| Starije izmjene na obje strane
Starija izmjena
Novija izmjena
|
Starija izmjena
|
racfor_wiki:seminari2023:metode_napada_na_biometriju_otiska_prsta [2024/01/21 18:13]
lmicic [Literatura] |
racfor_wiki:seminari2023:metode_napada_na_biometriju_otiska_prsta [2024/12/05 12:24] (trenutno)
|
| |
| ===== Naslov ===== | ===== Metode napada na biometriju otiska prsta ===== |
| Metode napada na biometriju otiska prsta | |
| |
| |
| |
| ===== Sažetak ===== | ===== Sažetak ===== |
| | Seminar istražuje sigurnosne izazove biometrijskih sustava, posebno fokusirajući se na napade otiske prstiju. Biometrijski sustavi, iako namijenjeni poboljšanju sigurnosti, suočavaju se s inherentnim ranjivostima poput pouzdanosti senzora, nepouzdanosti algoritama te nesigurnosti komunikacije. Nedostatak edukacije korisnika također predstavlja ranjivost, a stvarni primjeri napada, poput masovnog napada na Ured za upravljanje osobljem SAD-a 2015. i replikacije otisaka prstiju putem 3D printanja, ističu ozbiljnost prijetnji. |
| | |
| | KLJUČNE RIJEČI: Biometrijski sustavi, napadi, otisci prstiju, ranjivosti, sigurnosne mjere obrane, enkripcija podataka |
| |
| |
| |
| ===== Uvod ===== | ===== Uvod ===== |
| U današnjem digitalnom dobu, biometrijski sustavi, poput prepoznavanja lica, skeniranja rožnice i otisaka prstiju, postali su neizostavan dio naše svakodnevice. Svrha im je povećati razinu sigurnosti pristupa uređajima i informacijama, nudeći istovremeno visok stupanj praktičnosti. No, unatoč inicijalnom dojmu o neprobojnoj sigurnosti, posljednjih godina bilježimo porast hakerskih napada na biometrijske sustave, otvarajući pitanje o njihovoj pouzdanosti. | U današnjem digitalnom dobu, biometrijski sustavi, poput prepoznavanja lica, skeniranja rožnice i otisaka prstiju, postali su neizostavan dio naše svakodnevice. Svrha im je povećati razinu sigurnosti pristupa uređajima i informacijama, nudeći istovremeno visok stupanj praktičnosti. No, unatoč inicijalnom dojmu o neprobojnoj sigurnosti, posljednjih godina bilježimo porast napada na biometrijske sustave, otvarajući pitanje o njihovoj pouzdanosti. |
| |
| |
| Ovaj seminar istražuje metode napada na biometriju otiska prsta te neovlaštene pristupe biometrijskim podacima pojedinca. Iako se biometrijski podaci smatraju jedinstvenima za svaku osobu i načelno sigurnijima od tradicionalnih metoda poput lozinki ili PIN-ova, postavlja se pitanje može li se i ta vrsta identifikacije zaobići. U tekstu ćemo raspravljati o različitim tehnikama napada, uključujući korištenje uređaja poput skimmera na bankomatima, tehniku prijevare koja uključuje izradu lažnih otisaka prstiju ili slika rožnice, te tzv. "replay attack" gdje hakeri snimaju biometrijske podatke ovlaštenog korisnika i reproduciraju ih za pristup sustavu. Nadalje, analizirat ćemo stvarne slučajeve biometrijskih napada, uključujući veliki incident iz 2015. kada je Ured za upravljanje osobljem SAD-a doživio masovno probijanje sigurnosti s gubitkom podataka milijuna ljudi. Ovaj incident izazvao je ozbiljnu zabrinutost u vezi s pouzdanošću biometrijskih podataka i njihovom zloupotrebom u svrhu krađe identiteta ili drugih zlonamjernih ciljeva. Analizom različitih metoda obrane, uključujući višefaktorsku autentifikaciju, edukaciju korisnika i implementaciju sigurnosnih mjera na razini tvrtke, seminar će pružiti cjelovit uvid u trenutačno stanje biometrijske sigurnosti. | Ovaj seminar istražuje metode napada na biometriju otiska prsta [1] te neovlaštene pristupe biometrijskim podacima pojedinca. Iako se biometrijski podaci smatraju jedinstvenima za svaku osobu i načelno sigurnijima od tradicionalnih metoda poput lozinki ili PIN-ova, postavlja se pitanje može li se i ta vrsta identifikacije zaobići. U tekstu ćemo raspravljati o različitim tehnikama napada, uključujući korištenje uređaja poput skimmera, tehniku prijevare koja uključuje izradu lažnih otisaka prstiju ili slika rožnice, te tzv. "replay