Clonación de huellas dactilares

Huellas dactilares: ¿es posible clonar una huella en 2021?

Huellas dactiilares la clonación es cada vez más posible
Huellas dactiilares la clonación es cada vez más posible

Los escáneres de huellas dactilares de teléfonos y computadoras se pueden vulnerar con la impresión tridimensional.

Las contraseñas son métodos de autenticación tradicionales para computadoras y redes.

Pero las contraseñas se pueden robar.

La autenticación biométrica parece ser la solución perfecta a este problema.

Existen varios tipos de autenticación biométrica, incluidos los escaneos de retina, el reconocimiento facial y la autenticación de huellas dactilares, que son los más comunes.

Las huellas dactilares de cada persona son únicas y se cree que pueden usarse para identificar a una persona.

Las huellas dactilares como factor de autenticación

La evolución tecnológica ha extendido la autenticación de huellas dactilares a todo tipo de dispositivos, desde computadoras portátiles hasta teléfonos móviles, cerraduras y unidades USB encriptadas.

La autenticación de huellas dactilares se popularizó en los teléfonos con el  Apple TouchID en el iPhone 5 en 2013.

Esta tecnología se pasó por alto poco después del lanzamiento.

Desde entonces, la tecnología ha evolucionado en 3 tipos principales de sensores: ópticos, capacitivos y ultrasónicos.

Las pruebas han demostrado que, en promedio, logran alrededor del 80% de éxito con huellas dactilares falsas cuando los sensores se han omitido al menos una vez.

Lograr tal éxito fue un trabajo difícil y tedioso.

Los investigadores encontraron varios obstáculos y limitaciones relacionados con la escala y las propiedades físicas del material.

Aun así, este nivel de éxito significa que existe una posibilidad muy alta de desbloquear cualquiera de los dispositivos probados.

Los resultados muestran que las huellas dactilares son suficientes para proteger la privacidad de la persona promedio en caso de que pierda su teléfono.

Sin embargo, una persona que podría ser atacada por una entidad motivada.

Muy bien financiada para poder clonar huellas dactilares.

IT CONNECT

Información de valor para ejecutivos que manejan información confidencial

Los investigadores han desarrollado 3 casos de uso para modelos de amenazas que se ajustan a escenarios del mundo real.

Como resultado, el lector debe comparar el resultado con el sistema de seguridad del hogar.

Si desea que esto evite que actores bien financiados.

Como las agencias de seguridad nacional, espíen su hogar, es posible que no funcione bien.

Para el usuario medio, la autenticación de huellas dactilares tiene ventajas obvias y ofrece un nivel de seguridad muy intuitivo.

Sin embargo, si el usuario es un objetivo potencial para los atacantes financiados.

O en su defecto su dispositivo contiene información confidencial.

Los investigadores recomiendan confiar más en contraseñas seguras y autenticación de token de dos factores.

Estos hallazgos, junto con las recientes filtraciones de información biométrica de la compañía.

Sumado todo esto a un problema reciente con el sensor utilizado por Samsung en el teléfono inteligente Galaxy S10.

Hizo que la comprensión de esta tecnología y el impacto de la filtración de datos de huellas dactilares han planteado preguntas.

A medida que la impresión 3D evolucionó y la impresora doméstica llegó con una resolución de micrones.

¿Puede una persona común crear una huella dactilar falsa a partir de vidrio con una impresora 3D?

¿O debería ser una agencia gubernamental?

¿Es posible hacer esto mientras el usuario se encuentra en el puesto de control fronterizo?

Los investigadores han convertido estas preguntas en tres objetivos principales:

¿Cuáles son las mejoras de seguridad en el escaneo de huellas dactilares desde su primera derrota en el iPhone 5?
¿Cómo afecta la tecnología de impresión 3D a la autenticación de huellas dactilares?

Defina un modelo de amenazas para los ataques a fin de proporcionar un contexto realista.

Los investigadores probaron diferentes marcas y modelos de dispositivos.

Para definir el modelo de amenaza, impusieron restricciones presupuestarias bajo el supuesto de que si se puede hacer con un presupuesto pequeño.

Entonces pueden hacerlo entidades patrocinadas por un gobierno.

