אתר זה עושה שימוש בעוגיות על מנת להבטיח לך את חוויית הגלישה הטובה ביותר.
פותחה תוכנה שיוצרת פייק-טביעת אצבע, ומצליחה לרמות סורקים צילום: שאטרסטוק

פותחה תוכנה שיוצרת פייק-טביעת אצבע, ומצליחה לרמות סורקים

חוקרים מארה"ב פיתחו מערכת שיודעת ליצור טביעת אצבע מלאכותית, שמפצחת מנגנוני אבטחה בסמארטפונים; סורקי המובייל משתמשים רק בחלק קטן מכל טביעה, מה שמקל על הטעייתם. הפיתוח הוא אות מבשר רעות, במיוחד לישראל - בה קיים מאגר ביומטרי

26.11.2018, 14:06 | עומר כביר
חוקרים מ-NYU ואוניברסיטת מישיגן פיתחו אלגוריתם בינה מלאכותית (AI), שמייצר טביעות אצבע מזויפות שמסוגלות לבלבל מערכות זיהוי ביומטרי בשיעור גבוה של אחד מכל חמישה ניסיונות - כך לפי מחקר שפרסמו. "לשיטה שיצרנו צפויות להיות השלכות רחבות על אבטחה באמצעות טביעות אצבע", התריעו.

קראו עוד בכלכליסט

החוקרים, מומחי מדעי המחשב, פיתחו מערכת AI שמחוללת טביעות אצבע סינתטיות, אותה מכנים החוקרים "טביעת מאסטר עמוקה" (DeepMasterPrint), על משקל מפתח מאסטר - שמסוגל לפתוח דלתות עם מנעולים שונים; מדובר בטביעת אצבע שנוצרה לחלוטין על ידי מחשב ומסוגלת לעבוד על מערכות זיהוי טביעות אצבע בכ-23% מהמקרים, כאשר נבחנה מול מערכת ששיעור הזיהוי השגוי שלהן אמור להיות 1 ל-1,000. במערכות עם כשל זיהוי של 1 ל-100 הצליחו החוקרים לזכות לזיהוי חיובי ב-77% מהמקרים.

טביעת אצבע? ניתן לפברק גם ללא גישה לסביבת הקורבן, צילום: שאטרסטוק טביעת אצבע? ניתן לפברק גם ללא גישה לסביבת הקורבן | צילום: שאטרסטוק טביעת אצבע? ניתן לפברק גם ללא גישה לסביבת הקורבן, צילום: שאטרסטוק

מדובר בשיעור הצלחה גבוה מאוד, במיוחד בהתחשב בכך שבאידאל מערכת זיהוי טביעת אצבע תזהה רק את טביעת האצבע המקורית בלבד (או, במקרה הרע, חיקוי מוצלח שלה). ואולם, כאן לא מדובר בשכפול של טביעת אצבע - הליך שיצירתו יכול להיות מורכב שכן הוא מחייב גישה לטביעת האצבע המקורית - אלא בטביעת אצבע שלא קיימת כלל ושמסוגלת להונות מערכות זיהוי בשיעור הצלחה גבוה במיוחד.

בעבודתם ניצלו החוקרים שני כשלים במערכות זיהוי טביעת אצבע: הראשון הוא שסורקים רבים (במיוחד אלה שמשולבים בסמארטפונים) לא קוראים את כל טביעת האצבע אלא רק את החלק שלה שמונח על גביהם. מערכות אלו גם לא משלבות בין כמה סריקות חלקיות ליצירת תמונה שלמה יותר, אלא פשוט משוות את הסריקה החלקית לנתונים, חלקיים בעצמם, ששמורים במערכת. הכשל השני קשור לכך שתבניות מסוימות בטביעות אצבע יותר נפוצות מאחרות. כתוצאה, טביעות מזויפות שמשלבות תבניות נפוצות יזכו לזיהוי חיובי בסבירות גבוה יותר מאשר טביעה רנדומלית.