attack" u kojem napadači snimaju biometrijske podatke ovlaštenog korisnika i reproduciraju ih za pristup sustavu. Nadalje, analizirat ćemo stvarne slučajeve biometrijskih napada, uključujući veliki incident iz 2015. kada je Ured za upravljanje osobljem SAD-a doživio masovno probijanje sigurnosti s gubitkom podataka milijuna ljudi. Ovaj incident izazvao je značajnu zabrinutost u vezi s pouzdanošću biometrijskih podataka i njihovom potencijalnom zloupotrebom u svrhu krađe identiteta ili ostvarivanja drugih zlonamjernih ciljeva. Analizom raznovrsnih metoda obrane, uključujući, ali ne ograničavajući se na, višefaktorsku autentifikaciju, educiranje korisnika te implementaciju sigurnosnih mjera na razini korporacije, predstojeći seminar ima za cilj pružiti sveobuhvatan uvid u trenutačno stanje biometrijske sigurnosti. |
| |
| |
| |
| |
| ===== Ranjivosti ===== | ===== Ranjivosti i napadi===== |
| |
| Biometrijski sustavi, unatoč svojoj namjeri poboljšanja sigurnosti, nisu pošteđeni inherentnih ranjivosti koje mogu biti iskorištene u hakerskim napadima. Istražit ćemo ključne točke ranjivosti koje čine biometrijske sustave metama za cyber prijetnje. | Biometrijski sustavi, unatoč svojoj namjeri poboljšanja sigurnosti, nisu pošteđeni inherentnih ranjivosti koje mogu biti iskorištene u napadima. Stoga ćemo za svaku potencijalnu točku napada opisati ranjivost: |
| | |
| 1.**Pouzdanost senzora:** Ranjivost može započeti s samim senzorima koji prikupljaju biometrijske podatke. Napadači mogu iskoristiti slabosti senzora, uključujući lažne pozitivne i lažne negativne rezultate. | 1.**Pouzdanost senzora:** Ranjivost može započeti s samim senzorima koji prikupljaju biometrijske podatke. Napadači mogu iskoristiti slabosti senzora, uključujući lažne pozitivne i lažne negativne rezultate. |
| |
| 2.**Nepouzdanost algoritama:** Algoritmi koji obrađuju biometrijske podatke nisu uvijek neosporivi. Razne tehnike, poput generiranja lažnih otisaka prstiju, mogu dovesti do neuspjeha sustava u pravilnom prepoznavanju identiteta. | 2.**Nepouzdanost algoritama:** Algoritmi koji obrađuju biometrijske podatke nisu uvijek savršeno zaštićeni. Razne tehnike, poput generiranja lažnih otisaka prstiju, mogu dovesti do neuspjeha sustava u pravilnom prepoznavanju identiteta. |
| |
| 3.**Nesigurnost komunikacije:** Tijekom prijenosa biometrijskih podataka, od senzora do centralne baze podataka, postoji rizik od presretanja. Nezaštićene komunikacijske linije predstavljaju otvorena vrata za hakerske napade. | 3.**Nesigurnost komunikacije:** Tijekom prijenosa biometrijskih podataka, od senzora do centralne baze podataka, postoji rizik od presretanja (Man in the middle attack). |
| |
| 4. **Nedostatak enkripcije**: Nedostatak adekvatne enkripcije biometrijskih podataka čini ih ranjivima na neovlaštene pristupe. Hakeri mogu presresti ili čak manipulirati podacima tijekom pohrane. | 4. **Nedostatak enkripcije**: Nedostatak adekvatne enkripcije biometrijskih podataka čini ih ranjivima na neovlaštene pristupe jer napadači mogu presresti ili čak manipulirati podacima tijekom pohrane. |
| |
| 5. **Fizički napadi:** Postavljanje skimmer-a na uređaje za skeniranje otisaka prstiju ili drugih biometrijskih uređaja predstavlja direktnu prijetnju fizičkim napadima. | 5. **Fizički napadi:** Postavljanjem skimmer-a na uređaje za skeniranje otisaka prstiju ili drugih biometrijskih uređaja. |
| |
| 6. **Replay napadi:** Tehnika replay napada, gdje hakeri koriste snimljene biometrijske podatke, dodatno izlaže ranjivosti sustava. | 6. **Replay napadi:** Tehnika replay napada, prilokom kojeg napadači koriste snimljene biometrijske podatke. |
| |
| 7. **Nedostatak obuke korisnika:** Ljudski čimbenik također može biti ranjivost. Nedostatak obuke korisnika o sigurnosti biometrijskih podataka može rezultirati neopreznim postupcima koji olakšavaju napade | 7. **Nedostatak obuke korisnika:** Ljudski čimbenik također može biti ranjivost. Nedostatak obuke korisnika o sigurnosti biometrijskih podataka može rezultirati neopreznim postupcima koji olakšavaju napade. |