La complejidad del proceso también fue importante para definir el modelo de amenazas.

Los investigadores querían saber qué tan difícil es para el usuario medio reproducir estos resultados.

El tercer componente del modelo de amenazas fue la técnica de recolección.

Los investigadores han identificado tres métodos de recopilación de datos, cada uno asociado con un modelo de amenaza que incluye sus propias características.

Algunos de ellos tienen la complejidad añadida de obtener una huella dactilar registrada ya que la mayoría de los usuarios no utilizarán más de un dedo.

¿Cuál es la noticia?

La tecnología de impresión 3D ha permitido que cualquiera pueda crear huellas dactilares falsas.

Pero no solo que también hizo posible, con los recursos adecuados, hacerlo a gran escala.

Además, con la democratización del uso de la autenticación de huellas dactilares, el impacto de las copias biométricas es incluso mayor que en el pasado.

Los investigadores aplicaron estos modelos de amenazas a dispositivos móviles: teléfonos, laptops, cerraduras y unidades USB.

¿Cómo funcionó?

Los investigadores crearon copias utilizando 3 métodos diferentes que se determinaron de acuerdo con perfiles de amenazas específicos.

La forma se creó con una impresora 3D, que luego se utilizó para recrear la huella dactilar con pegamento textil.

¿Y entonces?

La autenticación de huellas dactilares ahora se usa ampliamente en todo tipo de dispositivos.

Sin embargo, su fiabilidad no es la misma en todos los dispositivos.

Las organizaciones deben ser conscientes de que la seguridad de la autenticación de huellas dactilares es insegura a pesar de las suposiciones comunes.

Esto significa que, según el perfil de amenaza de cada usuario, es posible que no sea apropiado utilizarlo.

De hecho, algunas empresas son tan fiables como hace seis años.

Esto significa que con el avance de tecnologías como la impresión 3D, se ha vuelto aún más fácil vencerlas.

Nivel de evolución

En el pasado, los atacantes han utilizado la autenticación de huellas dactilares varias veces, lo que ha llevado al desarrollo de la tecnología táctil.

Apple TouchID fue pirateado públicamente por primera vez en 2013.

El investigador Starbug demostró por primera vez esta técnica en un iPhone 5s durante la conferencia Chaos Computer Club.

Más recientemente, un usuario rompió accidentalmente el teléfono móvil insignia Samsung S10 cuando usaba una funda de silicona.

Al final, Samsung solucionó este problema con una actualización de software.

Durante el desafío de ciberseguridad Geekpwn 2019, los investigadores de seguridad de X-Lab de Tencent piratearon la autenticación de huellas dactilares de 3 teléfonos diferentes, pero no se proporcionaron detalles sobre el estudio.

Sin embargo, según el artículo de Forbes, el equipo tomó una foto de la huella digital en el cristal y creó una huella digital falsa.

Todo el proceso tomó 20 minutos, y el costo del equipo, según el líder del equipo, es de unos 200 euros.

Sin embargo, este proceso es una caja negra y no está documentado.

Concepto

Diseño de autenticación de huellas dactilares
La autenticación de huellas dactilares se puede dividir en 2 pasos.

El primer paso es la captura, en la que el sensor forma una imagen de la huella dactilar.

El segundo paso es analizar y comparar las imágenes generadas.

Esta tarea la puede realizar el propio sensor, por ejemplo, en dispositivos integrados y autónomos, como una cerradura de puerta o un sistema operativo.

Por ejemplo, en Microsoft Windows, las comparaciones se realizan utilizando “Windows Hello”.

El sistema operativo solicita al sensor que capture datos y esos datos se envían al sistema operativo mediante ANSI INCITS 378-2004, formato creado por NIST.

El SO realiza la comparación y decide si confirma la conexión al sistema.

El algoritmo de comparación debe incluir un cierto nivel de tolerancia.

Si la huella digital se altera ligeramente, por ejemplo, con una pequeña parte, la autenticación debería funcionar.

Los umbrales no están disponibles públicamente, por lo que algunos editores son más llevaderos que otros.

La debilidad se puede encontrar en el primer y segundo paso.

Tipo de sensor

Los investigadores han descubierto 3 tipos principales de sensores: capacitivos, ópticos y ultrasónicos.

