в воодушевлении от первого успеха. При этом методе уже не требуется сам палец, а просто аккуратно обрабатывается один из оставленных им отпечатков (согласно исследованиям экспертов, человек ежедневно оставляет на различных предметах в среднем около 25 отчетливых «пальчиков»). Взяв отпечаток «жертвы» на стекле, исследователи улучшили его качество с помощью циан-акрилатного адгезива (паров супер-клея) и сфотографировали результат цифровой камерой.
Затем с помощью стандартной программы PhotoShop на компьютере была повышена контрастность снимка, после чего его распечатали принтером на прозрачный лист-транспарант. Для изготовления же объемного отпечатка Мацумото воспользовался методом фотолитографии: в магазине для радиолюбителей студенты купили светочувствительную печатную плату-заготовку, спроецировали на нее «пальчик» с транспаранта и вытравили отпечаток на меди. Эта плата стала новой формой для изготовления желатинового «фальшивого пальца», который оказался настолько хорош, что обманывал практически все из опробованных биометрических систем, как с оптическими, так и емкостными сенсорами.
Более того, после некоторой тренировки желатиновый слепок позволил исследователям-любителям преодолевать и более продвинутые системы, оборудованные «детекторами живого пальца», реагирующими на влажность или электрическое сопротивление. И нет никакого сомнения, что профессионалам в этой области удается проделывать много больше. Короче говоря, пользуясь комментарием известного крипто-гуру Брюса Шнайера, можно говорить, что полученных результатов вполне достаточно для полной компрометации подобных систем и для того, чтобы отправить многочисленные компании дактилоскопической биометрии «паковать вещички» [BS02].
Самое же неприятное, что настоящим специалистам в области биометрии все эти факты известны давным давно. Широкая публикация в Интернете результатов группы Мацумото позволила привлечь внимание к значительно более раннему исследованию голландцев Тона ван дер Путте и Иероэна Койнинга, уже давно разработавших собственную технологию, обманывающую 100% из доступных на рынке биометрических систем распознавания отпечатка пальца. Все попытки этих ученых достучаться до компаний, изготовляющих оборудование, закончились ничем, а полученные ими результаты просто всяческими способами замалчивались [РКОО].
Вслед за эффектной работой японских исследователей из Иокогамы, на страницах средств массовой информации стали появляться сообщения и о других исследовательских проектах, очень серьезно компрометирующих биометрические системы. Так, летом того же 2002 года немецкий компьютерный журнал «c't» опубликовал результаты собственного обширного исследования, посвященного изучению 11 систем биометрической верификации на основе распознавания лиц, пальцев и радужной оболочки глаз пользователей [TZ02].
Выводы экспертов журнала вполне однозначны: биометрические системы для потребительского рынка пока что не достигли того уровня, когда в системах доступа их можно рассматривать в качестве реальной альтернативы традиционным паролям и персональным идентификационным номерам. Все из изучавшихся систем приходится рассматривать скорее как забавные игрушки, а не «серьезные средства защиты» (как заявляют их изготовители), поскольку преодоление каждого из устройств не вызвало у исследователей существенных проблем. Важно подчеркнуть, что эксперты «c't» ориентировались в первую очередь на самые тривиальные методы обмана систем, не требующие сколь-нибудь серьезных профессиональных навыков. Так, систему опознания лиц FaceVACS-Logon немецкой фирмы Cognitec удается обмануть даже с помощью подсовывания фотографии зарегистрированного пользователя, снятого предварительно цифровой камерой. Если же в системе работает более чувствительное (и менее дружелюбное к пользователю) программное обеспечение, анализирующее характерные признаки движения живого человека, то для обмана успешно применен экран мобильного компьютера-ноутбука, демонстрирующий видеоклип с лицом «жертвы».
Обман системы опознания лица
Несколько более сложно было преодолеть систему Authenticam BM-ЕТ100 фирмы Panasonic для опознания радужной оболочки глаза, поскольку здесь инфракрасные датчики реагировали не только на характерный узор изображения, но и на иную глубину расположения зрачка. Тогда в снимке глаза, распечатанном на матовой бумаге принтером высокого разрешения, исследователи проделали небольшое отверстие на месте зрачка, куда и подставляли собственный глаз при опознании. Этого ухищрения для обмана системы оказалось вполне достаточно.
