นายอรรถพงศ์ เมษินทรีย์ 5270280026
Information Security Assignment #2
การเจาะระบบ Biometric
ว่าด้วยการทำ Reverse engineering บน ระบบป้องกันแบบ Biometric เอง โดยจะพบว่า
การจะเจาะเข้าสู่ระบบป้องกันแบบนี้นั้น สามารถทำได้โดยการใช้วิธีการไม่ต่างไปจากเดิมซักเท่า
ใหร่เลย
โดยระบบป้องกันภัย เช่นระบบป้อนรหัสด้วยลายนิ้วมือ หรือ Finger Print Scan นั้นยังต้อง
อาศัยส่วนหลักในการเก็บข้อมูลที่เป็นชุดข้อมูลตัวเลขที่เครื่องคอมพิวเตอร์จะสามารถเข้าใจได้ ซึ่ง
แปลงมาจากการรับข้อมูลมาจากเครื่องแสกน และระหว่างทางจะถูกส่งผ่านเครื่องข่ายไม่ว่าจะสั้น
หรือจะยาว การส่งข้อมูลนี้มีจุดอ่อนที่จะสามารถถูกโจรกรรมได้ตลอดเวลา
การทำงานของเครื่องนั้นคือเมื่อเราทาบนิ้วมือลงไป เครื่องจะทำการอ่านค่าลายนิ้วมือเป็น
รูปภาพ และส่งผ่านไปยัง Extractor Unit ซึ่งเป็นตัวแปลงรูปลายนิ้วมือให้เป็นข้อมูลตัวเลขจึงจะถูก
ส่งต่อไปยังหน่วยเปรียบเทียบ (Comparison Unit) ที่จะเป็นตัวระบุความถูกต้องของลายนิ้วมือ ซึ่ง
ข้อมูลเหล่านี้จะถูกเก็บไว้บนฐานข้อมูล
การเจาะระบบวิธีแรก คือ การดักค่าการส่งรหัสจาก ฐานข้อมูลไปยัง Comparison Unit ซึ่ง
หลังจากที่แสร้งทำกดรหัสผ่านพลาดหนึ่งทีก็จะสามารถดัก Packet ที่ถูกส่งมาได้ แล้วนำ packet นี้
มาแปลงและส่งกลับแทนค่าลายนิ้วมือจริงจริงไปยัง Comparison Unit
การเจาะระบบวิธีที่สอง คือ การเจาะเข้าฐานข้อมูลโดยตรงเพื่อสับเปลี่ยนค่าลายนิ้วมือกับ
ผู้ใช้คนใดคนนึงที่มีอยู่แล้ว โดยจะแทนที่ด้วยชุดข้อมูลตัวเลขที่แปลงมาจากลายนิ้วมือของเราเอง ซึ่ง
ในกรณีที่มีการเข้ารหัสชุดข้อมูลตัวเลขนั้นจำเป็นต้องถอดรหัสข้อมูลก่อนว่าเป้นการเข้ารหัสชนิดใด
และทำการเข้ารหัสแบบเดียวกันเพื่อให้ข้อมูลใช้งานได้
การเจาะระบบวิธีที่สาม คือ การเจาะเข้าฐานข้อมูลโดยตรงเช่นกันเพื่อสับเปลี่ยนค่าความ
น่าเชื่อถือของลายนิ้วมือที่รับซึ่งปรกติแล้ว Confidence level นี้จะถูกตั้งไว้ที่ประมาณ 95%
เมื่อถูกปรับเป็น 1 % นั้น ลายนิ้วมือใครก็ตามก็สามารถเข้าออกผ่านระบบป้องกันได้ทันที
โดยทั้ง 3 วิธีเน้นไปที่การใช้เทคนิคการเจาะระบบข้อมูลตัวเลขซึ่งเป็นพื้นฐานมาจากการ
เจาะเข้าสู่เครื่องคอมพิวเตอร์โดยตรง ซึ่งเมื่อเจาะเข้าสู่ระบบป้องกันผ่านทางเครือข่ายได้
แล้ว การรับผลจากระบบป้องกัน Biometric นั้นแทบไม่ได้ช่วยป้องกันอะไรได้เลย เทคนิค
การเจาะระบบชนิดนี้ต้องอาศัยการเตรียมการเชิงข้อมูลอย่างดี และความสามารถในการ
เจาะผ่านเครือข่ายที่มีการป้องกันสูง อีกทั้งวิธีนี้ไม่สามารถใช้กันระบบป้องกันแบบปิดที่เก็บ
ข้อมูลไว้ใน ROM ไม่สามารถเปลี่ยนแปลงได้
*ปัจจุบันมี Tools สำหรับให้ hack ในระบบที่ไม่มีการเข้ารหัสแล้ว
Reference:
http://www.theinquirer.net/inquirer/news/1029539/how-hack-biometrics
http://news.techworld.com/security/11863/biometric-hack-tool-released/
edit @ 18 Nov 2009 18:19:31 by Auttapong Maesincee
edit @ 18 Nov 2009 18:20:14 by Auttapong Maesincee
