Bezpieczeństwo odcisków palców

payload.pl 3 lat temu

W 1880 roku szkocki fizyk Henry Faulds udowodnił, iż jest możliwa identyfikacja osób na podstawie ich odcisków palców. w tej chwili daktyloskopia jest jedną z czołowych metod identyfikacyjnych w kryminalistyce. Ustalenie tożsamości sprawcy przestępstwa ma bowiem najważniejsze znaczenie dla przebiegu całego postępowania karnego.

Daktyloskopia opiera się na trzech podstawowych zasadach dotyczących linii papilarnych:

  • niepowtarzalności (nie ma dwóch osób z identycznym układem linii papilarnych)
  • nieusuwalności (jedynie głębokie rany, oparzenia lub choroby mogą zmienić wygląd linii papilarnych)
  • niezmienności (linie papilarne są niezmienne od okresu prenatalnego człowieka, aż do całkowitego ich rozkładu po jego śmierci)

Zaawansowana technologia identyfikacji odcisków palców

Jeszcze całkiem niedawno wydawało się, iż odciski palców można ściągać tylko bezpośrednio z powierzchni przedmiotów metodami fizycznymi, chemicznymi czy mechanicznymi. Tymczasem coraz bardziej zaawansowana technologia pobierania odcisków palców pozwala na ich pobieranie na całkiem nowe sposoby, a ich ​​opracowywanie, gromadzenie i identyfikacja są coraz szybsze i skuteczniejsze. Zaś z punktu widzenia przestępcy – coraz trudniej uniknąć przypadkowego pozostawienia śladów.

Fluorescencja mikro-rentgenowska

W 2005 roku naukowcy z Uniwersytetu Kalifornijskiego pracujący w Los Alamos National Laboratory użyli fluorescencję mikro-rentgenowską (MXRF) do opracowania obrazowania odcisków palców. MXRF wykrywa obecność soli sodu, potasu i chloru a także wiele innych pierwiastków w odciskach palców. Elementy są wykrywane w zależności od ich położenia na powierzchni. Lokalizują te odciski palców, które w tzw. grzbietach ciernych mają osadzone w/w sole.

Technika MXRF jest nieinwazyjna – odcisk palca analizowany tą metodą pozostaje nienaruszony do zbadania innymi metodami, takimi jak ekstrakcja DNA. Niestety nie wszystkie odciski palców zawierają wystarczającą ilość wykrywalnych elementów, aby można je było „zobaczyć”. Przewiduje się jednak, iż ta metoda może być podstawą tradycyjnych technik wzmacniania kontrastu na miejscach zbrodni. Nie wymaga bowiem żadnych zabiegów chemicznej obróbki, które są nie tylko czasochłonne, ale mogą trwale zmienić dowody.

Wydruki z metalowych przedmiotów

W 2008 roku naukowcy z University of Leicester w Wielkiej Brytanii opracowali technikę poprawiającą widoczność odcisków palców na metalowych przedmiotach. Odkryli, iż osady chemiczne, które tworzą odciski palców, mają adekwatności elektroizolacyjne – czyli blokują prąd elektryczny, choćby przy najmniejszej grubości materiału. Wykorzystując prąd elektryczny do osadzania kolorowej warstwy elektroaktywnej, która pojawia się na obszarach między osadami odcisków palców, można stworzyć negatywny obraz odcisku w tak zwanym obrazie elektrochromowym. Metoda ta jest niezwykle czuła i sprawdza się choćby gdy odciski palców zostały wytarte lub choćby zmyte wodą z mydłem.

Folia fluorescencyjna zmieniająca kolor

Od 2008 roku naukowcy z Leicester doskonalili swój proces, dodając cząsteczki fluoroforu do filmu wrażliwego na światło i promienie ultrafioletowe. Folia fluorescencyjna daje dodatkową możliwość do opracowywania kontrastujących kolorów utajonych odcisków palców – elektrochromowych i fluorescencyjnych. Zapewnia ona trzeci kolor, który można ustawić tak by uzyskać obraz odcisków palców o wysokim kontraście.

A co w technice informatycznej?

W kwestii opracowywania coraz to nowszych metod pobierania odcisków palców, nauka czyni postępy również w dziedzinie technologii informatycznej. Kolejne możliwości i metody coraz bardziej zaskakują swoim nowatorstwem, a jednocześnie są na tyle skuteczne i wiarygodne, iż zebrane dowody mogą być użyte w sądzie.

