Keresés

Partnerek

Termékmonitor

Adatfeldolgozási tanácsadás, és revízió Adathozzáférés elleni védelem Adatkisugárzás elleni védelem Beszéd -, és jeltitkosító eszközök Biztonsági szoftverfejlesztés Dokumentum - megsemmisítő készülékek Lehallgatás elleni eszközök Villámvédelem

Audió és videó kaputelefonok Azonosító eszközök Behatolásjelzők (9) Beléptető rendszerek (2) CCTV biztonsági rendszerek (35) Inteligens épület felügyeleti rendszerek (2) Kapcsolóórák, őrjárat ellenőrző rendszerek Kapu és ajtónyitás vezérlő rendszerek Kártyakészítő eszközök Kül- és beltéri figyelőrendszerek (42) Kültéri objektumőrző rendszerek (8) Lakásriasztók (12) Riasztóközpontok (9) Robbanóanyag - keresők Személy és csomagvizsgáló eszközök (3) Személyi riasztó, segélyhívó eszközök, pánikkapcsolók (1) Távfelügyeleti rendszerek (11) Áruvédelmi rendszerek (1)

Autóriasztók GPS rendszerek Gépjármű távfelügyeleti rendszerek, elfogó szolgálattal Gépjárművek biztonsági átalakítása Gépjármü azonosító rendszerek, eredetvizsgálat

GSM/GPRS kommunikációtechnika Híradástechnikai kiegészítők Kárhely rádiók Személyi hívó URH – rádiókészülékek

Bankbiztonsági mechanikus eszközök Biztonsági zárak Biztonsági nyílászárók Forgalomkorlátozó eszközök Határoló elemek Értéktárolók

Biztonságvédelmi szolgáltatások Élőerős szolgáltatások

Oltás technika Tűzjelző központok (4) Tűzérzékelés (1)

biometrikus mágneskártyás (2) számkódos

Kamerák (39) multiplikálók rögzítők (3) vezérlők

GPRS alapú rendszerek rádiós telefonos (11)

bankjegyvizsgálók pénzszállító táskák átadóablakok

hevederzárak lakatok láncok reteszek vasalások ólomzárak

ajtók biztonsági üvegek fóliák redőnyök szelepek

gátak keresztek reteszek sorompók

drótok hálók kapuk kerítések rácsok

fegyvertárolók kazetták páncélszekrények trezorok

Biztonságtechnikai felülvizsgálat Biztonságvédelmi rendszerek tervezése, szervezése Biztonági képzés, továbbképzés, tréningek Biztosítók, biztosítások Kiadók, publikációk Átvilágítás, tanácsadás Őrszolgálati tervek készítése

Magánnyomozás Objektumőrzés Pénz és értékszállítás Pénz és értékőrzés Rendezvénybiztosítás Személyvédelem

Konferencia

Kezdőlap

Sérülékenységi vizsgálatok az arcazonosítás terén
Az Alkalmazott Biometria Intézet (ABI) előadása
a Hacktivity konferencián

Idén 10. alkalommal került megrendezésre a Hacktivity, Közép-Kelet-Európa legnagyobb IT biztonsági konferenciája. Az eseményen ismételten jelen volt az Alkalmazott Biometria Intézet (ABI), előadásunk témája idén az arcazonosítás sérülékenységi vizsgálata. A színpadon ismertettük az arcazonosítás alapjait, majd bemutattunk néhány sikeres támadást, két teljesen különböző eszközön. Ezzel bizonyítottuk, hogy nem véletlenül került be a Hacktivity programjába
az arcazonosítás, mivel akad még javítanivaló a rendszerek sérülékenységén. Jelen cikk a konferencián elhangzottakat, illetve a bemutatott munkát foglalja össze röviden.

Csapatunk az ABI színeiben érkezett, De mi is az az ABI? A kérdést Fehér András – az intézet vezetője – válaszolta meg röviden az előadás elején. Az ABI az Óbudai Egyetem Bánki Donát karán belül jött létre, azonban szorosan együttműködik a Neumann és Kandó karokkal is. A biztonságot holisztikus megközelítéssel vizsgálja, ebből fakadóan a tevékenysége is rendkívül széles körű: a rendszerek tesztjei, fizikai, informatikai és információbiztonsági vizsgálatok, de a social engineering illetve a sérülékenység vizsgálatok is ide tartoznak. Az ABI szabványok alapján dolgozik, de azokon túlmutatóan is fejleszti a metodikákat.

