Derrotan a los sistemas de reconocimiento de iris

Imagen de squirrel
Enviado por squirrel en

Foros: 

Por squirrel

Probablemente a muchos les suene la típica escena de películas de ciencia-ficción en las que la apertura de una puerta depende de que se reconozca a la persona mediante el escaneo de su ojo, así como las múltiples y elaboradas formas con las que los protagonistas invariablemente consiguen derrotar a dichos sistemas.

Lo cierto es que en el mundo real esos sistemas de seguridad existen y están ampliamente desplegados en instalaciones de alta seguridad, donde se consideran mejor preparados para resistir ataques que los tradicionales sistemas de claves o de llave física. Sin embargo, estos sistemas han recibido recientemente un golpe en la línea de flotación que pone en cuestión no sólo su seguridad actual, que ha sido derrotada, sino incluso si serán capaces de desarrollar versiones mejoradas que resistan a dicho ataque.

El ataque, mostrado en la Black Hat Conference, se basa en la creación de lentes de contacto que incluyen el dibujo de un iris previamente establecido, que muy bien podría pertenecer a una persona real, a un nivel de calidad tal que los sistemas actuales son incapaces de diferenciar estos iris falsos del auténtico.

El procedimiento técnico presentado, si bien requiere tener acceso a la representación codificada del código del iris que se desea clonar, emplea luego algoritmos genéticos iterados sucesivamente hasta obtener un dibujo que genere la misma representación codificada cuando sea leído, momento en el cual dicho dibujo se puede transferir a una lente de contacto, habiendo creado en la práctica una "llave" para una cerradura considerada hasta ahora como impenetrable.

No puedo

No puedo evitar alegrarme de la noticia, no porque desee que gente no autorizada tenga acceso a ciertos recintos, sino porque quizá contribuya a que deje de usarse el sistema de control mediante el iris. Los sistemas biométricos de seguridad me dán cierto repelús, no sólo porque pueden incitar a los malos a arrancarte un ojo o a cortarte un dedo para pasar el control, sino porque me parece que son pasos hacia una sociedad donde el individuo esté absolutamente controlado por el Poder (o Los Poderes), y porque me recuerdan a Blade Runner, cazando "pellejudos". De todos modos, el ataque es de alcance limitado, como bien indicas, pues hay que conocer la codificación del iris "hackeado". Pero si se conoce el algoritmo de codificación podrán hacerse más cosas, que a lo mejor ya pueden hacerse y no se han contado....

Hay formas de detectar eso

Hace años me tocó hacer un trabajillo sobre el tema, hay formas de evitar esas lentes, pero es caro, hay que mirar la vibración de la pupila y su región cercana, si no hay una vibración de no me acuerdo cuanto es que hay lentilla o es un dibujo.

Todo puede perfeccionarse, es bueno que se haga, el sistema es más caro, pero sigue siendo efectivo.

La seguridad es un proceso, no un producto

En la futurista película Gattaca el protagonista logra burlar controles biométricos basados, nada menos, que en la lectura dinámica de su personal cadena de ADN. Espero que la ciencia que hoy llamamos genética tenga más de ética que de genes y que su código deontológico nunca sea burlado.

En el otro Kriptópolis -punto org- se habló mucho de la biometría y creo que, además de los muy recomendables artículos y comentarios de Fernando Acero que aparecen en una simple búsqueda, merece la pena recordar éste otro sobre como falsificar huellas dactilares convertido en todo un clásico. Gracias, squirrel y saludos al Sitio.

Imágenes: 

huellas.jpg

Varias cosas

Como comenta Jose, es posible que se pueda detectar la presencia de lentillas, pero en ese caso entran también en juego los falsos positivos: Si obligas a que la gente se quite las lentillas para poder entrar la seguridad se convierte en un engorro (el famoso enfrentamiento entre seguridad y comodidad) y entonces es muy posible que los propios usuarios legítimos busquen formas de saltarse el sistema, consiguiendo empeorar la seguridad en lugar de mejorarla.