Optymalne dopasowanie

W 2011 roku FBI uruchomiło system Advanced Fingerprint Identification Technology (AFIT), który usprawnił usługi przetwarzania odcisków palców. W systemie zaimplementowano algorytm dopasowywania odcisków palców, który zwiększył dokładność z 92% do ponad 99,6%. Przez pięć pierwszych dni działania AFIT dopasował ponad 900 odcisków palców, które wcześniej nie zostały dopasowane przy użyciu starego systemu. Dzięki AFIT udało się zmniejszyć liczbę wymaganych ręcznych przeglądów odcisków palców o 90%.

Oszukać telefona

Okazuje się, iż odciskami palca odczytanymi ze zdjęć można oszukać czujniki w telefonach i komputerach. Popularnonaukowy kanał youtube’owy Emce kwadrat przedstawił filmiki, które przedstawiają próbę kradzieży odcisków palców przez Internet, ze zdjęcia lub z filmu. Twórcy filmików wydobyli odciski palców dzięki zdjęciom wykonanych telefonem. Wydrukowano je tuszem z drobinkami srebra, które przewodzi prąd.

Udowodniono, iż pomocą pozyskanych odcisków ze zdjęć da się odblokować telefona:

Za pomocą wydruku 3D przedstawiono próbę oszukania czytników linii papilarnych:

Wynik doświadczenia zaskakuje i jednocześnie przeraża – aby oszukać telefon, naprawdę nie trzeba dużego nakładu kosztów! Budzi to ogromne obawy, ponieważ aplikacje bankowe, czy do tzw. szybkich płatności, coraz częściej korzystają z czytników linii papilarnych do potwierdzania transakcji.

Nie zostawiaj śladu na szkle

Lider zespołu X-Lab, Chen Yu przedstawił swoje odkrycie podczas konferencji hakerskiej GeekPwn w 2019 roku w Szanghaju. Poproszono jednego z widzów o dotknięcie szklanki, a powstałe odciski palców sfotografowano. dzięki wspomnianej aplikacji zdjęcie zostało przetworzone i utworzono model fizyczny odcisku palca przy użyciu sprzętu, którego nie przedstawiono publicznie. Technika ta została wykorzystana do skutecznego odblokowania telefonów zabezpieczonych trzema różnymi typami czytników: ze standardową płytką dotykową, czytnikiem optycznym i ultradźwiękowym.

Kolejne przypadki

Podobny przykład oszukania czytnika linii papilarnych wbudowanych w ekran telefonu dzięki wydruku 3D swojego odcisku palca udowodnił jeden z użytkowników Samsunga Galaxy S10.

Na jednej ze stron do hostingu zdjęć (Imgur), użytkownik opublikował swoje doświadczenie. Najpierw wykonał telefonem zdjęcie swojego odcisku palca, który pozostał na kieliszku wina, późnej dzięki Photoshopa zwiększył kontrast i wykonał maskę alfa. Następnie stworzył trójwymiarowy model posługując się programem graficznym 3ds Max i wydrukował płytkę z odciskiem. Płytką odblokował telefon Samsung Galaxy S10.

Przypadki te tylko potwierdzają, iż czytniki linii papilarnych nie są tak bezpieczne, jak się dotąd wydawało.

Innym razem, w 2017 roku policji udało się obejść zabezpieczenia biometryczne telefonu. Wykorzystano druk 3D, by dostać się do telefonu ofiary morderstwa. Tego samego roku firma zajmująca się cyberbezpieczeństwem posłużyła się wydrukowaną za 150 USD maską twarzy, by oszukać system FaceID w iPhonie X.

Jak zapewnić ochronę własnym odciskom palców?

Naukowcy ostrzegają, iż podatne jest wiele urządzeń i zalecają, by zawsze wycierać swoje linie papilarne ze szklanych powierzchni w miejscach publicznych, bo nigdy nie wiadomo, czy ktoś nie będzie próbował wykorzystać podobnej metody do przestępczych celów. Jak pokazują przedstawione przykłady możliwość ominięcia zabezpieczenia biometrycznego nie wymaga użycia specjalistycznego sprzętu ani dużego wkładu finansowego. Tylko czy jesteśmy w stanie zawsze korzystać z rękawiczek lub pamiętać o tym aby usuwać ślady, które po sobie zostawiamy? Można rozważyć przejście na inny mechanizm zabezpieczeń w telefonie, taki jak rozpoznawanie twarzy i tęczówki oka, czy żył przebiegających w naszej dłoni. Najprościej jednak chronić wszystkie urządzenia dzięki silnego hasła. Złamanie takiego nie jest łatwe, a poza tym zawsze można je zmienić.