| |
| 8. **Odsutnost pravne regulative:** Nedostatak jasnih zakonskih smjernica o korištenju i zaštiti biometrijskih podataka stvara pravnu prazninu koja može biti iskorištena u zlonamjerne svrhe. | 8. **Odsutnost pravne regulative:** Nedostatak jasnih zakonskih smjernica o korištenju i zaštiti biometrijskih podataka stvara pravnu prazninu koja može biti iskorištena u zlonamjerne svrhe. |
| {{ :racfor_wiki:seminari2023:tocke_napada.png?direct&400 |}} | {{ :racfor_wiki:seminari2023:tocke_napada.png?direct&400 |}} |
| |
| Slika 1: Točke napada | Slika 1: Točke napada [2] |
| |
| **Skimming uređaji**, čija se uporaba svrstava u fizičke napade, su mali, često prijenosni uređaji postavljeni na biometrijske senzore. Ovi uređaji skeniraju i prikupljaju podatke tijekom legitimirane uporabe, često neprimjetno za korisnika, omogućujući hakerima prikupljanje biometrijskih podataka bez znanja vlasnika. | **Skimming uređaji** su mali, često prijenosni uređaji postavljeni na biometrijske senzore. Ovi uređaji skeniraju i prikupljaju podatke tijekom uporabe, obično bez dopuštenja korisnika, omogućujući napadačima prikupljanje biometrijskih podataka bez znanja vlasnika. |
| |
| {{ :racfor_wiki:seminari2023:skimming.jpg?400 |}} | {{ :racfor_wiki:seminari2023:skimming.jpg?400 |}} |
| |
| Slika 2: Skimmer | Slika 2: Skimmer |
| |
| Za razliku od skimmer tehnike koja se bazira na prikupljanju stvarnih podataka, **spoofing** tehnika uključuje korištenje lažnih biometrijskih podataka kako bi se prevarili senzori. Na primjer, koristeći lažni otisak prsta ili lažnu sliku lica, napadači mogu prevariti sustav koji ih uspješno identificira kao legitimne korisnike. | Za razliku od skimmer tehnike koja se bazira na prikupljanju stvarnih podataka, **spoofing** [4] tehnika uključuje korištenje lažnih biometrijskih podataka kako bi se prevarili senzori. Na primjer, koristeći lažni otisak prsta ili lažnu sliku lica, napadači mogu prevariti sustav koji ih uspješno identificira kao legitimne korisnike. |
| |
| Ove metode dodatno ističu izazove s kojima se biometrijski sustavi suočavaju, naglašavajući potrebu za naprednijim sigurnosnim mjerama kako bi se održao integritet biometrijskih podataka. Arhitektura biometrijskog sustava igra ključnu ulogu u određivanju njegove otpornosti na napade. Sustavi koji integriraju višefaktorsku autentifikaciju, čvrstu enkripciju podataka i sustave za praćenje nepravilnosti povećavaju svoju sposobnost obrane od raznovrsnih prijetnji i napada. | Ove metode dodatno ističu izazove s kojima se biometrijski sustavi suočavaju, naglašavajući potrebu za naprednijim sigurnosnim mjerama kako bi se očuvao integritet biometrijskih podataka. Arhitektura biometrijskog sustava igra ključnu ulogu u određivanju njegove otpornosti na napade, te sustavi koji integriraju višefaktorsku autentifikaciju, čvrstu enkripciju podataka i sustave za praćenje nepravilnosti povećavaju svoju sposobnost obrane od raznovrsnih prijetnji i napada. |
| |
| ==== Sigurnosne mjere obrane u biometrijskom sustavu ==== | ==== Sigurnosne mjere obrane u biometrijskom sustavu ==== |
| |
| ==== Stvarni primjeri napada ==== | ==== Stvarni primjeri napada ==== |
| Kroz iduća dva značajna primjera ilustrirat će ozbiljnost prijetnji s kojima se susreću biometrijski sustavi: | Kroz iduća tri primjera ilustrirat će ozbiljnost prijetnji s kojima se susreću biometrijski sustavi: |
| |
