Rozpoznávání tváře notebook neochrání

Na právě probíhající bezpečnostní konferenci Black Hat prezentoval Nguyen Minh Duc z vietnamské firmy Bkis postup, jak prolomit ochranu notebooků realizovanou přes rozpoznávání tváře. Demonstrace se soustředila na ochranu, jak ji nabízejí některé modely Lenovo (technologie Veriface III), Asus (Smart Logon) a Toshiba.


Pro útočníky je zřejmě poměrně snadné tyto techniky obejít.

Všechny tři technologie fungují tak, že pomocí kamery porovnávají při přihlašování obličej se vzorem, který si vytvořily při některém z předešlých „sezení“. Jenomže stačí získat uživatelovu fotografii a pomocí běžných editačních nástrojů ji převést do podoby, aby byla nasvícená jako tvář člověka sedícího před notebookem. Software samozřejmě analyzuje až digitální snímek, nedokáže tedy v principu rozpoznat rozdíl mezi fotografií a skutečným obličejem. Útočník sice sotva může vědět, jak fungují algoritmy, které ze záběru kamery vytvářejí výslednou digitální reprezentaci, pokud ale má čas, může si s kontrastem, osvětlením apod. hrát, nemusí uspět hned na první pokus.

Ochrana není založena pouze na statickém snímku. V případě rozpoznávání od Toshiby se údajně registrují i pohyby obličeje, Lenovo zase speciálně sleduje pohyby oka, ale i to lze ošálit a s obrázky před kamerou notebooku různě hýbat. Na demonstraci se každopádně všechny tři systémy podařilo přelstít, a to i v případě, že byla nastavena nejvyšší úroveň zabezpečení.

Samozřejmě je nutné mít na začátku fotografii legitimního uživatele, systém se podařilo ale obelstít dokonce i v případě, že výchozí fotografie byla jen černobílá a útočník ji dobarvil.

Minh Duc tvrdí, že jedno z velkých rizik zde spočívá v tom, že legitimní uživatel se o tom, že jeho systém někdo kompromitoval, nemá vůbec možnost dozvědět (asi podobně, jako kdyby útočník znal/uhodl heslo). Minh Duc uvedl, že všichni tři dodavatelé byli na problém upozorněni. Nyní se čeká, zda tedy své technologie nějak vylepší, do té doby se podle Duce tento způsob přihlašování nedá pokládat za dostatečné zabezpečení, tj. nemůže nahradit přihlašování heslem.

Na druhé straně – přístup přes rozpoznávání obličeje či otisk prstu je prostě kompromisem mezi zabezpečením a jednoduchým přihlášením. Těžko by tomu mohlo být jinak. Mluvčí Lenova např. uvedla, že tato technologie se doporučuje pouze pro spotřebitelský segment trhu. Tento druh útoku se může uplatnit jen ve specifických případech (nikoliv při běžné krádeži), kdy je cílem zmocnit se dat nějakého významného pracovníka, nainstalovat mu do notebooku sledovací software nebo po přihlášení „jeho jménem“ provést nějakou akci.

 

Zdroj: Computerworld.com

 

Poznámka: Zdroj bohužel nepopisuje, jak přesně se útočník kameru snaží ošálit. Vytištěnou fotografií? Jiným notebookem?

 

 











Komentáře