23 мая 2019

Хроники PHDays 2019: биометрия – «серебряная пуля» или «грязная» бомба?

Начиная технический доклад «Атаки на биометрические системы, мировой и российский опыт противодействия» директор Проектного офиса Единой биометрической системы «Ростелекома» был предельно скромен. Он сразу согласился с принадлежностью пальмы первенства в биометрических и ИБ-компетенциях залу и пообещал лишь добротный обзор по проблеме, обозначенной в названии доклада, и набор ссылок, которые позволят желающим узнать ещё больше.

Но и услышанного оказалось достаточно для перехода в состояние, которое испытывает боксёр после пропущенного лёгкого, но меткого хука слева.

Собственно плохие предчувствия появились уже после второго слайда, на котором блок-схема процесса биометрической идентификации стала обрастать векторами атак. После такого метрики ИБ легко превращаются в труху.

Но Олег Ковпак человеколюбиво пожалел аудиторию и не стал останавливаться на ИБ-угрозах «общей», что называется, природы. Имелись ввиду атаки на каналы передачи данных, атаки с подменой биометрической шаблонов и прочие «очевидные» вещи, уже не раз использовавшиеся плохими киберпарнями.

Директор Проектного офиса сосредоточился на рассказе об атаках на биометрический сенсор, призванный распознавать человеческое лицо.

Сколько победных реляций пришлось слышать до этого, о том, как этот самый сенсор вкупе со всей ИТ-обвязкой останавливал сомнительные личности на границе запретного для них пространства. Дорого стоит один только случай с болельщиком на ЧМ 2018 по футболу. Того (болельщика из запретного списка) день за днём не спасали от распознавания ни гримасы, ни очки, ни головные уборы и капюшоны.

Но, как оказалось, не всё так бело и пушисто в этом мире.

В создании моделей угроз для технологии распознавания лиц и в их творческой реализации оказались весьма изобретательны не только аналитики, но и, например, простые афроамериканцы. Чего только стоит силиконовая маска, что называется «по пояс», с помощью которой гражданин США с тёмным цветом кожи выдавал себя за белого «плохого парня», белого ото лба и до «вам по пояс будет». Выручила американскую правоохранительную систему лишь добрая старая дактилоскопия.

Не лечит проблему и модное ныне машинное обучение. Олег Ковпак привёл конкретные примеры, когда гомеопатическое «подмешивание» в обучающий «датасет» невинной картинки, похожий на ту, что используют окулисты при выявлении дефектов восприятия цветов, приводила к тому, что образ милого шпица оказывался с точки зрения машинного интеллекта эквивалентным изображению гиббона. А фото Риз Уизерспун в авангардного вида очках машина принимала за Кевина Спейси.

Да что там искусственный интеллект! Простой фотошоп ещё не сказал своего последнего слова. Как оказалось, фото, на котором гармонично сочетались, плавно перетекая одни в другие, черты лица Барака Обамы и одного из Бушей, можно было бы использовать для доступа к тому, что защищено биометрией лица любого из этих президентов.

Рассказ Олега Ковпака о мифах и рифах биометрической идентификации по лицу инициировал активную дискуссию в зале Архимед конференции Positive Hack Days 9. Широкому обсуждению подверглись эта и альтернативные технологии биометрической идентификации, включая и рисунок кровеносных сосудов кисти руки, и динамику текстового набора на клавиатуре разного рода девайсов, и ещё большую экзотику. Докладчик щедро делился своими знаниями с залом, слушатели отвечали взаимностью. И тягостные впечатления от несовершенства этого мира, втягивающего население в биометрические игры, хотя бы частично сменились оптимистическими настроениями на базе принципа «возьмёмся за руки друзья, чтоб не пропасть поодиночке».

Марк Новодачный

Мы в соцсетях