Képzeljük magunk elé egy tipikus digitális-betörős amerikai film fő jeleneteit: a bankokban, szupertitkos központokban a biztonsági rendszerek nemcsak holmi jelszavakból állnak, hanem nyomásérzékelős padlóból, íriszazonosításból (ez az, amikor a szemünket kell leszkennelni a belépéshez), ujjlenyomat-leolvasóból és tenyérlenyomat-olvasóból. Nyilván azért, mert ezek a legbiztonságosabb dolgok. Vagy mégsem? Az úgynevezett biometrikus azonosra épülő biztonsági rendszerek etikus hekkelésével foglalkozik az Magyarországon Óbudai Egyetem egyik csoportja is.
Az elmúlt években többször előadtak a Hacktivityn, Magyarország legnagyobb fehér kalapos (jó szándékú) hekkerkonferenciáján, elbukott már a színpadon az ujjlenyomat-azonosítás ugyanúgy, mint az arcfelismerés, és pont tavaly demonstrálták, hogy tesztkörnyezetben mennyire máshogy tudnak viselkedni ipari szoftverek, mint a valós életben (pont erről szól a Volkswagen hatalmas botránya is). Most a tenyérlenyomat volt a soros: Fehér András, Kapitány Sándor Martinkovics Dániel és Otti Csaba kiválasztott két önként jelentkezőt a színpadról, beszkennelték a tenyerüket, majd jól visszaéltek vele.
Felmerül a kérdés, hogy egyáltalán miért használnak kézgeometriai azonosítást, amikor ott van sok más, korábban felsorolt technológia. A szakértők szerint ennek az eszköznek megvan a helye az iparban, jól jön ott, ahol nincs sok idő, de rengeteg felhasználót kell azonosítani: például egy gyárban, ahol a kártya nem elég, mert azt bárki odaadhatja a haverjának, hogy menjen be dolgozni helyette, és ha elég sokan vannak, senki sem nem fog feltűnni.
A baj csak az, hogy a biztonságos azonosításra szánt eszköz biztonsága hagy kivetni valót maga után. A kutatók néhány perc alatt beléptek a rendszerbe hamis személyazonossággal, vagy úgy, hogy átverték a gépet, vagy úgy, hogy el is lopták az eredeti bejelentkező. személyazonosságát.
Elég lefényképezni valakinek a kezét
A hekkeléshez érdemes kicsit megnézni a gép működését:
- A tenyér nem tűnik egyedinek, mégis az: harminc azonosítási ponttal simán lehet annyira egyedi, akár egy ujjlenyomat-olvasó.
- Viszont a szkenner nem végez valódi azonosítást: előre eltárolják a rendszerben a hozzáférést kapott felhasználók adatait, amihez egy PIN-kódot rendelnek.
- Amikor bejelentkezik valaki, először ezt a PIN-kódot kell megadni (ami lényegében csak egy felhasználói azonosító, olyan, mint a felhasználónév a felhasználónév-jelszó párosból);
- A PIN-kód megadása után a rendszer előkeresi a már beszkennelt tenyérlenyomatot, és aztán a frissen szkennelt tenyérrel ezt hasonlítja össze.
A kutatóknak ezt a rendszert több helyen is sikerült megtörniük. Először is, kiderült, hogy
ami nyomokban tenyérre hasonlít. Ezt simán be lehetett szkennelni a rendszerrel, bőven bevette tenyérnek. Jó, lehet, hogy valakinek ilyen a tenyere, ha átment rajta egy úthenger, de talán ennyire mégsem kellene szélső értékekre tervezni.
A java viszont csak ezután jött: elég egy nem is annyira jó minőségű fotót (mobillal is simán megoldható) készíteni valakinek a kezéről, kinyomtatni megfelelő méretben, kis szivaccsal kitömködni, és máris beléphetünk az áldozat nevében. Akarom mondani, kezében. Az ipari biztonsági rendszerekről a filmek alapján mindig azt képzeljük, hogy ugyan fel lehet törni őket, de ahhoz aztán már tényleg csúcs profinak kell lenni, jó sok pénzzel, megfelelő technológiával. Hát, eléggé kijózanító pofon a magyar szakemberek előadása.
A biztonsági rendszerben tojtak a biztonságra
A meglepetéseknek viszont még ezzel sincs vége. Gyárakban előfordul, hogy valakinek megsérül a keze, innentől nem lehetne azonosítani. Alapvetően ezeket a rendszereket a jobb kéz azonosítására tervezik, de pont a sérülések miatt kapott egy speciális funkciót is: a bal kezet is oda lehet pakolni ilyenkor azonosításhoz, csak ezt külön be kell állítani a felhasználóhoz.
A hekkernek ilyenkor nincs más dolga, minthogy megszerezze a kedvezményezett felhasználó azonosítóját,
a balkezesekkel, csak kijelzi, hogy azonosította, de ha egy másik kezet tesznek oda neki, akkor is ezt csinálja.
Nehéz erre mit mondani, de ennél nagyobb gáz is van a rendszerben: az ilyen olvasóknak csatlakozniuk kell valamilyen adatbázishoz, amiben eltárolják a felhasználókat. Azt azért tudjuk, hogy az ipar lassan reagál, ez pedig bőven kihat a biztonságra, de azért azt gondolnánk, hogy kifejezetten a biztonság miatt tervezett eszközöknél azért kicsit jobban figyelnek rá.
Tévedés. A szakemberek által kivesézett olvasó olyan elavult adatbázist használ, hogy a jelszavakat az internetről letöltött programmal pár perc alatt ki lehet húzni belőle, utána tetszés szerint módosítható az adatbázis, aztán visszatölthető a rendszer. Szóval, ha valaki bárhogy, akár távolról hozzáfér az adatbázishoz (manapság lustaság miatt nem ritka, hogy az ipari gépek rajta lógnak a belső hálón, ami meg az interneten, innen pedig már nincs megállás), simán felvisz egy új felhasználót vagy kicserél tetszőleges adatokat és már bent is van.