איך לעבוד על מצלמת אבטחה בעזרת תמונה פשוטה
חברה וייטנאמית הצליחה לפרוץ מנגנון הגנה ביומטרי של מחשבים ניידים. הסיסמה היא תמונה של המשתמש – ומסתבר שקל ליצר תמונה דומה מספיק כדי להערים על התוכנה
חברות מחשבים החלו לאחרונה להשתמש בתמונתו של המשתמש כסיסמה, שאמורה להיות בלתי חדירה: המשתמש מציג את פניו למצלמת רשת, תוכנת האבטחה מזהה אותו, והוא מקבל גישה למחשב. לנובו, אסוס וטושיבה הוציאו לאחרונה מחשבים ניידים המצוידים בהגנה זו. אלא שמסתבר שקל לפרוץ אותה. כך מדווח אתר Cnet.
ההגנה באמצעות זיהוי פנים קלה לפריצה צילום מסך: cnet.com
ההגנה באמצעות זיהוי פנים קלה לפריצה צילום מסך: cnet.com חברת האבטחה הווייטנאמית BKIS – Vietnamese Internetwork Security Center - הדגימה זאת השבוע. כתב סינט שהשתתף בהדגמה, דונג נגו, התבקש להירשם למערכת ההגנה הביומטרית של אחד ממחשבי לנובו; המערכת סרקה את פניו מספר פעמים באמצעות מצלמת רשת, תוך התמקדות בעיניו, ועם סיום הסריקה נדרשה לפחות משניה כדי לזהות אותו ולאשר את כניסתו למחשב.
לאחר מכן שוחח נגו עם טכנאי בשיחת וידאו, תוך שזה מקליט בחשאי את תמונתו. דקות ספורות לאחר מכן הגיע הטכנאי עם תמונה מודפסת של נגו – תמונה כה גרועה עד שנגו התקשה, לדבריו, לזהות בה את עצמו – והציב אותה מול המצלמה. זו זיהתה אותה כתמונה של נגו, והניחה לו להיכנס למערכת.
בכיר ב-BKIS, דוק מין נגוין, אמר לנגו כי אין צורך בתמונה באיכות גבוהה של המשתמש, אך יש צורך להדגיש חלקים מסוימים ממנה, ולהגביר את הניגודיות שבה, כדי לגרום לתוכנת האבטחה לזהות אותה. הוא המליץ למשתמשים לא להסתמך על תוכנת הזיהוי הקלה לפריצה, ואמר שעדיף להשתמש בשיטה הרגילה של מסירת שם משתמש וסיסמה.
BKIS מסרבים, מסיבות מובנות, למסור פרטים על האופן המדויק בו פרצו את ההגנה. להערכת נגו, הבעיה של מערכות ההגנה הללו היא שהן מסתפקות בסריקה דו מימדית של פנים במקום בסריקה תלת ממדית; פנים המיוצגות באופן דו ממדי הן "שטוחות", הרבה פחות ייחודיות מפנים המיוצגות בתלת מימד, וכתוצאה מכך ניתן להערים על מערכת האבטחה ביתר קלות.
ל-BKIS נסיון מוכח במציאת פרצותיהן של מערכות אבטחה. לאחרונה חשפה פרצת אבטחה בדפדפן כרום של גוגל ופירצה ב-Windows Media Encounter 9. נציגי שלוש יצרניות הלפטופים הוזמנו להדגמה, אך לא הגיעו, ותגובתן על הידיעה טרם התקבלה.
