Pesquisas recentes têm demonstrado vulnerabilidade dos sistemas de reconhecimento de impressões digitais
O estudo DeepMasterPrints: Gerando Chaves Mestres para Ataques de Dicionário através da Evolução de Variáveis Latentes – foi apresentado durante a 9ª edição da Conferência Internacional BTAS – Biometrics: Theory, Applications, and Systems – que reuniu mais de 130 participantes de 14 países entre os dias 22 a 25 de outubro em Los Angeles – USA.
A BTAS é organizada pela Universidade de (USC) Information Sciences Institute do Sul da Califórnia, em cooperação com o Conselho IEEE Biometrics.
A premiação da BTAS
O comitê de premiação da BTAS, concedeu, entre os 51 artigos inscritos, o prêmio de melhor artigo ao estudo DeepMasterPrints: Gerando Chaves Mestres para Ataques de Dicionário através da Evolução de Variáveis Latentes.
O estudo foi elaborado por Philip J. Bontrager, Aditi Roy, Julian Togelius, Nasir Memon da NYU – New Universidade de York e por Arun Ross da Michigan State University.
DeepMasterPrints
Os pesquisadores usaram uma rede neural para gerar impressões digitais artificiais que funcionam como “chave mestra” para sistemas de identificação biométrica e provaram que impressões digitais falsas podem ser criadas. O estudo apresentou uma precisão superior aos métodos anteriores.
O método desenvolvido pelos pesquisadores de NYU trata de como evolução variável latente, baseia-se na formação de uma rede neural contraditória em um conjunto de imagens de impressão digital real.
De acordo com o estudo apresentado na BTAS, as impressões digitais geradas artificialmente, denominada pelos pesquisadores como “DeepMasterPrints”, conseguiram imitar mais de uma em cinco impressões digitais em um sistema biométrico que deve ter apenas um erro – taxa de um em mil.
Philip Bontrager, que lidera o grupo dos pesquisadores afirmou que…
“O método provavelmente terá amplas aplicações em segurança de soluções que utilizam a impressão digital. Como em muitas pesquisas de segurança, a demonstração de falhas em sistemas de autenticação existentes é considerada importante para que no futuro sejam desenvolvidas soluções mais seguras.”
DeepMasterPrints utiliza duas propriedades dos sistemas de autenticação baseados em impressão digital
Razões ergonômicas
A primeira é que, por razões ergonômicas, a maioria dos leitores de impressões digitais não lê o dedo inteiro de uma vez, em vez disso, imagina a parte do dedo que toca o scanner.
Os sistemas não combinam todas as imagens parciais para comparar o dedo inteiro com um registro completo; em vez disso, eles simplesmente comparam a varredura parcial com os registros parciais. Isso significa que um invasor precisa corresponder a apenas uma das dezenas ou centenas de impressões digitais salvas para receber acesso.
Características das impressões digitais
A segunda é que algumas características das impressões digitais são mais comuns do que outras. Isso significa que uma impressão falsa que contenha muitos recursos comuns é mais provável de combinar com outras impressões digitais do que o simples acaso sugeriria.
Com base nesses insights, os pesquisadores usaram uma técnica comum de aprendizado de máquina para criar artificialmente novas impressões digitais que combinassem o maior número possível de impressões digitais parciais.
A rede neural não apenas permitiu que eles criassem várias imagens de impressão digital, mas também criava falsificações que pareciam convincentemente uma impressão digital real a um olho humano – uma melhoria em uma técnica anterior, que criava impressões digitais irregulares que enganariam um scanner, mas não uma inspeção visual.
Ataques de dicionário
Eles comparam o método a um “ataque de dicionário” onde são utilizadas contrassenhas em que um hacker apresenta ao sistema de segurança uma lista de senhas comuns gerada previamente.
Tais ataques podem não ser capazes de entrar em qualquer conta específica, mas quando usados em escala, geram sucessos suficientes para valer o esforço.
O uso indiscriminado das características biométricas
As impressões biométricas são utilizadas para autenticação e assinatura eletrônica para os mais variáveis fins. E em especial, nessa última década, cresceu muito a utilização da biometria para autenticação à sistemas e dispositivos eletrônicos, para acessos físicos à prédios comerciais, academias de ginástica, em carros e em residências. Também a biometria está sendo aplicada a identificação de pessoas que cometem crimes e podem ser localizadas mesmo entre milhares de pessoas em grandes eventos como shows ou partidas de futebol ou enquanto utilizam transportes públicos.
O método consiste em reconhecer a similaridade entre a impressão biométrica captada e os dados armazenados eletronicamente acessados pelos sistemas.
As impressões biométricas mais comuns são: impressão digital dos dedos, geometria das mãos, identificação pelo padrão de veias, reconhecimento facial, leitura da íris, identificação da pupila, identificação por voz e batimento cardíaco. Já as impressões biométricas comportamentais mais comuns identificam padrões como digitação e forma de andar.
A impressão digital – fingerprint, é o método de biometria mais antigo e o mais usado no mundo atualmente. Acredita-se que fingerprint representa aproximadamente 40% do mercado de biometrias por ser mais econômica comparado aos outros métodos e pela facilidade de ser coletada.
Autenticação da Impressão biométrica
Durante séculos, as assinaturas eram feitas por meio das assinaturas manuscritas ou pelas impressões digitais, forma geralmente utilizada por pessoas não alfabetizadas.
A validação de uma assinatura é feita pela comparação de várias características existentes seja na assinatura manuscrita ou nos padrões biométricos.
A revalidação da assinatura manuscrita é feita periodicamente com o objetivo de contextualizar as variações do grafismo que podem provir de motivos naturais como a evolução entre infância, maturidade e velhice e/ou outros fatos particulares.
Da mesma forma, é necessário revalidar periodicamente os padrões biométricos dos indivíduos. A impressão digital das pessoas pode sofrer modificações ao longo dos anos devido a possíveis cicatrizes adquiridas por cortes ou queimaduras além do desgaste devido, por exemplo, a utilização de luvas, lixas e materiais corrosivos. O mesmo pode acontecer em relação a outras características biométricas, e essas variações não são tão raras como se imagina.
Como revalidar os padrões biométricos em tantos bancos de dados?
Atualmente a coleta dos padrões biométricos das pessoas vem sendo feita indiscriminadamente para incalculáveis finalidades. Ou seja, as impressões biométricas dos indivíduos estão armazenadas em diversos bancos de dados e as pessoas geralmente desconhecem em quantos e quais bancos de dados estão armazenadas suas impressões digitais.
A biometria é um método de autenticação fascinante, mas exigirá ainda muitas pesquisas e estudos e atenção por parte dos desenvolvedores de aplicações a possíveis vulnerabilidades e ao aprimoramento constante de recursos de segurança.
Quanto ao aspecto regulatório, parece que governos e legisladores não estão dando atenção devida a essa coleta indiscriminada das digitais da população mundial.
Se você tem conhecimento de leis que resguardam as pessoas quanto ao direito de não compartilhar suas impressões digitais, envie um email pra redacao@localhost.
Acompanhe nossa coluna sobre BIOMETRIA !
[Ouça] Biometria facial: caminho sem volta – Por Márcio Nunes
Mobi-ID: seminário discutirá o mercado de identificação e autenticação digitais