Los diferentes sensores responden de manera diferente a diferentes materiales y métodos de recolección.

La mayoría de los sensores son desarrollados por terceros y luego integrados en el dispositivo.

La única excepción es Apple, que ha estado fabricando sus propios sensores desde que adquirió AuthenTec en 2012.

El tipo más común de sensor es capacitivo y algunos son activos o pasivos.

Sensor capacitivo de huellas dactilares

En pocas palabras, los sensores capacitivos utilizan la capacidad natural del cuerpo para leer huellas dactilares.

Las nervaduras que tocan el lector crean un condensador natural que será detectado por el sensor.

Por el contrario, los valles estarán demasiado lejos del lector para crear un condensador natural.

Sensor de huellas dactilares capacitivo activo

Los sensores capacitivos activos no se basan solo en la capacitancia natural.

Inyectarán una pequeña señal que viaja a través del dedo y finalmente llega al sensor a través del toque de las crestas de la huella dactilar.

Sensor óptico de huellas dactilares

Los sensores ópticos de huellas dactilares realmente leen la imagen de la huella dactilar. Este tipo de sensor tiene una fuente de luz que iluminará las proyecciones que contacten con el sensor.

Un sensor de imagen los lee a través de un prisma.

Huellas dactilares, algunos cuestionan su eficiencia

Los sensores ultrasónicos son el tipo más nuevo de sensores.

Se utilizan principalmente en dispositivos con sensores de pantalla.

En estos casos, el transductor emite un pulso ultrasónico, cuyo eco será leído por el transductor.

Las crestas y los valles tendrán ecos diferentes, lo que permitirá que el sensor cree una imagen de pseudo-huella digital.

En promedio, el transductor ultrasónico parece ser el más confiable ya que nos brinda mayores tasas de éxito.

Goodix – odin de los principales fabricantes de sensores de visualización óptica.

Qualcomm desarrolló el sensor ultrasónico para el Samsung S10 y Synaptics desarrolló la mayoría de los sensores capacitivos probados en este estudio.

Huellas dactilares, la tecnología hace cada vez más cercana la clonación

Creación de amenazas basada en escenarios

El proceso de reconocimiento consta de dos etapas principales: recolección y creación.

Durante la fase de recolección, los investigadores recolectaron la huella digital objetivo y crearon una forma.

El molde se utiliza para hacer una huella dactilar falsa utilizando una variedad de materiales según el contexto.

El primer paso es recopilar su huella digital.

La sección sobre métodos de recolección discutirá los diversos métodos que han probado los investigadores.

Cada método coincide con un contexto específico y un modelo de amenaza específico.

Colección directa: este método presenta un escenario de ataque en el que la víctima está inconsciente o en un estado en el que no tiene control total sobre sus acciones (por ejemplo, borracho).

En este caso, se hace un molde de un material blando directamente sobre la víctima, que luego se endurece.

También se utiliza como nuestro método de control.

En este método, un atacante puede recolectar todas las huellas dactilares o mirar al objetivo para recolectarlas.

Sensor de huellas dactilares: este método es una recolección realizada en la frontera / aduana del aeropuerto o por una empresa de seguridad privada utilizando un lector de huellas dactilares.

La mayoría de los guardias de fronteras / aduanas recogen todas las huellas dactilares, lo que elimina este problema.

Enfoque de terceros: en este escenario, la recopilación se realiza a través de una entidad de terceros.

Podría ser un vaso, una botella, etc.

Después de tomar una fotografía del dedo, la gente de Índice Factory, trabaja con modelos de captura muy exitosos, en este sentido.

La idea es que el atacante tome la huella digital de la víctima y luego prepare una huella digital falsa.

Con este enfoque, tener un dedo registrado puede ser un problema porque un atacante no tiene control sobre el origen de la colección.

Sin embargo, se puede crear una huella dactilar a partir de varias partes del mismo dedo.

El segundo paso es crear un formulario basado en la información recopilada previamente.

Esta no es una tarea fácil y se discutirá en la sección de restricciones.

Los investigadores utilizaron una impresora 3D para crear formas.

La precisión de la impresora UV LED es de 25 micrones.

