Prepoznavanje lica lako je igrati

Na sigurnosnom događaju dokazano je da se tehnologije prepoznavanja lica koje se koriste na nekim prijenosnicima mogu vrlo lako prevariti i zaobići.

Nedavno je nekoliko proizvođača prijenosnih računala izbacilo prijenosna računala koja koriste značajke prepoznavanja lica kako bi olakšali prijavu u operativni sustav i provjeru autentičnosti. Ova su rješenja osmišljena kako bi postupak prijave učinili praktičnijim tako da korisnik ne mora unositi svoje ime i lozinku za korištenje sustava Windows. Da bi to učinio, vlasnik prijenosnika treba samo pogledati integriranu kameru koja snima fotografiju i uspoređuje je s prethodno pohranjenom fotografijom. Ako postoji podudaranje, korisnik se automatski provjerava autentičnost. Odnosno, ovi su sustavi doista prikladni i brzi za upotrebu. Ali koliko sigurnosti pružaju? Pa, jedno od zanimljivih izlaganja na konferenciji Black Hat jest da situacija nije baš ružičasta.

Nguyen Minh Duc, istraživač u Bkisu (Bach Khoa Internetwork Security Center), održao je posebnu prezentaciju usmjerenu na skretanje pažnje na slabosti rješenja za prepoznavanje lica ugrađenih u prijenosna računala. Tijekom prezentacije stručnjak je testirao Lenovo-ov sustav Veriface III, ASUS Smart Logon softver i Toshiba Face Recognition tehnologiju. Minh Duc odabrao je vrlo jednostavan način za probijanje rješenja za prepoznavanje lica postavljanjem ispisanih slika ispred kamera koje nisu mogle razlikovati stvarna i digitalizirana lica, tako da se slučajni haker lako mogao prijaviti u Windows. Uz to, jedan bi sustav mogli prevariti čak i crno-bijele fotografije. U slučaju rješenja Toshiba, morao se primijeniti mali trik jer nadgleda kretanje lica tijekom provjere autentičnosti. Međutim, da bi zaobišao tehnologiju, Minh Duc samo je povremeno morao micati fotografiju u ruci prilikom prijave.

Prema stručnjaku, ranjivost sustava za prepoznavanje lica ugrađenih u prijenosna računala može se pronaći u tehnologijama koje stoje iza njih, a može se pratiti do slabosti algoritama koji nisu u stanju razlikovati pravo lice od fotografije. Minh Duc tvrdio je da je već obavijestio proizvođače problema i ohrabrio ih da preispitaju upotrebu prepoznavanja lica za sigurnu prijavu dok se pogreške ne mogu ispraviti.

Glasnogovornik Lenovo nije osporio otkriće Minh Duca. Rekao je da bi korisnici trebali razmisliti o odabiru prikladnog i brzog prepoznavanja lica ili radije zadržati lozinke koje pružaju veći stupanj sigurnosti - složene i duge - i koristiti čitače otisaka prstiju. Zatim je dodao da VeriFace prati kretanje očiju kako bi mogao razlikovati pravo lice od fotografije.