Uważaj co pokazujesz na zdjęciach selfie!

Isao Echizen, profesor Treści Cyfrowych i Wydziału Badań nad Mediami z Narodowego Instytutu Informatyki w Japonii udowodnił, iż odcisk palca można odczytać ze zdjęcia selfie wykonanego aparatem cyfrowym lub telefonem nawet z trzech metrów od obiektu. Opracowanie metody pozyskiwania odcisków palców ze zdjęć umożliwia coraz większa rozdzielczość zdjęć w telefonach, rozwój sieci neuronowych i algorytmów przetwarzania obrazów cyfrowych oraz coraz większa moc obliczeniowa maszyn.

Wystarczy tylko, iż zdjęcie wykonane będzie w dobrym świetle. Wniosek nasuwa się jeden: należy uważać, co pokazujemy w stronę obiektywu. Nieostrożność i lekkomyślne wykonywanie zdjęć może nas kosztować utratę ważnych danych a choćby oszczędności!

Funkcję czytania linii papilarnych posiadają już wszystkie telefony i MacBooki Pro wyposażone w panele TouchBar. Odcisk palca odblokowuje nasze urządzenia umożliwiając tym samym dostęp do poufnych danych czy zdjęć. Autoryzujemy nim transakcje w aplikacjach bankowych, sklepach z płatnymi aplikacjami jak App Store i Google Play, czy logujemy do wielu usług. Jakość i czułość czytników papilarnych jest bardzo wysoka, wystarczy im zdjęcie naszego palca. Ponieważ udostępniamy coraz częściej i więcej naszych zdjęć w sieci, należy się mieć na baczności. Wprawdzie japońscy naukowcy pracują nad rozwiązaniem – mocowanym do palca filtrem z tlenkiem tytanu, który ma zapobiec utracie danych pozwalając przez cały czas na obsługę identyfikacji dotykowej jednak na to rozwiązanie trzeba jeszcze poczekać.

Zamiast towaru, sprzedał siebie

Przykład wykorzystania odcisków palców z opublikowanego w sieci zdjęcia opisuje portal Darknetlive. Przedstawia historię z 2018 roku kiedy namierzono przestępcę, który na stronach darkwebowych (Hansa Market – internetowy „czarny rynek”) zmieścił link do albumu na Imgur. Pod podanym linkiem znajdowało się zdjęcie, gdzie prezentował potencjalnemu klientowi wysokiej jakości zdjęcie-ofertę sprzedaży marihuany. Fotografia zawierała zbliżenie dłoni przestępcy, z widocznymi odciskami palców. Gdy namierzono przestępcę, zdjęcie wysłano do laboratorium HSI Forensic Document Laboratory z prośbą o analizę odcisków. Laboratorium zwróciło wniosek po przeprowadzeniu analizy porównawczej szczegółów krawędzi odcisków palców z albumem Imgur oraz próbek odcisków palców tego przestępcy (pobranych po aresztowaniu go przez policję za inne przestępstwo). Odciski palców w albumie Imgur pasowały do ​​odcisków, które mieli już w aktach sprawcy.

Zdjęcie stanowiło jeden z kluczowych elementów dochodzenia.

Fałszywe odciski palców? Trudne ale nie niemożliwe

Nie tylko potencjalny złodziej czai się na pozyskanie danych ze telefona, również policja poszukując sprawcy przestępstwa może dokonać próby odblokowania sprzętu. Używając zdjęć, drukując fałszywa palce czy używając jeszcze innych metod. Wszystko zależy od skali przestępstwa. Inne środki zostaną zastosowane wobec złodzieja roweru, inne wobec masowego mordercy, a jeszcze inne wobec przestępcy politycznego.

