محققان امنیتی اخیرا در کنگره ارتباطات چائوس در آلمان تشریح کردند که چگونه توانسته اند با ساخت یک دست مصنوعی با موم، سیستم احراز هویت رگی را دور بزنند.
آیتیمن - دستگاه ها و سیستم های امنیتی به طور فزاینده ای از روش احراز هویت بیومتریک برای صادر کردن مجوز ورود کاربر و دور نگه داشتن اطلاعات از هکرها بهره می برند که از میان این ابزار می توان به حسگرهای اثر انگشت و یا فیس آی دی آیفون برای تشخیص چهره کاربر خود اشاره کرد.
به صورت کلی باید گفت که احراز هویت بیومتریک یکی از روش های مختلف امنیتی به شمار می رود که به کمک عنبیه چشم، تشخیص صورت افراد و همچنین اثر انگشت از روش های معمول است. روش جدید دیگری نیز برای احراز هویت با نام «تایید هویت رگی» وجود دارد که همانطور که از نامش بر می آید، شامل اسکن کامپیوتری شکل، اندازه و موقعیت رگ های کاربران زیر پوست دست آنها می شود. این روش بیومتریک که بسیار ایمن به نظر می رسید، توسط دو محقق هک شد.
روش احراز هویت رگی با سیستمی کار می کند که محل جاگیری رگ ها را در زیر پوست با یک الگوی ثبت شده مقایسه می کند. با این حال، این دو محقق برای دور زدن احراز هویت بر اساس رگ انسان، ابتدا از الگو های قرارگیری رگ دستان خود عکسبرداری کردند. این کار را با برداشتن فیلتر مادون قرمز از روی یک دوربین SLR انجام دادند تا بتوانند الگوی رگ های زیر پوستشان را بهتر مشاهده کنند.
این دو محقق برای خلق این الگو مجبور شدند که ۲ هزار و ۵۰۰ عکس مختلف را در طول ۳۰ روز از دستان خود بگیرند تا بتوانند الگوی کاملی از قرارگیری رگ های خود ایجاد کنند. بعد از آن، با کمک موم یک دست مصنوعی ساختند و الگوی رگ های دست خود را روی این دست مصنوعی پیاده کردند و در نهایت توانستند این سیستم را گول بزنند. این دو محقق نتایج تحقیقات شان را برای شرکت های فوجیتسو و هیتاچی ارسال کردند و در مقابل هیچ پاسخی از سوی فوجیتسو دریافت نکردند و فقط گزارش های مربوط به این تحقیق در اختیار کارمندان شرکت هیتاچی قرار گرفته شد.
گفتنی است که این دو محقق فقط یک ماه فرصت داشتند تا بتوانند سیستم احراز هویت رگی را فریب دهند و این موضوع نشان داد که اگر مهاجمان بخواهند محل های حساس و قربانی های مهمی را هدف قرار دهند، احتمالا با امکانات بیشتر در مدت زمان کوتاه تری موفق به دور زدن این سیستم ها خواهند شد.
سیستم احراز هویت رگی به سبک سامسونگ
شاید جالب باشد بدانید که این سیستم احراز هویت رگی یکی از پتنت هایی بود که شرکت سامسونگ حدود سه سال پیش ارایه داده بود. این پتنت یک سنسور پوشیدنی مچ دست را توصیف می کرد که ماهیت این حسگر احراز هویت با رگ کاربر را امکان پذیر می ساخت.
طریقه کار پتنت سامسونگ به این شکل است که یک عکس از ساختار و ویژگی های رگ کاربر می گیرد و سپس آن را با تصویری که پیش تر از رگ در حافظه خود دارد، مقایسه می کند و تشخیص می دهد که آیا آن تصویر متعلق به کاربر است یا خیر. به نوعی به احراز هویت با رگ می پردازد. این سنسور همچنین می تواند ضربان قلب کاربر را که آن هم از فردی به فرد دیگر، منحصر به فرد است، تشخیص دهد.