Обман системы опознания по радужной оболочке глаза
Что же касается систем аутентификации пользователя по отпечатку пальца с помощью емкостного сенсора на «мышке» или клавиатуре, то здесь самым тривиальным способом обмана является повторное «оживление» уже имеющегося отпечатка, оставленного зарегистрированным пользователем. Для «реанимации» остаточного отпечатка иногда бывает достаточно просто подышать на сенсор, либо приложить к нему тонкостенный полиэтиленовый пакет, наполненный водой. Подобные трюки, в частности, весьма удачно опробованы на мышках ID Mouse фирмы Siemens, оснащенных емкостным сенсором FingerTIP производства Infineon. Еще эффективнее срабатывает более тонкая технология, когда оставленный «жертвой» отпечаток на стекле или CD посыпается тонкой графитовой пудрой, лишний порошок сдувается, а сверху накладывается липкая лента, фиксирующая характерный узор папиллярных линий. Прикладывание этой ленты обманывает не только емкостные, но и некоторые более строгие оптические сенсоры. Наконец, «искусственный палец», отлитый в парафиновой форме из силикона, позволил исследователям преодолеть все из шести протестированных систем на основе дактилоскопии.
Обман дактилоскопических систем опознания
Любопытства ради эксперты «c't» немного поиграли не только с лобовыми атаками на основе «фальшивых» частей тела, но и с более тонкой технологией «повторного воспроизведения». В этом случае подлинная биометрическая информация незаметно перехватывается на канале между сенсором и проверяющей программой, а затем вновь воспроизводится в нужный момент для получения нелегального доступа. Как показали эксперименты, коммуникационный порт USB, через который обычно подсоединяются к ПК биометрические датчики, легко допускает подобные манипуляции, поскольку информация здесь никак не шифруется.
Справедливости ради следует признать, что все из опробованных систем относятся к сравнительно недорогому рынку потребительских товаров, т. е., грубо говоря, не предназначены для защиты секретных объектов. С другой стороны, у экспертов журнала просто не было доступа к исследованию дорогих «настоящих» систем, а, кроме того, все выявленные слабости оборудования относятся не столько к собственно сенсорам, сколько к алгоритмам программного обеспечения. И если более мощное ПО уже существует, то почему не применяется? Как известно, производители биометрических систем всячески уклоняются от внятных ответов на подобные вопросы, предпочитая напирать на то, что лабораторные эксперименты весьма далеки от условий реальной эксплуатации.
В августе 2003 г. пришло известие, что и этот аргумент производителей пытливые исследователи демонстративно раздолбали. В Германии, на проходившем под открытым небом близ Берлина слете хакеров Chaos Computer Camp, свою исследовательскую работу продемонстрировали два местных умельца, именующие себя Starbug и Lisa. Новой компрометации вновь подверглись сканеры, идентифицирующие людей по отпечатку пальца, поскольку именно такое оборудование все чаще начинают использовать в торговых точках для электронной регистрации покупок. Методика преодоления системы разработана для реальных условий и позволяет обманывать сканер даже в присутствии надзирающего ока продавца или охраны.
Метод весьма дешев и при наличии навыка позволяет подделывать отпечаток, по характеристике авторов, «на лету» с помощью тонкой прозрачной полоски из латекса. Технология подделки с некоторыми модификациями повторяет способ группы Мацумото: отпечаток жертвы снимается с помощью графитовой пудры и липкой ленты-скотча; со слепка (еще лучше, с нескольких слепков) делается цифровой снимок, качество папиллярного рисунка улучшается специальной графической программой, которая переводит изображение на покрытую светочувствительным слоем фольгу печатной платы; после травления на плате остается объемный рельеф нужного пальца, и по этой форме из жидкого латекса изготовляется ложный отпечаток. После высыхания небольшая тонкая полоска прикрепляется к пальцу и становится практически незаметна. При надлежащем навыке на всю процедуру подделки уходит меньше 10 минут.
