22/3/2010
Miesiąc temu ogłosiliśmy konkurs, w którym jedno z pytań brzmiało: jak można obejść czytnik linii papilarnych? Poniżej prezentujemy najciekawsze odpowiedzi na to pytanie i nazwisko jednego ze zwycięzców.
Większość z Was wspominało o metodzie ukazanej w jednym z odcinków Mythbusters:
Kilka osób opisało metodę na “super-glue” i wydruk foliowy, autorstwa berlińskiego klubu komputerowego:
I tylko jedna osoba, podesłała najbardziej techniczny i chyba najciekawszy filmik prezentujący różnicę pomiędzy prawdziwym a fałszywym odciskiem palca widzianą oczami “sensora” ze skanera odcisków:
Co ciekawe, niewiele osób napisało o samym zdobyciu odcisku palca. Zakładaliście, że go macie… a często okazuje się, że pobranie odcisku palca to najtrudniejsza część ataku na skaner linii papilarnych. Dlatego bardzo ucieszyła nas odpowiedź shaql, która wmieszała w atak na czytnik elementy socjotechniki:
upuścić jakiś przedmiot mając w jakiś sposób utrudnione podniesienie jej, i poprosić daną osobę o pomoc
Pojawiły się też próby ataku Man in the middle:
Prostym rozwiązaniem, pokrywającym wszystkie trzy przypadki, jest podpięcie się pod transmisję między czytnikiem a jego kontrolerem, zarejestrowanie sygnału, który się pojawi po autoryzowanym wejściu, a następnie wyemitowanie tego samego sygnału (por. Szyfrowanie bezpiecznych pendrive’ów złamane) — Adam Kleszczonek
Oraz bardzo humorystyczne metody siłowe:
Można upier****ć palec osobie z uprawnieniami do otwierania tych drzwi — Tomasz A.
Należy odciąć palec osobie, o której wiemy, że ma dostęp do zasobów chronionych takim czytnikiem. Dla pewności najlepiej odciąć całą dłoń, należy pilnować aby palec nie pobrudził się krwią i nie był uszkodzony. Najlepiej przykładać jeszcze ciepły i nie zesztywniały. Należy uważać aby nie pomylić dłoni (najlepszym lekarzom zdarza się pomylić lewą z prawą). Warto po użyciu zapakować do lodu i odesłać właścicielowi. Może uda się przyszyć. — Jakub Stępniak
Warte odnotowania są także następujące wskazówki:
- Wejście przez okno (po co męczyć się z drzwiami, skoro okno jest otwarte?) — wiele osób
- Podpięcie się do tej samej sieci elektrycznej, co czytnik i próba “elektrycznego sniffingu” oraz analizy sygnału — jasisz
- Położyć bibułę na czytniku i przycisnąć ją swoim palcem. Tłuszcz po odcisku ostatnio używającej czytnika osobie zotanie dociśnięty i w ten sposób zasymulujemy próbę użycia czytnika przez tę osobę — Piotr Zajączkowski
- Sensory poddźwiękowe są w stanie odczytać odcisk palca osoby w rękawiczce, co sprawia że dość trudno je oszukać — gedymeith
- Odlew w jakims kleju i za pomoca obrabiarki typu CNC rzezbimy linie papilarne oczywiscie w srodek montujemy uklad, ktory utrzymuje temperature 36,6 stopni Celsjusza (normalnie istne SF ;) — Jędrzej Krysztofiak
- Nakarmienie ofiary pączkami: tłuste dłonie zostawiają wyraźniejsze ślady — Adam Kleszczonek
- Polizanie kserokopii odcisku jako symulacja potu — Łukasz
- Upicie danej osoby do nieprzytomności (lub ogłuszenie), a następnie wykorzystanie jej palców (bez skojarzeń!), chociaż w przypadku gdy trzeba transportować osobę do czytnika, jest to rozwiązanie mało wygodne (prościej przetransportować sam odłupany palec) — uploadeded
Dadisdead nadesłał odpowiedź rysunkową:
Podobnie myślał Jarosław Karaś:
Zależy gdzie czytnik jest zainstalowany. Jeżeli umieszczony jest przy komputerze należy wokoło obejść miejsce w którym komputer jest zainstalowany, jednocześnie obchodząc czytnik. Jeżeli na ścianie, przy drzwiach – należy znaleźć kogoś kto otworzy nam drzwi i poszukać drogi naokoło przez pokoje. Być może taką znajdziemy.