گویا قرار بود که سامسونگ از این سیستم در طرفین ساعت هوشمند خود استفاه کند و یک بخش از پشت دست کاربر را برای ثبت ساختار رگ و هدف احراز هویت با رگ اسکن کند. هنگامی که شناسایی توسط سیستم مثبت باشد، دستگاه می تواند لیست پخش موسیقی شخصی کاربر، لیست تماس و آهنگ های زنگ را پس از به رسمیت شناختن شخص پوشنده دستگاه پخش کند. اما این قابلیت خیلی مفید نخواهد بود زیرا ابزارهای پوشیدنی فقط یک کاربر دارند و مردم به طور معمول ساعت های هوشمند خود را به اشتراک نمی گذارند.
احراز هویت رگی به سبک فوجیستو
فوجیتسو نیز روی فناوری احراز هویت رگی کار کرد و حدود 2.5 سال پیش شرکت ارائه کننده خدمات پرداخت کارتی ژاپن JCB، تکنولوژی احراز هویت اسکن رگ های زیر پوست شرکت فوجیتسو را برای پرداخت های بدون کارت در پایانه های فروش و خودپردازها آزمایش کرد.
شرکت JCB اثربخشی سیستم احراز هویت جدید را روی صدها نفر از کارمندان خودش آزمایش کرد. کارمندان JCB از این تکنولوژی برای پرداخت هزینه خرید مواد غذایی و نوشیدنی های مورد نظر خود در کافه تریای دفاتر شرکت JCB استفاده کردند.
داده های حاصل از تصویربرداری رگ های کف دست مشتریان، به همراه اطلاعات کارت های پرداختی در دیتاسنترهای شرکت فوجیتسو ذخیره شد. بنابراین مشتریان هنگام پرداخت هزینه های خود دست خود را مقابل سنسور تکان می دادند. از سرورهای احراز هویت براساس کف دست، اطلاعات کارت پرداخت خوانده می شد و فرایند تراکنش تایید می شد.
تاک واتانابه، مدیر بخش زیرساخت و تکنولوژی JCB در این مورد گفت: ما در حال حاضر این تکنولوژی را برای جوامع جهانی متفاوت آزمایش می کنیم و قصد داریم برنامه ای بر مبنای بیومتریک های منحصر به فرد و با استفاده از احراز هویت امن الگوی رگ های کف دست توسعه دهیم. من مطمئن هستم این روش پرداخت جدید که بر مبنای تکنولوژی نوآورانه طراحی شده است، در راستای پاسخگویی به نیازهای کلیه مشتریان و شرکای JCB در سراسر جهان ارائه می شود.
این در حالی است که فوجیتسو چند سال پیش تصمیم گرفت که از این سیستم احراز هویت حتی در لپ تاپ ها خود نیز استفاده کند. لپ تاپ Celsius H730 نام این لپ تاپ است که در واقع نخستین لپ تاپی لقب گرفت که مجهز به این نوع احراز هویت است. این لپ تاپ با سیستمی که در اختیار دارد می تواند از الگوی وریدی که در کف دست هر فرد به صورت نامریی وجود دارد و منحصر به فرد است استفاده می کند. این تکنولوژی PalmSecure نام دارد.
سیستم احراز هویت هیتاچی
متخصصان هیتاچی چند سال پیش اعلام کردند که الگوی عروق در زمان جنینی شکل می گیرد و در سراسر عمر، ثابت می ماند. وقتی نور فروسرخ از انگشت می گذرد، بخشی از آن جذب هموگلوبین رگ ها می شود. از این رو هیتاچی اسکنری ساخت تحت عنوان احراز هویت رگ که می تواند هویت فرد را از طریق بررسی الگوی رگ تصدیق کند.
گفتنی است که فناوری شرکت ژاپنی هیتاچی در دستگاه های خودپرداز ژاپن و لهستان مورد استفاده گرفته است.
منابع:
MotherBoard و The Verge