A biometriai azonosításról valahogy azt gondoljuk, elég biztonságos dolog: mégis csak a testünkről van szó, fizikai közelség is kell hozzá, ellopni sem olyan könnyű, hát még lemásolni vagy hamisítani. Az Óbudai Egyetem hekkerei a Hacktivityn bebizonyították, hogy egyik gondolat sem igaz: az ipari rendszereknél használt biometrikus azonosítás nagyon könnyen hekkelhető, elég egy papírra nyomtatott amorf tenyér is hozzá. Képzeljük magunk elé egy tipikus digitális-betörős amerikai film fő jeleneteit: a bankokban, szupertitkos központokban a biztonsági rendszerek nemcsak holmi jelszavakból állnak, hanem nyomásérzékelős padlóból, íriszazonosításból (ez az, amikor a szemünket kell leszkennelni a belépéshez), ujjlenyomat-leolvasóból és tenyérlenyomat-olvasóból. Nyilván azért, mert ezek a legbiztonságosabb dolgok. Vagy mégsem? Az úgynevezett biometrikus azonosra épülő biztonsági rendszerek etikus hekkelésével foglalkozik az Magyarországon Óbudai Egyetem egyik csoportja is. Az elmúlt években többször előadtak a Hacktivityn, Magyarország legnagyobb fehér kalapos (jó szándékú) hekkerkonferenciáján, elbukott már a színpadon az ujjlenyomat-azonosítás ugyanúgy, mint az arcfelismerés, és pont tavaly demonstrálták, hogy tesztkörnyezetben mennyire máshogy tudnak viselkedni ipari szoftverek, mint a valós életben (pont erről szól a Volkswagen hatalmas botránya is). Most a tenyérlenyomat volt a soros: Fehér András, Kapitány Sándor Martinkovics Dániel és Otti Csaba kiválasztott két önként jelentkezőt a színpadról, beszkennelték a tenyerüket, majd jól visszaéltek vele. Fotó: Stephane De Sakutin Felmerül a kérdés, hogy egyáltalán miért használnak kézgeometriai azonosítást, amikor ott van sok más, korábban felsorolt technológia. A szakértők szerint ennek az eszköznek megvan a helye az iparban, jól jön ott, ahol nincs sok idő, de rengeteg felhasználót kell azonosítani: például egy gyárban, ahol a kártya nem elég, mert azt bárki odaadhatja a haverjának, hogy menjen be dolgozni helyette, és ha elég sokan vannak, senki sem nem fog feltűnni. A baj csak az, hogy a biztonságos azonosításra szánt eszköz biztonsága hagy kivetni valót maga után. A kutatók néhány perc alatt beléptek a rendszerbe hamis személyazonossággal, vagy úgy, hogy átverték a gépet, vagy úgy, hogy el is lopták az eredeti bejelentkező. személyazonosságát. Elég lefényképezni valakinek a kezét A hekkeléshez érdemes kicsit megnézni a gép működését: A tenyér nem tűnik egyedinek, mégis az: harminc azonosítási ponttal simán lehet annyira egyedi, akár egy ujjlenyomat-olvasó. Viszont a szkenner nem végez valódi azonosítást: előre eltárolják a rendszerben a hozzáférést kapott felhasználók adatait, amihez egy PIN-kódot rendelnek. Amikor bejelentkezik valaki, először ezt a PIN-kódot kell megadni (ami lényegében csak egy felhasználói azonosító, olyan, mint a felhasználónév a felhasználónév-jelszó párosból); A PIN-kód megadása után a rendszer előkeresi a már beszkennelt tenyérlenyomatot, és aztán a frissen szkennelt tenyérrel ezt hasonlítja össze. A kutatóknak ezt a rendszert több helyen is sikerült megtörniük. Először is, kiderült, hogy valódi kéz helyett megteszi egy teljesen sima, megfelelően kivágott A4-es papírlap, ami nyomokban tenyérre hasonlít. Ezt simán be lehetett szkennelni a rendszerrel, bőven bevette tenyérnek. Jó, lehet, hogy valakinek ilyen a tenyere, ha átment rajta egy úthenger, de talán ennyire mégsem kellene szélső értékekre tervezni. Fotó: Wikipedia A java viszont csak ezután jött: elég egy nem is annyira jó minőségű fotót (mobillal is simán megoldható) készíteni valakinek a kezéről, kinyomtatni megfelelő méretben, kis szivaccsal kitömködni, és máris beléphetünk az áldozat nevében. Akarom mondani, kezében. Az ipari biztonsági rendszerekről a filmek alapján mindig azt képzeljük, hogy ugyan fel lehet törni őket, de ahhoz aztán már tényleg csúcs profinak kell lenni, jó sok pénzzel, megfelelő technológiával. Hát, eléggé kijózanító pofon a magyar szakemberek előadása. A biztonsági rendszerben tojtak a biztonságra A meglepetéseknek viszont még ezzel sincs vége. Gyárakban előfordul, hogy valakinek megsérül a keze, innentől nem lehetne azonosítani. Alapvetően ezeket a rendszereket a jobb kéz azonosítására tervezik, de pont a sérülések miatt kapott egy speciális funkciót is: a bal kezet is oda lehet pakolni ilyenkor azonosításhoz, csak ezt külön be kell állítani a felhasználóhoz. A hekkernek ilyenkor nincs más dolga, minthogy megszerezze a kedvezményezett felhasználó azonosítóját, ugyanis a gép valójában semmit nem csinál a balkezesekkel, csak kijelzi, hogy azonosította, de ha egy másik kezet tesznek oda neki, akkor is ezt csinálja. Nehéz erre mit mondani, de ennél nagyobb gáz is van a rendszerben: az ilyen olvasóknak csatlakozniuk kell valamilyen adatbázishoz, amiben eltárolják a felhasználókat. Azt azért tudjuk, hogy az ipar lassan reagál, ez pedig bőven kihat a biztonságra, de azért azt gondolnánk, hogy kifejezetten a biztonság miatt tervezett eszközöknél azért kicsit jobban figyelnek rá. Tévedés. A szakemberek által kivesézett olvasó olyan elavult adatbázist használ, hogy a jelszavakat az internetről letöltött programmal pár perc alatt ki lehet húzni belőle, utána tetszés szerint módosítható az adatbázis, aztán visszatölthető a rendszer. Szóval, ha valaki bárhogy, akár távolról hozzáfér az adatbázishoz (manapság lustaság miatt nem ritka, hogy az ipari gépek rajta lógnak a belső hálón, ami meg az interneten, innen pedig már nincs megállás), simán felvisz egy új felhasználót vagy kicserél tetszőleges adatokat és már bent is van. http://index.hu/tech/2015/10/09/hacktivity_hekkeles_tenyernyomat_ujjlenyomat_azonositas/