And the winner is…
Pierwszą z trzech osób, która otrzyma “wytrychowe” szkolenie jest Sebastian Pabiasz. Gratulujemy. Twoje odpowiedzi były najpełniejsze a twoje dane już zostały przekazane do sponsora nagród, firmy Lockpicker.pl. Czekaj na kontakt :-)
Jutro poznacie nazwisko kolejnego zwycięzcy i dowiedziecie się jak o tym jak przełamać elektroniczne zamki szyfrowe z klawiaturą do wpisania kodu.
[…] wyników 1/3: Jak obejść czytnik linii papilarnych. Ogłoszenie wyników 2/3: link pojawi się jutro Ogłoszenie wyników 3/3: link pojawi się […]
“a twoje dane już zostały przekazane” …organom ścigania ;)
No to biorę się za łamanie dostępu do laptopa kolegi z pokoju. ;]
Może przyda się to gimnazjalistom kontrolowanym w kościele: http://my.opera.com/Jurgi/blog/palec-bozy-palce-niebozat — będą wreszcie mogli wysłać kolegę w zastępstwie. :P
Drugi z poradników był na Instructables w angielskiej wersji (jakiś remake), film zniknął, fotki z niego można obejrzeć w moim wpisie.
jeżeli chodzi o zdobycie palca czy też ręki prze odcięcie :-) może być problem z niektórymi czytnikami ponieważ sprawdzają czy płynie krew. jakoś w zeszłym roku czytałem artykuł o próbie kradzieży mercedesa, złodziej przed kradzieżą auta odciął palec właścicielowi no i był zaskoczony że nie udało mu się dostać do auta a właściciel został bez palca :-)
“… a twoje dane już zostały przekazane do sponsora nagród, firmy Lockpicker.pl”
no to adres już mają, a kluczy nie potrzebują
A gdzie jest treść odpowiedzi. Z chęcią poznałbym plan Sebastiana Pabiasza.
Pozdrawiam
No właśnie, gdzie zwycięska odpowiedź?
Sebastian zawarł w swojej odpowiedzi większość z w/w metod i jako to właśnie on podrzucił trzeci film z tego postu.
“no to adres już mają, a kluczy nie potrzebują” – może zamiast standardowego zamka ma czytnik linii papilarnych?;)
Czy warto dla paru srebrników robić krzywdę drugiemu człowiekowi? Warto wchodzić w konflikt z prawem? Gdyby zaś chodziło o bardzo wielką kasę, to osoby biorące udział w oszustwach nie potrzebują odcisków palców figuranta, bo mają dostęp do bazy danych odcisków, więc mogą dowolnie manipulować uprawnieniami autoryzacji. Jako przykład utwierdzający mnie w tym przekonaniu niech posłuży artykuł traktujący o fałszerstwie sztabek złota w Banku Rezerw Federalnych: http://www.bibula.com/?p=19304
Dość ciekawy artykuł o rozpoznawania linii papilarnych i nie tylko
http://www.zabezpieczenia.com.pl/2006101265/artykuly/biometria/biometria_-_charakterystyka_danych_czlowieka_-_czesc_2
Pozdrawiam
[…] To tyle! Zachęcamy do poznania opracowań odpowiedzi na dwa pozostałe pytania konkursowe: Jak oszukać zamek szyfrowy oraz jak obejść zabezpieczenia czytników linii papilarnych. […]
Problem (wraz z kilkoma rozwiązaniami) opisany w książce “Limes inferior”(1982) Janusza A. Zajdla
[…] ataki opisywali nasi czytelnicy w zeszłorocznym konkursie dotyczącym metod ataków na czytniki biometryczne. Nie można też zapominać o całkiem niezłym łamaczu haseł na iPhony oraz podobnych błędach […]
[…] To że oszukiwanie systemów odcisków palca nie jest niemożliwe, można zobaczyć np. w serwisie Niebezpiecznik, tym łatwiej sobie wyobrazić stworzenie fałszywych ukrytych […]
Jak obejść czytnik lini papilarnych? Zwyczajnie,szerokim łukiem.
[…] Wpadek na polu biometrii jest sporo. Czytniki linii papilarnych dało się oszukiwać przez tak trywialne triki jak przyłożenie zwykłej fotografii po odrobinę trudniejsze wykonanie odlewu kciuka w żelatynie — omijanie zabezpieczeń czytników linii papilarnych opisywaliśmy w szczegółach już 3 lata temu. […]
[…] tym, że czytniki linii papilarnych można oszukiwać, pisaliśmy już wielokrotnie. Do tej jednak pory, Touch ID, przedstawiany przez samo Apple jako innowacyjny i […]