КРИМИНАЛИСТИЧЕСКИЕ АСПЕКТЫ ЗАЩИТЫ ИНФОРМАЦИИ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА, ОСУЩЕСТВЛЯЕМОГО ПУТЕМ ФАЛЬСИФИКАЦИИ СЛЕДОВ ПАЛЬЦЕВ РУК

ЛАУР А.В.
РОМАНОВА О.Л.,

Криминалистика, защита информации, несанкционированный доступ, фальсификация следов пальцев рук, сканер отпечатков пальцев, биометрический считыватель, «спуфинг», образец отпечатка пальца, идентификация, аутентификация.

В статье рассмотрены возможности фальсификации следов пальцев рук с целью обмана биометрического считывателя, методы захвата образца отпечатка пальца и технологии создания поддельного следа пальца руки. Технология «живого» пальца и методы распознавания «живых» отпечатков, учитывая широкое распространение датчиков отпечатка пальца на рынке смартфонов, позволяют повысить уровень защищенности биометрического доступа для владельцев мобильных устройств. Авторы анализируют пути усиления защищенности биометрической системы идентификации, связанные с применением разных методов аутентификации, приводят примеры аппаратного распознавания «живого» пальца.

 

В настоящее время электронные носители информации аккумулируют большой объем данных, и в дальнейшем этот объем будет только увеличиваться. В недалеком будущем в персональных мобильных устройствах значительно прибавится личных финансовых данных. Например, сейчас виртуальные кошельки, привязанные к мобильным устройствам, распространены еще не достаточно широко, но со временем удобство бесконтактных платежей заставит внимательнее присмотреться к ним большинство людей. Поэтому проблемы защиты содержащихся в персональных мобильных устройствах данных банковских карт станут как никогда актуальными.

До последнего времени мобильные устройства защищались от несанкционированного доступа с помощью паролей, графических ключей или PIN-кодов. Однако эти относительно надежные средства защиты могут быть «взломаны». В качестве альтернативы им в свое время компания «Apple» предложила использовать технологию идентификации пользователя устройства по отпечатку пальца. Сканер отпечатков стремительно завоевал популярность, так что неудивительно, что модели с ним появились и у основных производителей Android-устройств. Самым успешным для этой технологии стал 2015 г. Сканер отпечатков пальцев перестал быть атрибутом только дорогих смартфонов. В том году многие китайские производители снабдили свои недорогие устройства подобными сканерами, обеспечив таким образом путь технологии к широким массам потребителей. В конце 2018 г. существовали уже смартфоны со сканерами отпечатков пальцев по цене около 15 тысяч рублей. Поэтому можно предположить, что в будущем сканер станет таким же неотъемлемым атрибутом смартфона, как камера.

К сожалению, появление новых технологий, в том числе связанных с электронными носителями информации, неизбежно приводит к возникновению новых способов совершения преступлений. В аспекте рассматриваемой нами темы необходимо отметить все более частое употребление термина «spoofing attack» (спуфинговое нападение). В зарубежных странах для обозначения про-
цесса идентификации по муляжу пальца существует специальный термин – «спуфинг». В контексте сетевой безопасности spoofing attack (англ. spoofing – подмена) – это ситуация, в которой человек (или программа) успешно маскируется под другого (другую программу) путем фальсификации данных, что позволяет получить незаконные преимущества.

Системы идентификации по отпечатку пальца занимают самый большой сегмент на рынке биометрических технологий и, как следствие, вызывают наибольший интерес с точки зрения защиты от проникновения. Средствах массовой информации периодически публикуют материалы о случаях успешного обмана того или иного биометрического считывателя. Некоторые авторы даже делают смелые заявления о несостоятельности биометрических технологий аутентификации по отпечатку пальца в качестве средств защиты от несанкционированного доступа. Это звучит несколько странно, ведь, например, вероятность того, что ключи окажутся украденными или с них могут быть сделаны слепки, не означает, что дверь не нужно запирать. Тем не менее вопрос об эффективности биометрических систем игнорировать нельзя.

Можно ли фальсифицировать следы пальцев рук с целью обмана биометрического считывателя? Конечно, в данном случае не стоит рассматривать вариант из кинофильмов, где в качестве идентификатора для биометрической системы используется палец, отрезанный у мертвого человека. Хотя разработчики алгоритмов защиты не исключают такой возможности, все-таки вероятность применения для несанкционированного доступа пальца трупа крайне мала. Что касается других, самых примитивных, способов фальсификации, то они также вряд ли сработают. В частности, широко известный тест биометрических считывателей от Л. Тэлхейм и Я. Крисслера (они смогли обмануть ряд устройств, активировав последний оставленный отпечаток при помощи графитового порошка, встречной засветки, мешка с водой и даже просто подышав на поверхность чувствительного элемента) уже явно утратил свою актуальность. Сегодня каждый уважающий себя производитель включает в систему контроля доступа защиту от повторного прохода. Совершенствуются технологии, повышаются качество и возможности считывателей.

