Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Sztuczne palce kontra czytniki biometryczne
Biometryczne systemy oparte na czytnikach linii papilarnych mogą czasem zostać oszukane za pomocą… sztucznych silikonowych palców. Na taki właśnie pomysł wpadli brazylijscy lekarze ze szpitala w Ferraz de Vasconcelos, dzięki czemu niektórzy z pracowników nie pojawiali się w miejscu zatrudnienia nawet przez 3 lata!
Szpital w Ferraz de Vasconcelos wykorzystuje biometryczny system kontroli dostępu i rejestracji czasu pracy. Pracownicy przed wejściem na teren placówki korzystają z czytnika linii papilarnych i w przypadku poprawnego uwierzytelnienia otrzymują wydruk potwierdzający obecność.
Silikonowe protezy — dowód w sprawie
Trzy podstawowe metody uwierzytelniania wykorzystują:
- coś, co wiesz (ang. something you know) – informacja będąca w wyłączonym posiadaniu uprawnionego podmiotu, na przykład hasło lub klucz prywatny;
- coś, co masz (ang. something you have) – przedmiot będący w posiadaniu uprawnionego podmiotu, na przykład sprzętowy token;
- coś, czym jesteś (ang. something you are) – metody biometryczne.
Jak się jednak okazało, pracownicy skutecznie oszukiwali system za pomocą… silikonowych protez imitujących palce swych współpracowników, dzięki czemu Ci mogli w tym czasie pełnić dyżury w innych placówkach. Spójrzmy na nagranie z ukrytej kamery opublikowane przez brazylijską telewizję, przedstawiające szczegóły procederu.
Niestety, z opublikowanych informacji nie wynika, jaki model czytnika pozwalał na tak proste oszukanie całego systemu kontroli. Powyższy przykład świetnie obrazuje jednak to, że stosowane obecnie zabezpieczenia biometryczne ciągle mają wiele słabości. Możliwe również, że system został nieprawidłowo skonfigurowany (np. poprzez wymuszenie maksymalnej szybkości działania kosztem dokładności), przez co cechował się bardzo wysokim poziomem fałszywych akceptacji FAR (ang. False Acceptance Rate).
Jedno jest jednak pewne. Warto dodatkowo monitorować sposób wykorzystania systemów kontroli dostępu, gdyż kreatywność potencjalnych intruzów oraz… własnych pracowników, nie zna granic!
Podstawowe miary skuteczności systemów biometrycznych
- FAR (ang. False Acceptance Rate) – procentowa miara liczby fałszywych akceptacji (zdarzeń poprawnego uwierzytelnienia osób nieupoważnionych).
- FRR (ang. False Rejection Rate) – procentowa miara liczby fałszywych odrzuceń (zdarzeń nierozpoznania osób upoważnionych).
- EER (ang. equal error rate) – miara określająca sytuację, w której system jest tak skalibrowany, że FAR = FRR. EER służy często do porównywania dokładności różnych technologii biometrycznych.
– Wojciech Smol, (wojciech.smol<at>sekurak.pl)