Respecto a la siempre infravalorada información que atesora el antiguo sitio, decir que el enlace que contiene el antiguo artículo sobre falsificación de huellas dactilares ya no es válido y que tras buscar un poco parece que el nuevo enlace es éste.

No, para nada

Se detectan lentillas "coloreadas", las lentillas normales de toda la vida pasan bien el filtro porque lo que se detecta es la vibración final de la pupila.

Aún así, si no te fías sólo de retina, por un código, una huella dactilar, olor corporal, forma de la mano, peso, estatura y complexión y haz que metan el pene por un agujerito, aún así no hay nada 100% seguro porque no has contado al enemigo interior.

¿Quiénes somos?

Ésa es la primera pregunta que deben hacerse las personas que quieran diseñar sistemas y procesos de seguridad basados en el reconocimiento personal. Y no es una pregunta sencilla; se la llevan haciendo los grandes pensadores desde hace siglos.

Por eso los sistemas de seguridad basados en llaves están más extendidos.

Respecto de la seguridad somos parte del proceso

Hola Calario, cuando dices que:

Por eso los sistemas de seguridad basados en llaves están más extendidos.

haces en mí opinión una afirmación inexacta porque dichos sistemas pueden no tener en cuenta posibles contingencias en las extensiones que implementan para que el proceso siga ofreciendo las debidas garantías de seguridad. Desde mi punto de vista la seguridad es un proceso que debe ser pensado y mantenido constantemente por quienes lo asumen. La seguridad no es un producto, un sistema o una extensión, sino un proceso que puede integrar sistemas o extensiones. Aunque en determinadas circunstancias o escenarios puede no ser cómodo, ni bonito, ni barato; es así de sencillo y ya está pensado desde hace milenios... más o menos como la rueda \O/

Por eso los procesos de seguridad basados en las personas que los supervisan son los más extendidos por su versatilidad, porque pueden habilitar protocolos de actuación ante incidencias y asumir, además, otras tareas contingentes con sentido y sensibilidad indefinidamente mientras el proceso de seguridad afectado se recupera y vuelve a la normalidad.

Visión parcial de la seguridad

Me parece que tu visión de la seguridad es parcial, porque te refieres a sistemas. Yo llevo años desgañitándome en el desierto: no hay seguridad física, seguridad lógica, seguridad de sistemas, etc. Hay Seguridad o no hay nada. Por lo tanto, mi afirmación de que los sistemas más extendidos son los basados en en llaves, es de una evidencia tan apabullante que sólo tienes que mirar alrededor para darte cuenta de su exactitud: llaves, cerraduras, candados, tarjetas de acceso e incluso bonobuses.

El método más extendido para asegurar el acceso es la llave. El que tiene la llave tiene el acceso, quedando la identidad del portador fuera del proceso.

Simplificando, tenemos sólo dos modelos de seguridad en los accesos: el modelo con una parte y el modelo con dos partes. En el primer caso sólo está la persona que quiere acceder, para lo que usa una llave. La "cerradura" es totalmente pasiva. En el segundo modelo hacen falta dos partes: la que quiere acceder y la que proporciona el acceso. Por ejemplo, un sistema de reconocimiento de la persona o un sistema de contraseñas. En este caso, la "cerradura" es activa.

El primer modelo tiene grandes ventajas: no hay posibilidad de fugas de información o suplantación de identidades. Y grandes inconventiente: una pérdida o copia de la llave proporciona acceso a cualquiera.

El segundo modelo, si se basa en claves "secretas", se basa en una falacia, porque algo conocido por dos partes, ya no es un secreto (al menos no un "buen" secreto). Si se basa en el reconocimiento de la persona, volvemos al dilema principal ¿Quiénes somos?

