Klonowanie odcisku palca przy użyciu drukarki 3D

Dane biometryczne stanowią obiekt zainteresowania przestępców w zasadzie od początku ich stosowania. Współcześnie niejednokrotnie są alternatywą wobec loginów i haseł, więc po ich uzyskaniu i wykorzystaniu dostęp do wielu, często kluczowych, systemów zostanie przyznany.

Pierwszym sposobem autoryzacji, już zdecydowanie wiekowym, była para: login i hasło. Dla dewelopera ma ona tę zaletę, że jest nieco prostsza w implementacji oraz utrzymaniu – w przeciwieństwie do współczesnych metod wykorzystujących biometrię. Większość z nas do odblokowania telefonu używa trybu rozpoznawania twarzy lub odcisku palca, podobnie przy logowaniu do systemu desktopowego (jest to możliwe również w przypadku systemów Linux z rodziny Debian, jak Ubuntu). O ile login i hasło mogą zostać wykorzystane przez atakującego po ich złamaniu (jeśli oczywiście nie używamy 2FA czy U2F), to wydaje się, że podrobienie odcisku palca nie jest takie proste. Okazuje się jednak, że jest ono możliwe, chociaż wymaga czasu i nieco większych nakładów finansowych.

Aby wyjaśnić tytułowe zagadnienie oraz związane z nim kwestie, zapoznamy się z opracowaniem Cisco Talos z 2020 roku. Logowanie biometryczne jest zalecane przez badaczy w większości przypadków, z wyłączeniem osób posiadających szczególnie istotne dane na swoich urządzeniach oraz tych, co do których mogą być podejmowane działania prowadzone przez różnego rodzaju służby. Analizę ryzyka, jak zawsze, należy przeprowadzić samodzielnie.

W opracowaniu podjęto trzy tematy:

• rozwój zabezpieczeń skanerów biometrycznych od czasów iPhone 5,
• wpływ druku 3D na autoryzację poprzez biometrię,
• model ataku z możliwym realnym scenariuszem.

Z wynikami badań, a także z wersją video zawierającą najważniejsze szczegóły można zapoznać się dzięki udostępnionemu poniżej filmowi:

Presentation: Fingerprint cloning — Myth or reality?

Najpierw trochę historii. Apple ID pierwszy raz zostało złamane w 2013 roku. Badacz o pseudonimie Starbug zaprezentował wówczas atak na iPhone 5S, o czym pisano na Sekuraku. Do obejścia autoryzacji w Samsungu S10 wystarczyła silikonowa folia; błąd naprawiono dzięki aktualizacji. Ostatni przykład to praca zespołu X-Lab, który znalazł sposób na ominięcie zabezpieczenia w trzech różnych modelach telefonów (nie podano dokładnych informacji).

Okazuje się też, że istnieją dwa podejścia w samym procesie autoryzacji z wykorzystaniem biometrii. Zawsze pierwszym krokiem jest przechwycenie wygenerowanego przez sensor obrazu odcisku palca. Następnie ma miejsce analiza, porównanie przechwyconego obrazu z zapisem pochodzącym z momentu konfiguracji zabezpieczenia. Właśnie ten etap może zostać zrealizowany przez sam sensor, jak również przez system operacyjny, co zastosowano w przypadku Windowsa (jak okaże się poniżej, ma to ogromną zaletę). Przechwycony przez sensor odcisk jest przesyłany do systemu z użyciem algorytmu ANSI INCITS 378-2004 – i to system weryfikuje poprawność.

Wyróżniamy trzy typy sensorów:

• capacitive, używające naturalnej „elektryczności” człowieka;
• optyczne, które odczytują obraz odcisku; stosuje się w nich źródło światła;
• ultradźwiękowe, najnowszy typ; ukryte za ekranem telefonu, wysyłają ultradźwięki i odbierają ich echo.

Odcisk palca należy zdobyć w określony sposób, a scenariusze ponownie są trzy:

• ofiara nie jest tego świadoma; odcisk zdobywa się, podstawiając jej wybrany miękki materiał, który w dalszym etapie zostaje utwardzony;
• wykorzystanie realnego skanera linii papilarnych, np. na lotnisku;
• użycie przedmiotu, który ofiara ataku trzymała w dłoni, np. szklanki czy butelki.

Kolejnym krokiem jest utworzenie formy zdobytego odcisku w drukarce 3D. Pierwsze podejście zakłada użycie w tym celu Plastiline, kleju rzeźbiarskiego. Ma on tę cechę, że zachowuje twardość w temperaturach pokojowych, a staje się nawet ciekły w wyższych stopniach. Badacze podgrzali klej podmuchem ciepłego powietrza, co umożliwiło wykonanie odcisku.

Można też skorzystać z czytnika linii papilarnych. Najtańszym sposobem jest podpięcie sensora do Arduino UNO. Bitmapę można przesłać do komputera z zainstalowanym programem SYNO Demo.

Niestety wygenerowany obraz jest zbyt mały (256 x 288 px) dla niektórych czytników. Należy więc połączyć kilka zdjęć, jak na poniższym przykładzie:

Ostatnia metoda to wykorzystanie obrazu w formacie RAW, czyli – w praktyce – najlepszej możliwej jakości. Badacze jako przykład podają odcisk na szklance. Z kontrastem efekty są rzeczywiście zadowalające:

Wadą tego rozwiązania jest jednak konieczność stosowania różnych filtrów.

Wydrukowana forma odcisku palca musi przejść proces dostosowania jej do wymagań współczesnych czytników. Można skorzystać z lampy UV, chociaż zauważono, że samo wystawienie formy na działanie światła słonecznego przynosi pożądany skutek. Forma jest toksyczna, co można wyeliminować w komorze UV, której działanie wzmacnia również trwałość odcisku.

Test działania formy przeprowadzony przy użyciu Samsunga A70 zakończył się niepowodzeniem:

Our fake fingerprints didn’t work on the Samsung A70, however, even with a real fingerprint, the authentication rate was way lower than on the other devices. These devices were also the targets of some of the first research into fingerprint authentication, which should give this platform more maturity in the technology.

Okazało się, że Windows pod względem bezpieczeństwa logowania biometrycznego jest lepszy niż macOS. Odciski testowano na pięciu różnych urządzeniach z systemem Windows – i za każdym razem wynik był negatywny, podczas gdy w przypadku MacBooka Pro wskaźnik powodzenia wynosił 95%.

W podsumowaniu zaznaczono, że cała technologia skupiona wokół użycia odcisków palców nie jest obecnie dojrzała i nie może być gwarantem bezpieczeństwa. Zwykłych użytkowników opisane problemy raczej nie będą dotyczyć, więc z powodzeniem powinni stosować tę formę autoryzacji. Badaczom testy zajęły kilka miesięcy, aczkolwiek mocno ograniczali budżet. Sądzą oni, że przy użyciu większych nakładów finansowych będzie można obejść systemy zabezpieczeń różnych producentów.

–Michał Giza