על סמך כשלים אלו פיתחו החוקרים כלי למידת מכונה שלמד ליצור טביעות אצבע סינתטיות שפשוט מתאימות למספר גדול של טביעות אצבע חלקיות. התוצאה היא לא רק זיופים שמצליחים לעבוד על מערכות זיהוי בהצלחה מרשימה, אלא גם טביעות אצבע שבניגוד לניסיונות קודמים בתחום, נראות לעין האנושית כטביעת אצבע אמיתית, ולא כאוסף של קווים מכניים.

סורק טביעות אצבע שמובנה במסך טלפון וואווי, צילום: ניצן סדן סורק טביעות אצבע שמובנה במסך טלפון וואווי | צילום: ניצן סדן סורק טביעות אצבע שמובנה במסך טלפון וואווי, צילום: ניצן סדן

חדשות רעות, במיוחד בישראל

החוקרים מתארים את האופן שבו גורמים עוינים יוכלו להשתמש בטכנולוגיה זו כדומה ל"מתקפת מילון" שבה משתמשים האקרים. במתקפה זו, נעשה שימוש בשורה של סיסמאות שידועות כנפוצות כדי לפרוץ לחשבונות משתמש שאולי עושים שימוש בסיסמאות אלה. מתקפה זו אולי לא תאפשר כניסה לחשבון ספציפי, אבל בקנה מידה רחב יכולה לספק להאקרים גישה למגוון חשבונות. בדומה, השימוש בטביעת מאסטר אולי לא יאפשר לתוקפים לזייף זהות של אדם שנבחר מראש, אך יכול לספק יאפשר להם מספיק מרחב תמרון כדי לזייף זהות של אדם כלשהו.

דורון שקמוני, מומחה סייבר וממייסדי חברת פורסקאוט והתנועה לזכויות דיגיטליות אמר שמדובר בהתפתחות מבשרת רעות, במיוחד לישראל. "לו ישים גורם כלשהו את ידו על עותק, אפילו חלקי, של המאגר הביומטרי של משרד הפנים, הוא יוכל תיאורטית ליצור מפתחות-על שכאלה המותאמים באופן ספציפי לאוכלוסיה הישראלית", הוא הזהיר. "תוצאה כזו תקל מאוד, למשל, על גניבת זהות או הזדהות בלתי מורשית, ועשויה במרוצת הזמן להפוך את השימוש בטביעות אצבע בישראל לבלתי יעיל".
שיתוף בטוויטר שיתוף בוואטסאפ שיתוף בפייסבוק שיתוף במייל

תגיות



5 תגובות לכתיבת תגובה לכתיבת תגובה

4.
אין כמו ססמא חזקה
ביומטרי הוא בעייתי כי ברגע שפרצו אותך וזה דלף, אתה חשוף לנצח. וכל אחד שקנה בכמה דולר בדארקנט את הפרטים הביומטריים שלך יוכל להשתמש בהם עד יום מותך מבלי שתוכל להפריע לו בצורה כלשהי גם אחרי שלמדת שזה דלף ועושים בזה שימוש בפועל. הרי לא תוכל "להחליף" טביעת אצבע שלך או סריקת רשתית עין. או לפנות לכל בית עסק בעולם שמקבל הזדהות ביומטרית. מספר כרטיס אשראי למשל הוא לא כל כך סודי ולכן גם מתייחסים אליו בהתאם וגם יש ביטוח של חברות אשראי. וססמא ברגע שהיא נפרצה ואתה יודע מזה - מאוד קל להחליף (בין אם הייתה הודעה בעיתונות על דליפה או שזיהית פעולה שבוצעה שלא על ידך בחשבון שמוגן בססמא זאת). תוכנות מנהל ססמאות חינמיות יודעות לייצר לבד ססמאות חזקות וגם להקליד אותן אוטומטית כשצריך. אצלי למשל יש כמה ססמאות של 100+ תווים לכמה אתרים. סתם בשביל כיף כי כבר אחרי 16 תווים זה קשה לפרוץ.
יוזר  |  27.11.18