Naukowcy z Cisco Talos próbowali odpowiedzieć na pytanie, jak łatwo można oszukać skanery linii papilarnych w nowoczesnych urządzeniach. Aby jednak przejść do wyników ich badań, należy poznać działanie tych skanerów. Każdy użytkownik telefona wie, iż aby czujnik odczytał odcisk jego palca, musi umieścić palec na skanerze. Sposób odczytu odcisku jest różny, w zależności od typu skanera:

  • Skanery pojemnościowe. Najbardziej popularne. Tworzą obraz dzięki ładunku elektrycznego wytwarzanego przez wbudowane kondensatory przechowujące energię elektryczną. W trakcie dotyku skanera palcem kondensatory zostają rozładowane. Skaner mierzy powierzchnię kontaktową (grzbiet), im większa tym więcej pojawia wyładowań) oraz przerwy między skórą a czujnikiem (doliny) – zmniejszają liczbę wyładowań. Skaner mierzy różnicę i formułuje wzór.
  • Skanery optyczne. Urządzenie podświetla palec przez pryzmat. Światło odbija się w różny sposób od grzbietów i dolin. Sensor zamienia te informacje w obraz.
  • Ultrasonografy. Używają sygnału ultradźwiękowego i rejestrują echo generowane przez grzbiety i doliny. Działanie skanera przypomina zachowanie zwierząt używających echolokacji. Słyszy on bowiem całą powierzchnię palca wraz z oddalonymi krawędziami. Ten typ czujnika jest bardziej trójwymiarowy, co pomaga skanerowi wykrywać podróbki wykorzystujące płaskie wydruki.

Po wczytaniu odcisku palca, aplikacja obsługująca skaner porównuje go z tym, który został podany jako wzorzec. Jednak producent każdego urządzenia dopuszcza margines błędu. Im jest wyższy, tym łatwiej oszukać system. Im bardziej precyzyjne są ustawienia, tym trudniej sfałszować odcisk palca. Może się jednak zdarzyć, iż skaner nie rozpozna prawdziwego wzorca (szczególnie w przypadku uszkodzenia naskórka, skaleczenia itp.).

Próby fałszowania odcisków palców

Naukowcy zrobili najpierw kopię odcisku palca. Można taką zrobić różnymi sposobami:

stworzyć formę

Można użyć miękkiego materiału jak np. modelina, glina modelarska, każdy miękki materiał, na przykład glina modelarska. Następnie użyć tej formy do wykonania fałszywego palca. Metoda wymaga czasu i… obecności ofiary, najlepiej nieświadomej naszych zamiarów ?

przechwycić obraz skanera

Innym sposobem jest zdobycie odcisku palca pobranego dzięki skanera. Obraz należy wydrukować na drukarce 3D. Niestety ta metoda nie jest doskonała, a program, w którym stworzono obraz, nie pozwala zmieniać jego wielkości. Do tego fotopolimer używany w taniej drukarce 3D trzeba było podgrzać po wydrukowaniu, co wpływa na rozmiar modelu. W trakcie doświadczenia okazało się jednak, iż sam polimer był zbyt twardy, przez co nie udało się oszukać żadnego skanera. Zamiast modelu palca, naukowcy wydrukowali odlew, z którego wykonali protezę palca z bardziej miękkiego materiału. Metoda czaso- i pracochłonna.

zrobić zdjęcie odcisku palca na szklanej powierzchni

Sfotografowanie odcisku palca na szklanej powierzchni i przesłanie obrazu do drukarki 3D. To skomplikowany proces gdyż trzeba znaleźć odpowiednią formę a samo drukowanie trwało bardzo długo. Również wybór materiału do wykonania modelu (np. czy przewodzi prąd) okazał się problemem. Dowiedziono, iż najlepszym materiałem do tworzenia fałszywek jest… zwykły klej do tkanin.

Jakie urządzenia można oszukać przy użyciu fałszywych odcisków palców?

Naukowcy przetestowali swoje podróbki na wielu telefonach, tabletach i laptopach różnych producentów, a także na inteligentnym zamku i dwóch dyskach USB chronionych dzięki czujnika odcisków palców: Verbatim Fingerprint Secure i Lexar Jumpdrive Fingerprint F35. Większość telefonów i tabletów oszukano w 80–90%. Ciekawostką jest, iż nie zdołano oszukać telefona Samsung A70, możliwe dlatego iż ustawienia czujnika są tak restrykcyjne, iż nie rozpoznaje on choćby swojego właściciela! Zaobserwowano też, iż duże znaczenie ma system, który dopasowuje odciski palców (niezależnie od rodzaju urządzenia czy producenta). Najlepiej zabezpiecza Windows 10. Najłatwiej można było oszukać ultradźwiękowe skanery linii papilarnych. Odczytały fałszywe wydruki za prawdziwe, podczas gdy prawdziwy palec przyciskał fałszywkę do czujnika.