В связи с этим, пожалуй, единственным эффективным способом обмануть биометрическую систему аутентификации по отпечатку пальца в настоящее время остается создание подделки. Поддельный отпечаток пальца или же поддельный палец – в современном мире совсем не редкость. Однако, прежде чем создать имитацию отпечатка пальца пользователя, зарегистрированного в системе, требуется этот отпечаток получить. Захват образца отпечатка пальца зарегистрированного пользователя для создания муляжа – технология достаточно известная. По сути, существует два метода получения такого образца.

Первый метод – контактный: образец отпечатка получают с поверхности, с которой контактировал пользователь. Некоторые масс- медиа тиражируют сообщения о том, что для снятия образца отпечатка с идеальной сле- довоспринимающей поверхности (например корпуса смартфона) достаточно 30 секунд. Получая такую информацию, потенциальный пользователь разочаровывается в биометрической системе, представив, скольких поверхностей касаются его пальцы за день. При этом почему-то никто не задумывается о том, как кража отпечатка выглядит на практике. 30 секунд – это то время, за которое отпечаток снимет эксперт-криминалист с большим опытом работы. Следует иметь в виду, что прежде чем изъять отпечаток пальца с поверхности, с которой контактировал пользователь, нужно получить к ней доступ. Желательно дважды: до того, как человек ее коснется (чтобы начисто протереть), и после. Даже если доступ к поверхности получен (к примеру, вор, выкупил стакан пользователя у официанта в кафе), вероятность того, что на поверхности окажется отпечаток, подходящий для создания муляжа (именно того пальца, который нужен, и хорошего качества), далека от стопроцентной. Таким образом, кража отпечатка пальца путем получения образца с поверхности, которой касался зарегистрированный пользователь системы контроля и управления доступом (далее
– СКУД), из 30-секундной акции превращается в долгий и крайне трудоемкий процесс.

Второй метод кражи образца отпечатка пальца для последующего создания имитации
– цифровая фотография. Еще в 2014 г. члены германского сообщества хакеров «Chaos Computer Club» заявили, что научились воспроизводить отпечатки, используя несколько фотографий одного и того же пальца [4]. Однако этот метод также требует соблюдения ряда условий. Во-первых, необходима хорошая аппаратная база: должны получаться высококачественные фотографии, даже если они делаются с достаточного большого расстояния. Во-вторых, требуется наличие соответствующего уровня технической грамотности: полученное фото потребуется обработать для получения качественного папиллярного рисунка. В-третьих, нужно иметь возможность доступа в качестве фотографа на публичные мероприятия, где просьба «помахать ручкой» в камеру не вызовет настороженности. И, наконец, все это венчает долгая и кропотливая «фотоохота» за нужными ракурсами, поскольку даже попадание в кадр внутренней поверхности ладони не гарантирует получения фотографии пригодной в качестве образца для создания поддельного пальца. Таким образом, следует признать, что захват образца отпечатка пальца технологически вполне осуществим. Однако на практике кража отпечатка пальца зачастую требует больших трудозатрат, чем кража обычного ключа или карты доступа. Тем более, образец недостаточно получить, нужно еще и создать по нему муляж пальца.

Отметим, что недавно была проведена серия экспериментов по установлению признаков фальсификации папиллярных узоров при бытовом (упрощенном) способе такой фальсификации. Эти эксперименты и их результаты описаны в статье О. А. Соколова и А.О. Лаптевой [1]. Как правило, различия между настоящими и поддельными отпечатками пальцев, обусловлены особенностями материалов, используемых для создания муляжа. Чаще всего применяются технический желатин, глина, пластилин, стоматологический гипс. После получения образца отпечатка пальца пользователя, имеющего доступ в атакуемую биометрическую систему, создается форма, в которой затем отливается поддельный палец. Подтверждением тому стали эксперименты с изготовлением муляжей с папиллярными узорами, проведенные российскими учеными А.В. Стальмаховым, А.Г. Сухаревым, Р.Ю. Трубицыным [2]. В современном мире возможна также печать муляжа на 30-принтере. Особенно удобен такой способ в случае, когда захват образца отпечатка изначально осуществлялся в виде цифровой фотографии.