NIST arcfelismerő algoritmusok tesztképei (forrás: NEC)

■ Napjainkban az arcfelismerők fejlesztésének egyik fő iránya az infravörös tartományú képalkotás, ezért ezt mindenképpen részletesebben kell tárgyalni. Az elektromágneses spektrum egy szinte végtelenül széles skála, melynek az emberi szem csak egy szűk sávját képes érzékelni, azt, amit mi látható fénynek hívunk. Az infravörös tartomány közvetlenül e sáv mellett található. Amennyiben veszünk egy átlagos CCD lapkát, ami a kamerákban szokott funkcionálni, azt tapasztaljuk, hogy jóval szélesebb tartományban érzékel, mint az emberi szem, így az infravörös tartományban is. Ebben a tartományban nincsenek színek, a képet sokkal egyszerűbb feldolgozni, továbbá a fényviszonyokra is sokkal kevésbé érzékeny a rendszer. Arcfelismerő algoritmusból viszonylag sok ismeretes a gyakorlatban és még folyamatosan kerülnek ki az új fejlesztések. Ezeket az algoritmusokat alkalmazásuk előtt tesztelik különböző, előre megadott arcokon. A teszt azonban nem a valós környezetben zajlik, hanem egy számítógépen kapják meg az előre beállított képek sorozatát. Így az algoritmus soha nem azokkal a problémákkal találkozik, amivel éles helyzetben találkozni fog, hanem azokkal, amelyeket a mérnökök előre megadnak nekik, ezért kerülhetnek hibák a rendszerbe.

Az ABI képlettel leírva

■ A bemutató elméleti részét követően kezdődött a gyakorlat. A színpadon, élőben néztük meg, tényleg vannak-e sérülékenységei ezeknek az eszközöknek. Az első teszthez két önként jelentkezőre volt szükség, demonstrálandó, hogy akik nincsenek beregisztrálva az eszközbe, azokat elutasítja a berendezés. Így is történt, a kivetítőn láthatóvá vált, hogy nem ismeri fel őket egyik eszköz sem.

■ Ezután az önként jelentkezőket is beregisztrálták. A regisztrációkor a fejet mozgatni és forgatni kell, hogy az eszköz több különböző irányból is adatot tudjon gyűjteni az arc geometriájáról. Ezután – pont úgy, ahogyan vártuk –, egyetlen másodperc alatt felismeri a személyeket és nevükön szólítva köszönti őket.

■ Bemutatásra került továbbá az a fekete doboz, amit az ABI kollégái gyártottak az infravörös felvételek készítésére. E berendezés korábbi verzióját már láthattuk egy évvel ezelőtt, akkor a kéz érhálózatának fényképezésére használták. Segítségével a kézérhálózat-felismerő rendszerekhez találtunk olyan sérülékenységeket, amelyek biztonsági hiányosságot jelentenek. Itt érdemes kitérni arra a kritikára, amely a teszt kapcsán érte az ABI-t, nevezetesen hogy túl olcsó eszközökkel dolgozik. Valóban, az ABI-nak kitűzött célja, hogy a hibátlannak vélt eszköz árának töredékéből legyen végrehajtva a támadás.

■ Idővel eljött az a pillanat, amikor az egész terem elsötétült, ami azt a célt szolgálta, hogy infravörös tartományú fényképet lehessen készíteni, mivel a színpadot megvilágító reflektorok túl erősek voltak. Az önként jelentkezőkről készült néhány olyan kép, amelyen szinte felismerhetetlen voltak. Ez nem a kép minősége okán történt így, hanem azért, mert olyan spektrumban készült a kép, amely az emberi szem számára ismeretlen.

■ Ekkor a képet kismértékben, egyszerű képszerkesztő eszközökkel manipulálták, majd közvetlenül ezután kinyomtatták. Kevesebb, mint 20 perc munkába telt, míg megérkezett a nyomtatóból az a kép, amelyet nemcsak hogy elfogad az arcfelismerő, de ráadásul azt írja a kijelzőn, hogy a korábban beregisztrált önként jelentkező élő ember áll most előtte. Természetesen egy nyomtatott fekete-fehér fénykép sem nem ember, sem nem élő. Ezzel egy súlyos hiányosságra mutattak rá az ABI szakértői.

■ Ezután egy másik berendezésen bemutatásra került egy 3D maszk általi belépés is.

■ Az előadás végéhez érve láthattunk néhány képet azok közül, amelyek a kísérletek során készültek. Ezeken látható, hogy az arcnak mely részeire érzékenyek a bemutatott arcfelismerő eszközök, valamint követhető az a metódus is, amellyel ezek feltárásra kerültek. A teszteket szakértői vezetéssel nagyrészt egyetemi hallgatókból álló, nemzetközi kutatócsoport végezte. Az előkészületek egy évig folytak, ennyi idő kellett, hogy a támadással kapcsolatos ötletek legnagyobb részét ki lehessen próbálni. Természetesen ezekből több is működött, közülük emeltek ki, és mutattak meg néhányat a rendelkezésre álló 45 percben.

■ Végezetül az ABI szakemberei ismételten hangsúlyozták, hogy a bemutatóval nem az az üzenet, hogy az arcazonosítás nem biztonságos. Az a fontos, hogy ismerjük a technológia és az eszközök lehetőségeit, korlátait és kockázatait.

A bemutatón részt vett csapat:
– Fehér András, mérnök közgazdász, magánbiztonsági szakértő
– Otti Csaba, mérnök közgazdász, magánbiztonsági szakértő
– Őszi Arnold, doktorandusz
– Bencsik Balázs, biztonságtechnikai mérnök

Az összefoglalót készítette
Otti Csaba és Őszi Arnold