| **1. Napad na Ured za upravljanje osobljem SAD-a (OPM), 2015. godine:** Ured za Upravljanje Osobljem SAD-a postao je žrtvom masivnog napada u kojem su osobne informacije više od 21 milijuna ljudi bili kompromitirani. Posebno zabrinjavajuća činjenica bila je ta što su napadači uspjeli doći do podataka otisaka prstiju 5.6 milijuna pojedinaca, čineći ovaj incident jednim od najvećih poznatih slučajeva ugrožavanja biometrijskih podataka. | **1. Napad na Ured za upravljanje osobljem SAD-a (OPM), 2015. godine [5]:** Ured za Upravljanje Osobljem SAD-a postao je žrtvom masivnog napada u kojem su osobne informacije više od 21 milijuna ljudi bili kompromitirani. Posebno zabrinjavajuća činjenica bila je ta što su napadači uspjeli doći do podataka otisaka prstiju 5.6 milijuna pojedinaca, čineći ovaj incident jednim od najvećih poznatih slučajeva ugrožavanja biometrijskih podataka. |
| |
| **2. Replikacija otisaka prstiju pomoću 3D printanja, 2017. godina:** otkriven je propust u načinu obrade otisaka prstiju na određenim Android uređajima. Otkriveno je da napadač može ekstrahirati podatke otisaka prstiju iz uređaja i koristiti ih za stvaranje trodimenzionalne replike otiska prsta. | **2. Replikacija otisaka prstiju pomoću 3D printanja, 2017. godina:** otkriven je propust u načinu obrade otisaka prstiju na određenim Android uređajima. Otkriveno je da napadač može ekstrahirati podatke otisaka prstiju iz uređaja i koristiti ih za stvaranje trodimenzionalne replike otiska prsta. |
| |
| **3. "BrutePrint":** Istraživanje provedeno od strane kineskih znanstvenika Yu Chena i Yiling He otkirlo je ranjivosti u implementaciji generičkog senzora otiska prsta na Android pametnim telefonima, nazvavši napad "BrutePrint". Otkriveni nedostaci - Cancel-After-Match-Fail (CAMF) i Match-After-Lock (MAL), omogućuju napadaču da izvede napad bez fizičkog kopiranja otiska prsta. CAMF iskorištava multisampling metodu senzora, omogućujući ciklus pokušaja autentikacije i ponovni početak nakon pogreške, dok MAL omogućuje slanje novih slika čak i nakon neuspješnog pokušaja autentikacije. Svi testirani pametni telefoni su bili ranjivi na barem jedan od ovih napada. | **3. "BrutePrint" [6]:** Istraživanje provedeno od strane kineskih znanstvenika Yu Chena i Yiling He otkirlo je ranjivosti u implementaciji generičkog senzora otiska prsta na Android pametnim telefonima, nazvavši napad "BrutePrint". Otkriveni nedostaci - Cancel-After-Match-Fail (CAMF) i Match-After-Lock (MAL), omogućuju napadaču da izvede napad bez fizičkog kopiranja otiska prsta. CAMF iskorištava multisampling metodu senzora, omogućujući ciklus pokušaja autentikacije i ponovni početak nakon pogreške, dok MAL omogućuje slanje novih slika čak i nakon neuspješnog pokušaja autentikacije. Svi testirani pametni telefoni su bili ranjivi na barem jedan od ovih napada. |
| |
| {{ :racfor_wiki:seminari2023:camf.png?direct&400 |}} | {{ :racfor_wiki:seminari2023:camf.png?direct&400 |}} |
| Posljednje poglavlje opisuje dva napada na biometrijske sustave, stvaranjem lažnih otisaka prstiju i zloupotrebom podataka u Android uređajima. | Posljednje poglavlje opisuje dva napada na biometrijske sustave, stvaranjem lažnih otisaka prstiju i zloupotrebom podataka u Android uređajima. |
| Unatoč izazovima, biometrijski sustavi zadržavaju ključnu ulogu u osiguravanju identiteta i pristupa osjetljivim informacijama, međutim prostora za napredak ima i kao i za sve grane kibernetičke sigurnosti potrebna su konstantna istraživanja i edukacija krajnjih korisnika. | Unatoč izazovima, biometrijski sustavi zadržavaju ključnu ulogu u osiguravanju identiteta i pristupa osjetljivim informacijama, međutim prostora za napredak ima i kao i za sve grane kibernetičke sigurnosti potrebna su konstantna istraživanja i edukacija krajnjih korisnika. |
| | |
| | ==== Link na video prezentaciju seminara ==== |
| | [[https://ferhr-my.sharepoint.com/:f:/g/personal/lm119124544_fer_hr/EmDpk5B_n65Gqt-cXwK8bf0BWXHt_XPM_4WQO-O_EKtGHQ?e=Kf0lRl]] |
| |
| |
| ===== Literatura ===== | ===== Literatura ===== |
| |
| [1] [[https://hr.wikipedia.org/wiki/]] | [1] [[https://www.innovatrics.com/glossary/biometric-system/]] |
| |
| [2] Umut Uludag, Anil K. Jain :Attacks on Biometric Systems: A Case Study in Fingerprints | [2] Umut Uludag, Anil K. Jain :Attacks on Biometric Systems: A Case Study in Fingerprints |