Starbug и Lisa подчеркнули, что целенаправленно занялись разработкой своей атаки для того, чтобы продемонстрировать серьезность угрозы и неискренность изготовителей. Поэтому способ немецких хакеров не только базируется на уже известных приемах, но и продемонстрирован в реальной эксплуатации. Чтобы не конфликтовать с законом, Starbug и Lisa сделали отпечатки пальцев друг друга и сделали в магазине компьютерного оборудования «контрольные закупки» с помощью поддельных накладок [АНОЗ].
Мифы биометрии или Почему биометрическое опознание следует запретить
Проведенный в конце 2002 года в США социологический опрос показал, что предупреждения компетентных экспертов о недостаточной надежности и небезопасности биометрических систем идентификации явно не доходят до массового сознания американского общества. Исследование, проведенное по заказу Бюро судебной статистики США, свидетельствует, что от 75 до 90 процентов опрошенных по телефону американцев хотели бы видеть большее применение биометрии как в частном, так и в общественном секторе. В частности, респонденты полагают, что системы биометрического сканирования повысят безопасность жизни, если их применять в таких областях: проверка личности по базам осужденных преступников при покупке оружия (91%); верификация личности при покупке по кредитной карте (85%); снятие наличных в банкомате (78%); доступ к документам с конфиденциальной информацией, таким как медицинская карта или финансовая отчетность (77%); проверка биографических данных (76%). Это же исследование показывает, что в представлениях общественности биометрия тесно связана с защитой от «краж личности», сильно возросших за последние годы [LR03].
Достаточно очевидно, что подобные взгляды общественного сознания, не понимающего особенностей технологии, являются прямым результатом весьма успешной государственной «промывки мозгов» через СМИ и шумного рекламного гвалта коммерческих фирм, продвигающих это оборудование в качестве «наиболее надежного, современного и универсального средства безопасности».
Интересно, что в ноябре 2002 г., практически одновременно с социологическим опросом, в специализированном журнале по защите информации Info Security Magazine было опубликовано любопытное интервью с Джимом Уэйманом, несколько последних лет возглавлявшим национальный Центр тестирования биометрии США (U.S. Biometrics Test Center). Данный материал интересен прежде всего тем, что это – очень редко встречаемые в прессе честные и здравые суждения о биометрических системах защиты с точки зрения профессионала, занимающего серьезный пост в официальных структурах (точнее говоря, занимавшего, потому что ныне Уэйман уже не возглавляет Центр биометрии).
В самом кратком изложении суть оценок этого авторитетного эксперта выглядит так. Еще в 1998 году Джим Уэйман предупреждал индустрию, что сделанная ею установка на провозглашение биометрии в качестве надежного средства идентификации – это ошибка, которая будет иметь самые негативные последствия. Во-первых, потому что биометрия не является надежной. И во-вторых, потому что на самом деле она вовсе не для безопасности, а для удобства пользователей.
Прошедшие с той поры годы и новейшие технологические достижения ничуть не поколебали позицию Уэймана, по-прежнему убежденного, что биометрия вовсе не плоха сама по себе, просто на нее возлагают явно преждевременные и чрезмерные надежды. Выступая в прессе и на конференциях, Уэйман подчеркивает, что пока еще даже на подходе нет сколь-нибудь зрелых протоколов для серьезного тестирования биометрических устройств, а в производство и приобретение такого рода систем уже торопливо вбухиваются многие миллионы долларов.
Одним из наиболее заметных поборников сравнительно новой технологии является правительство США: в военном агентстве передовых исследований DARPA развернут 42-миллионный четырехлетний проект по разработке технологии биометрической идентификации для охраны посольств США по всему миру; Министерство обороны выразило желание закупить системы распознавания лиц, выделяющие и идентифицирующие людей из толпы. Список этот можно продолжать, по мнению же Уэймана, столь истовая вера правительственных боссов в биометрические системы распознавания в определенной степени вызвана откровенными преувеличениями в заявлениях производителей биометрического оборудования – достаточно познакомиться с тем, что они провозглашают на своих сайтах и в рекламных релизах [AS02][АН02].
Другой серьезный эксперт в области биометрических систем, австралийский профессор Роджер Кларк, идет в своих заключениях существенно дальше и доказывает, что в современных условиях биометрия вообще должна быть запрещена. В работах Кларка проанализировано, сколь гигантское количество проблем возникает при широком внедрении биометрических систем опознания, сколь стремительно растет сложность мер защиты этих систем при появлении контрмер и необходимости выработки контр-контрмер.