Las crestas dérmicas de las huellas dactilares tienen ~ 500 micrones de ancho y 20-50 micrones de profundidad.

La resolución de la impresora satisface plenamente nuestras necesidades.

El último paso es tomar su huella digital.

Los investigadores han probado muchos materiales diferentes, siendo los más relevantes los adhesivos de silicona y telas.

Aquí hay un ejemplo de los materiales que los investigadores utilizaron para los moldes, utilizando las huellas digitales disponibles públicamente del peligroso gángster.

Nota de la redacción: sin la generosidad al compartir sus conocimientos de dos estimables amigos como Pedro Janices y Daniel Molina, esta nota, nunca podría haber sido escrita.

 

Por Marcelo Lozano – General Publisher IT Connect Latam

Lorem ipsum dolor sit amet, consectetur adipiscing elit.

Maecenas molestie eu augue quis luctus. Donec eget diam ipsum.

Sed quis augue malesuada, imperdiet dui vel, fringilla est. Integer in feugiat orci.

Nunc sagittis nisl sem, sed scelerisque tellus sollicitudin sed.

Nam lectus sapien, malesuada eget ex blandit, suscipit elementum turpis.

Nunc feugiat risus libero, in sagittis lacus malesuada vitae.

Quisque at tempus sem. Praesent molestie blandit velit, id convallis lectus suscipit vitae. Ut et fermentum urna.

Ut ultricies arcu purus, sed faucibus risus vehicula eget.

Nullam eget dui ac velit accumsan tristique vel in sapien.

Integer pulvinar tincidunt quam eu hendrerit. Fusce varius vel velit at rhoncus.

Sed dictum odio sed eros vehicula lacinia.

Fusce hendrerit, purus vel hendrerit pulvinar, nulla metus bibendum nisi, sed porta ligula mauris at nibh.

Mauris eget blandit ipsum, sed fringilla tortor. Maecenas ac felis vulputate, elementum est volutpat, congue lorem.

Nulla nec sapien mattis, tempus justo vitae, rutrum erat.

Donec sit amet est dapibus, volutpat nisl eu, hendrerit dolor. Aliquam erat volutpat.

In augue neque, commodo nec lorem in, sollicitudin rutrum tellus.

Aenean ac erat eleifend, molestie massa ac, luctus ante.

Duis sodales posuere sem, vitae tincidunt augue faucibus nec.

Quisque interdum nisi quam, sed semper enim accumsan in.

Praesent ac lacus mattis, maximus magna et, cursus neque.

Proin posuere pretium libero, tincidunt mollis arcu vulputate quis.

Vivamus bibendum venenatis orci, a auctor dolor tristique consequat.

Curabitur vulputate velit et commodo tempus. Mauris at nulla nisi.

Donec tincidunt urna eget massa tempus, eu lobortis dui sagittis.

Curabitur pharetra placerat facilisis. Interdum et malesuada fames ac ante ipsum primis in faucibus. Mauris sed ex ac tortor dignissim porttitor nec vel massa. Nulla blandit nibh eget enim auctor tincidunt. Proin fringilla lectus a dui sodales tincidunt. Phasellus vel elementum dolor.

Class aptent taciti sociosqu ad litora torquent per conubia nostra, per inceptos himenaeos. Sed vehicula, massa et accumsan placerat, ex sapien tempor odio, quis imperdiet turpis est luctus tortor.

Suspendisse ut arcu elit. Ut at enim vitae lacus volutpat laoreet. Pellentesque et feugiat justo. Donec at neque porta, accumsan est et, iaculis erat.

Nullam cursus, felis a mattis condimentum, tortor magna vulputate mi, ac accumsan sapien metus non sapien.

Sed vestibulum enim enim, a sollicitudin risus fermentum tincidunt. Morbi sed pharetra libero. Donec vehicula nunc leo, a semper magna dictum lacinia.

Curabitur ultricies tellus vitae massa malesuada, et lacinia leo sollicitudin. Vivamus in purus facilisis, auctor velit eu, vestibulum arcu.

Integer sollicitudin vulputate est, et auctor velit interdum non.

Cras eget felis eget leo interdum dictum eget quis lorem.

100 / 100