В случае если биометрическая система имеет какую-либо защиту от спуфинга, взломщику требуется с большим вниманием относиться к выбору материала. Так, для обхода алгоритма защиты, базирующегося на анализе кожных выделений, специалисты NIST (The National Institute of Standards and Technology – Национальный институт стандартов и технологий США) предложили технологию, предусматривающую растворение кожного секрета в жидком гептане с добавлением полиизобутилена. А чтобы наносить отпечатки из этой смеси на поддельный палец, сконструировали пневматический пистолет особой конструкции с шариком на конце, который работает по принципу шариковой ручки. Правда, такой уровень технологической подготовки недоступен среднестатистическому взломщику.

Кроме того, еще раз подчеркнем, технологии двигаются вперед, а компании, разрабатывающие алгоритмы защиты биометрических систем, стремятся быть на шаг впереди взломщиков. Например, при создании поддельного отпечатка пальца при помощи 30-принтера часто упускается из виду такая особенность живого человека, как влага, которая естественным образом выделяется через поры кожи. «Мы обращаемся к паре 30-печающих компании, призывая их перейти к полигидрогель-материалам, которые могут поглощать и рассеивать жидкость. Представьте себе печать 3Ю-пальца со свойствами, аналогичными свойствам реального пальца, который также обладает способностью диффундировать солевые или масляные растворы. «NexID» рассматривает это как возможность для дальнейшего сдерживания атак. Если вы можете создать пародию такого калибра, а затем разработать меры противодействия – с программным обеспечением такого класса защиты, вам будет трудно найти плохого парня с более высоким уровнем способностей», – отмечает М. Кор- нетт, операционный директор NexID .

В любом случае, прежде чем выбирать материал для поддельного пальца, необходимо выяснить, какой вид биометрических считывателей используется в системе, поскольку имитация, подходящая для обмана полупроводниковых считывателей, может быть совершенно неэффективна против оптического сканера, и наоборот. Если взломщик уже имеет в наличии образец отпечатка пальца, технологическое материальное обеспечение высокого уровня, взлом биометрической системы должен осуществляться им в два подхода. Первый – разведывательный, необходимый для получения точной информации об установленном оборудовании. Второй – непосредственно атака с применением ранее изготовленного муляжа. Время изготовления подделки при этом составляет не менее часа. Таким образом, вопрос о целесообразности взлома биометрической системы возникает сам собой. Парадоксально, что возможность взлома биометрической системы всех так удивляет. Никакая система безопасности не может быть абсолютно защищена от обмана.

Однако в случае с биометрической аутентификацией по отпечатку пальца взлом – занятие трудоемкое и продолжительное, порой требующее высокого уровня технической подготовки. Поэтому злоумышленник будет взламывать подобную систему только в крайнем случае, если игра стоит свеч, то есть когда речь идет о действительно ценных вещах или данных. Следовательно, если вы используете логический доступ по отпечатку пальца, чтобы не вспоминать каждый раз пароль, этого в большинстве случаев вполне достаточно для защиты электронного носителя информации. И если для обеспечения безопасности жилья используется биометрическая СКУД, взломщик с большой долей вероятности предпочтет не связываться с ней и выберет для преступления менее защищенный объект.

Однако, даже несмотря на это, каждый зафиксированный взлом биометрической системы заставляет производителей и инсталляторов принимать меры для усиления защиты от спуфинга. Как правило, это влечет за собой увеличение стоимости проекта. Поэтому клиенту рекомендуется оценить степень возможных рисков и необходимость применения на объекте дополнительных мер по обеспечению безопасности.

Для усиления защищенности биометрической системы аутентификации по отпечатку пальца чаще всего используются следующие методы:

– наблюдение за процессом идентификации;

– установка СКУД, использующей несколько биометрических образцов (то есть регистрируется несколько отпечатков разных пальцев, а система в процессе своей работы запрашивает предоставления какого-либо из образцов в произвольном порядке);

– использование систем многофакторной аутентификации (например отпечаток пальца + пароль или отпечаток пальца + карта доступа) [3];

– использование многомодальной биометрии (например отпечаток пальца + радужная оболочка глаза или отпечаток пальца + распознавание лица);

– использование технологии обнаружения «живого» пальца.