Неизбежным следствием этого становится снижение дружелюбности систем к пользователю, высокий процент ложных-положительных и ложных-отрицательных идентификаций. Вследствие незрелости технологии, процент откровенной халтуры, и близко не делающей того, что сулят недобросовестные изготовители, в этом секторе рынка намного выше, чем в других областях индустрии инфотехнологий. Широкому распространению биометрии на рынке способствует устоявшийся в обществе миф о том, что «это круто». Вопреки другому распространенному мифу, биометрия вовсе не решает проблемы подделки и кражи личности. Более того, биометрия в действительности сама является частью этой проблемы, поскольку часто лишь упрощает такие подделки.
Наконец, биометрия закладывает чрезвычайно мощный и опасный фундамент для злоупотреблений государства и корпораций, которые получают удобнейшую технологическую возможность управлять правами доступа и вообще процедурами идентификации любой отдельно взятой личности.
При этом в современном обществе пока что абсолютно никак не отработаны механизмы борьбы со злоупотреблениями биометрией. Нет ни юридических норм, ни законов, которые бы регулировали встраивание биометрии в технологии и товары, процессы разработки биометрических приложений, практику поведения корпораций и правительственных ведомств в этой области. Как это ни поразительно, но у общества нет вообще никаких средств для адекватной защиты от биометрии. Единственное, что есть – это «дискуссии по соответствующим вопросам» в индустрии с участием правительственных чиновников.
Потенциально биометрические технологии представляют для общества чрезвычайную опасность, если и дальше допускать их нерегулируемое использование. А потому, убежден Кларк, до выработки соответствующих норм и законов, использование систем биометрической идентификации следует запретить [DV03].
Несколько иначе ту же самую мысль о необходимости законодательного запрета биометрии правозащитники формулируют следующим образом. Распознавание лиц и всякая другая биометрическая технология безопасности не должны внедряться до тех пор, пока не получены ответы на два вопроса. Первое, эффективна ли данная технология? Говоря иначе, существенно ли она повышает нашу защиту и безопасность? Если ответ «нет», то дальнейшее обсуждение утрачивает смысл. Если же ответ «да», то следует задаться вторым вопросом: нарушает ли технология целесообразный баланс между безопасностью и свободой. Фактически, говорят правозащитники, биометрия не подходит обществу по обоим из указанных критериев. Поскольку технология работает ненадежно, она не способна сколь-нибудь существенно обеспечить безопасность. Но при этом несет в себе очень значительную угрозу гражданским свободам и правам на тайну личной жизни [QA03].
Игры в умные карты
Важнейшей технологией, лежащей в фундаменте практически всех новых хайтек-паспортов и прочих современных идентификационных документов, являются интеллектуальные пластиковые карточки, кратко именуемые смарт-карты. В настоящем разделе собраны достаточно глубокие технические подробности о реальной ситуации с (не)безопасностью смарт-карт, как технологии самого широкого назначения. Имеет смысл предупредить, что для понимания основной части данного материала подразумевается наличие у читателя хотя бы базовых знаний об основах функционирования и устройства компьютеров, а также некоторого представления о криптографии.
4 миллиона подопытных кроликов
На самом излете клинтоновской госадминистрации, осенью 2000 г. в Министерстве обороны США был начат крупномасштабный ввод новых хайтек-бейджей для идентификации персонала на основе технологии смарт-карт. В итоге свыше 4 миллионов человек, работающих в военном ведомстве, получают личные устройства с микропроцессором и памятью, получившие название «карта общего доступа».
Такая смарт-карта ценой около 8 долларов и размером примерно со стандартную кредитную карточку обеспечивает военному и гражданскому персоналу не только проход на режимные объекты или загрузку в секретные компьютерные сети, но и несет в себе массу личной информации о владельце: имя, должность и звание, номер социального страхования, фотографию. Благодаря хранящемуся в карте «сертификату» ее владелец может ставить цифровую подпись под своей электронной почтой и служебными приказами.