Odcisk… nie tylko palca

Przestępców identyfikuje się na podstawie śladów pozostawionych praktycznie każdą częścią ciała. Technika badająca odcisk wewnętrznej powierzchni dłoni to chejroskopia, stopy – podoskopia, czoła i części przyległych – frontoskopia, zaś każdego innego fragmentu odcisku ludzkiej skóry, którą na potrzeby badań dzieli się na skrawki skórne to dermatoskopia. w tej chwili w wielu krajach powstają komputerowe bazy głosów osób podejrzanych o przestępstwo lub banki zapachów odnalezionych na miejscu przestępstwa.

Wiele z nowoczesnych technik stosuje Centralne Laboratorium Kryminalistyczne Komendy Głównej Policji w Polsce. W dziedzinie identyfikacji nietypowych śladów polscy kryminalistycy są w światowej czołówce.

W latach 80-tych polski kryminalistyk, prof. Jerzy Kasprzak, stworzył technikę badania śladów ust, tzw. cheiloskopię. Zbudował on katalog możliwych cech indywidualnych czerwieni wargowej tj. rozrysował i opisał charakterystyczne układy linii zagłębień i wypukłości, które mogą się pojawić na ludzkich ustach. Podobnym katalogiem posługują się specjaliści od daktyloskopii podczas identyfikowania odcisków palców. Na opuszce palca występuje około stu cech indywidualnych, zaś na odbitce ust można ich znaleźć około 1200! Polscy kryminolodzy ujawniają około stu śladów ust rocznie. Z tego 20 jest porównywane z odciskiem ust podejrzanego bądź ofiary przestępstwa. Ciekawostką jest, iż w Polsce identyfikacja uznana jest za kompletną, kiedy śledczy znajdą 9 cech wspólnych (na zachodzie 7).

Podobnie jak odciski palców czy ust, swoiste ślady zostawia także… małżowina uszna. Budowa ucha każdego człowieka jest tak indywidualna jak linie papilarne, dlatego pozwala na jednoznaczne określenie tożsamości. W Polsce identyfikuje się tym sposobem około 30 osób rocznie. Wystarczy muśnięcie przez przestępcę drzwi, okna czy ściany i już materiał dowodowy jest gotowy.

Genetyczne odciski palców

Najmocniejszym materiałem dowodowym jest oczywiście DNA sprawcy zwane molekularnym odciskiem palca. Kod genetyczny każdego człowieka jest unikatowy. Podobnie jak katalogi odcisków ust, czy palców – policja tworzy także bazy genetyczne osób podejrzanych o popełnienie przestępstw. Z mikrośladów śladów jednego włosa, plamki krwi, potu, fragmentu naskórka – można uzyskać materiał dowodowy.

Znalezienie śladów to jedno, drugie to ich zebranie. Do najnowocześniejszych metod należy użycie „odkurzacza wodnego” czyli koncentrator śladów. Urządzenie szczególnie sprawdza się przy poszukiwaniu włosów.

Fragmenty naskórka czy pot zdejmowane są manualnie przez techników kryminalistycznych. Najpierw z miękkich materiałów wycina się fragmenty zawierające cząstki organiczne, a z twardych powierzchni przenosi się je na specjalne wyjałowione płótno. Następnie izoluje DNA z zebranych próbek – co jest najtrudniejsze w całym procesie.

Do tego typu badań używa się tradycyjnych lub nowoczesnych urządzeń i metod, które podobnie jak metody zbierania dowodów – rozwijają się w zawrotnym tempie.

Rezygnacja z prywatności na rzecz bezpieczeństwa?

W miarę rozwoju techniki kryminalistycznej i odkrywaniu coraz to nowszych metodach identyfikacji przestępców – będzie im coraz trudniej ukryć się przed organami ścigania, zwłaszcza w miarę zdobywania przez służby odcisków palców kolejnych Polaków, gdy ci będą wymieniać dowód osobisty.

Z jednej strony to dobra wiadomość, bo potencjalni sprawcy przestępstw muszą się mieć na baczności. Z drugiej zaś taki kierunek może być wręcz niebywałym zagrożeniem prywatności całego społeczeństwa – zwłaszcza iż polska policja już nie raz udowodniła, iż potrafi stosować środki zupełnie nieadekwatne do typu i skali danego przestępstwa tylko dlatego, iż np. komuś wyjątkowo zależało z przyczyn osobistych.

Idź do oryginalnego materiału