Для того чтобы отличить муляж от настоящего – «живого» – пальца пользователя, используются программный или аппаратный методы, а также их комбинация. Аппаратные методы распознавания «живого» пальца в первую очередь зависят от конструкции биометрического считывателя. Наиболее распространены:

– мультиспектральное отображение (фиксация отражения ИК-излучения: от кожи и от синтетического материала получаются совершенно разные отражения) – как правило, используется в оптических считывателях;

– фиксация пульса – довольно дорогостоящий оптический или ультразвуковой метод;

– измерение электрического сопротивления кожи – один из самых бюджетных методов, используется в полупроводниковых сканерах, однако в условиях низкой температуры или повышенной влажности может давать большое количество ошибок как в идентификации по поддельному отпечатку, так и в запрете доступа живому пользователю.

Программный метод подразумевает сравнение отсканированного отпечатка пальца с характерными особенностями поддельных образцов. Например, слишком четкий или, наоборот, слишком рваный край отпечатка, слишком ровные линии папиллярного рисунка, большое количество слишком светлых или слишком темных областей в области сканирования – самые распространенные отличия муляжа от «живого» пальца. Программный метод анализа отпечатков пальцев опирается на индивидуальные характеристики и возможности конкретного биометрического оборудования, а также на шаблоны и алгоритмы, созданные и запатентованные производителем. «Lumidigm / HID Global» использует в своих считывателях два первых аппаратных метода. «Morpho» старается сочетать один из них с измерением электрического сопротивления кожи. «Suprema» совмещает мультиспектральное отображение с программным анализом. «Fingerprint Cards» (FPC) анонсировала «FPCLiveTouch» – технологию «живого» пальца, совместимую со всеми сенсорными датчиками компании, которая не требует дополнительных аппаратных средств или увеличения времени проверки отпечатка. Учитывая широкое распространение датчиков FPC на рынке смартфонов, ан- тиспуфинговое решение не только позволяет компании занять лидирующую позицию, но и значительно увеличить уровень защищенности биометрического доступа для владельцев устройств. ««FPCLiveTouch» позволит еще больше повысить уровень безопасности смартфона без ущерба для удобства. Наша комплексная система совмещает отличное качество изображения с уникальным программным обеспечением. И мы можем претворить это решение в жизнь. Это дает нам уверенность, что мы сможем сохранить наше технологическое лидерство в будущем», – говорит Й. Лантто, президент и исполнительный директор «Fingerprint Cards» . Впрочем, на рынке представлены и другие запатентованные технологии обнаружения поддельных отпечатков пальцев.

Таким образом, бизнес высоких технологий и общественность ответили на спуфинга-ата- ки введением рядов механизмов противодействия. В то же время в результате расширения сферы применения современных информационных технологий, появления новых видов компьютерных преступлений, в том числе связанных с использованием персональных мобильных устройств, все чаще возникает необходимость следственного осмотра, изъятия и исследования электронных носителей информации, которые в дальнейшем могут служить основными источниками доказательств. От того, насколько грамотно и качественно (с неукоснительным соблюдением требований закона) проведены процессуальные действия, зависит, насколько успешным будет расследование и будут ли виновные привлечены к ответственности. В связи с этим необходимо повышение уровня компетентности следователей, специалистов-криминалистов и судебных экспертов с целью расширения объема их специальных знаний путем изучения современных технологий получения трехмерных объектов и направлений возможного их применения, способов изготовления, а также свойств и признаков.

 

Библиографический список:

1. Соколова О. А., Лаптева А.О. Особенности выявления признаков фальсификации следов папиллярных узоров рук при производстве дактилоскопических экспертиз (экспериментальные исследования) // Вестник экономической безопасности. № 1. 2018. С. 112-115.
2. Евременко Н.В., Башилова А.С. Установление факта фальсификации следов пальцев рук // Вестник Полоцкого государственного университета. Серия D: экономические и юридические науки. 2014. № 13. С. 175-182.
3. Сдобнов В.Е., Кошелева Т.В., Аблов И.В., Голошев С.П., Капитуров А.М., Шапорев В. А., Шевчук А. А. Автоматизированная система контроля достоверности личности на основе биометрических показателей для определения состава, перечня оказываемых услуг // Патент на полезную модель № 123558, 2012.
4. Хакеры научились воспроизводить отпечатки пальцев с фотографий // Сетевое издание «Uralweb.ru». 30.12.2014 // URL: https://www.uralweb.ru/news/science/436184.html.

Источник: Научно-теоретический журнал “Вестник Калининградского филиала Санкт-Петербургского университета МВД России”. № 2 (56) 2019.

Просмотров: 639

No votes yet.
Please wait...

Добавить комментарий

Ваш e-mail не будет опубликован.

*

code