Кроме того, испытываются и такие варианты применения, как внесение в карту расчетных сумм за еду в служебной столовой, хранение медицинской и стоматологической информации, результаты сдачи нормативов по физической подготовке и стрельбе… Как выразился тогдашний заместитель министра обороны по кадровым вопросам Бернард Росткер, руководство Пентагона «очень возбуждено от вроде бы безграничных возможностей технологии смарт-карт». К середине 2003 года непрекращающиеся эксперименты с картами общего доступа привели к занесению в память чипа биометрической информации о владельце и к появлению возможностей бесконтактной идентификации, когда информация считывается с карты дистанционно [REOO][ВВОЗ].
Правозащитные организации с самого начала экспериментов не разделяли возбуждения военных начальников из Пентагона, справедливо усмотрев в этой акции закладывание основ для повсеместного внедрения цифровых идентификаторов в национальных масштабах. В том же 2000 году Дэвид Бэнисар, юрист известной правозащитной организации EPIC, предупреждал, что «военных очень часто используют как подопытных кроликов в тех ситуациях, когда опробование новшеств на гражданских лицах представляется слишком сомнительным. […] В конечном счете, опасность заключается в том, что людей станет возможным отслеживать на постоянной основе. А накапливаемые данные затем можно запросто использовать для таких целей, которые вовсе не подразумевались первоначально».
Как здесь с безопасностью?
Не подлежит сомнению, что индустрия смарт-карт переживает ныне период мощного расцвета. В 2002 году по всему миру было продано чуть меньше 2 миллиардов интеллектуальных карточек со встроенным микрочипом, а в ближайшие годы ожидается рост этих цифр в разы. Причины тому просты, коль скоро области применения смарт-карт все время расширяются: от телефонной карты до жетона аутентификации пользователя ПК, от «электронного кошелька» для хранения цифровых наличных до цифрового паспорта-идентификатора граждан. Массовое внедрение смарт-карт в повседневную жизнь сопровождается непременными заверениями официальных представителей индустрии и властей о том, что чип-карты – это наиболее безопасная из существующих на сегодня технологий, потому что такие карты чрезвычайно очень сложно, практически невозможно вскрывать. Но так ли обстоят дела на самом деле?
Типичная смарт-карта – это 8-битный микропроцессор, постоянное запоминающее устройство (ROM), оперативная память (RAM), электрически перепрограммируемая память (EEPROM или Flash, где, в частности хранится криптографический ключевой материал), последовательные вход и выход. Все это хозяйство размещается в одном чипе, заключенном в корпус – обычно, пластиковую карту размером с кредитку.
Нравится это кому-то или нет, но в действительности вскрытие смарт-карт – явление весьма давнее и распространенное повсеместно. Как свидетельствуют специалисты, примерно с 1994 года практически все типы смарт-карточных чипов, использовавшихся, к примеру, в европейских, а затем в американских и азиатских системах платного телевидения, были успешно вскрыты кракерами (т. е. криминальными хакерами) методами обратной инженерной разработки. Скомпрометированные секреты карт – схема и ключевой материал – затем продавались на черном рынке в виде нелегальных клон-карт для просмотра закрытых ТВ-каналов без оплаты компании-вещателю. Менее освещенной в прессе остается такая деятельность, как подделка телефонных смарт-карт или электронных кошельков, однако известно, что и в этой области далеко не все в порядке с противодействием взлому. Индустрии приходится регулярно заниматься обновлением технологий защиты процессора смарт-карт, кракеры в ответ разрабатывают более изощренные методы вскрытия, так что это состязание еще далеко не закончено.
Смарт-карты в своих потенциальных возможностях имеют целый ряд очень важных преимуществ в сравнении с другими технологиями. Обладая собственным процессором и памятью, они могут участвовать в криптографических протоколах обмена информацией, и, в отличие от карточек с магнитной полоской, здесь хранимые данные можно защищать от неавторизованного доступа. Серьезная проблема лишь в том, что реальная стойкость этой защиты очень часто переоценивается. Далее будет представлен краткий обзор наиболее важных технологий, используемых при вскрытии смарт-карт. Эта информация важна для любого человека, желающего получить реальное представление о том, как происходит вскрытие защищенных устройств и каких затрат это стоит.