Przywykliśmy już do tego, że cyberprzestępcy atakują nasze komputery niemalże każdego dnia w nadziei na uzyskanie dostępu do naszych danych i pieniędzy. Okazuje się, iż następnym celem hakerów mogą być nasze palce i oczy. Jak to możliwe?
Otóż, coraz popularniejsze w wielu dziedzinach życia stają się zabezpieczenia bazujące na biometrycznej identyfikacji użytkownika. Opierają się one na założeniu, iż odciski palców, a także wzór tęczówki oka są naszymi niepowtarzalnymi indywidualnymi cechami. Na tej podstawie da się jednoznacznie zidentyfikować konkretnego człowieka, a tym samym zweryfikować jego tożsamość. Systemy dostępu oparte na identyfikacji biometrycznej wydają się więc być nie do złamania, gdyż przecież „hasło” dostępu do nich jest niepowtarzalne i na dodatek nosimy je zawsze ze sobą. Otóż nic bardziej błędnego.
Okazuje się, iż odciski palców i wzór tęczówki oka mogą być tak samo skradzione jak każde hasło. Wyobraźnia podsuwa w tym momencie krwawe obrazy, ale prawda jest bezkrwawa i o wiele bardziej prozaiczna. Cała tajemnica tkwi w sposobie elektronicznego zapisu danych o naszych odciskach i wzorze tęczówki.
Podczas zapisywania w formie elektronicznej danych o naszych odciskach palców czy tęczówce oka, tak naprawdę zapisujemy w komputerze tylko elektroniczny plik z danymi numerycznymi, które nie reprezentują fizycznego wyglądu naszych palców czy oka. Podczas próby autoryzacji system ponownie tworzy cyfrowy zapis np. tęczówki oka i porównuje go ze wzorcem zapisanym uprzednio. Efektem porównania jest liczba, która tak naprawdę określa prawdopodobieństwo, że osoba próbująca się zidentyfikować jest osobą uprawnioną. Jeżeli prawdopodobieństwo to jest odpowiednio wysokie, osoba zostaje przez system potraktowana jako autoryzowany użytkownik.
W ubiegłym roku uczeni z Uniwersytetu w Bolonii przeprowadzili ciekawy eksperyment. Mając dostęp do pliku w którym zapisano elektroniczną wersję odcisków palców, przeprowadzili proces odwrotny. Na podstawie danych cyfrowych odtworzyli fizyczny wygląd odcisków palców. Następnie stworzyli ich gumowy model i posługując się nim podjęli próbę autoryzacji w systemie jako pełnoprawni użytkownicy. Udało się to w…100% przypadków (!). Jak jednak stworzyć model oka?
Odpowiedź na to pytanie znaleźli uczeni z Uniwersytetu w Madrycie. Na konferencji naukowej w Las Vegas przedstawili algorytm postępowania prowadzący do oszukiwania systemów opartych na identyfikacji wzoru tęczówki. Okazało się, iż skanery zapisują obraz tęczówki oka jako wirtualny prostokąt wypełniony pikselami o wartości 0 lub 1. Wystarczyło przeprowadzić proces „zawinięcia” tego obrazu z powrotem w kulę i zbudowany na tej podstawie model był skuteczny w 87% przypadków. Największą słabością skanerów tęczówki był fakt, iż zupełnie ignorowały one brak obecności w zbudowanych modelach naturalnych struktur oka ludzkiego (np. płynu w gałce ocznej). Tak naprawdę skanery te nie były w stanie rozpoznać czy mają do czynienia z żywą tkanką czy przedmiotem sztucznym.
Zdaniem uczonych, mimo powyższych słabości biometryka ma przed sobą przyszłość w kontekście budowy systemów zabezpieczeń, niemniej jednak należy zdecydowanie ulepszyć sposoby przetwarzania rzeczywistych obrazów na ich elektroniczne odpowiedniki.