Poner combinaciones de varios sistemas puede parecer útil, pero lo único que hace es complicar el proceso, añadiendo más puntos débiles que fortalezas. Se toma de forma errónea la idea de los sistemas de filtrado, en el que se van concatenado filtros de diámetro cada vez menor. El objeto de hacer esto es evitar el atasco del sistema y facilitar las labores de limpiado, pero no tiene nada que ver con la seguridad. El cuento de los tres cerditos debería encabezar cualquier libro de seguridad.

Un proceso no es parcial sino actividad

Y no ocurre en el ámbito que nos ocupa solamente, sino que está ocurriendo continuamente en muchos otros ámbitos de las más variadas actividades humanas y son procesos -no sólo sistemas, extensiones o productos- que están descritos o en fase de pruebas lo que no hace más que reafirmar la naturaleza de la seguridad como un proceso; no es algo que se adquiera y ya está: hay que mantenerlo. Y para mantener dicho proceso continuamente activo son necesarios sistemas, extensiones, métodos, protocolos de actuación, descripción de los procedimientos ante incidencias, etc. No puedo ser parcial porque no hablo de ella sino desde ella y es así como se ve... por eso, además, siempre que puedo hago planes también para la libertad porque sólo la libertad hace segura la seguridad. A mi modo de ver ambas -seguridad y libertad- se van coaxializando, imbricando o entrelazando (expresado mediante una forma verbal invariable que indica la acción ejecutiva presente nutriéndose de futuro). Cuando miro a mi alrededor y veo llaves o cerraduras no son necesariamente parte del proceso de seguridad en ese preciso instante, sino extensiones que están ahí... muchas veces no sólo para asegurar que nadie entre, sino para que yo vea que nadie ha entrado desde mi última comprobación y pueda entonces continuar con el proceso de seguridad iniciado. Resulta mucho más difícil de explicar que de realizar efectivamente, no así de entender si se quiere entender.

¿Ein?

¿Y quién ha dicho que sea difícil entender que la seguridad es un proceso?

La visión de la seguridad que se tiene en general - te guste o no - es parcial y compartimentada. Sólo echa un vistazo a las publicaciones sobre seguridad: para empezar, las hay de seguridad física y las hay de seguridad lógica. Echa un vistazo a los departamentos de seguridad de las empresas: el área de sistemas tiene el suyo, el de redes también, luego hay otro dedicado a la seguridad física, luego está lo relacionado con fraude etc. Echa un vistazo a los cuerpos y fuerzas de seguridad de los estados ¿ves mucho peso en la parte de sistemas?

Decir que las seguridad es un proceso es en sí una visión parcial, porque para muchos la seguridad es una característica, para otros un objetivo, para otros una probabilidad, etc.

Sorprenderse es empezar a comprender

Bueno, al menos ya pones como sujeto de dicho proceso a las personas... vamos bien. Siempre que admitamos que uno mismo es un observador válido y capaz de hacer una descripción fidedigna de un proceso de seguridad al tenerlo asumido, podremos hablar del proceso de seguridad desde el proceso de seguridad mismo, eso hará que nuestra visión del proceso sea relativa, sí; pero no necesariamente parcial. Ahora recuerdo que en otras ocasiones has negado el concepto de tiempo, que no sabemos lo que es el tiempo o que en realidad éste no existe más que como una mera convención... creo que no valorar adecuadamente la validez objetiva de este concepto fundamental te lleva a negarte a tí mismo la posibilidad de hablar desde el proceso mismo de seguridad, en vez de hablar de un proceso de seguridad cualquiera. Desde mi punto de vista somos tiempo y la visión parcial o compartimentada es la que has aportado al princicipio de este hilo o proceso comunicacional. Sin embargo sigo pensando que la mía puede ser una visión relativa para otro interlocutor válido pero no una visión parcial porque, aunque puede ser válida para el proceso que yo mismo observo y describo, otros procesos descritos desde la seguridad también pueden ser válidos aunque ambos entren en contradicciones parciales. Lo que cambia es el contexto, circunstancias o escenario y es por ello que probablemente la seguridad en su conjunto -o la seguridad como un todo atemporal- siempre se describa en términos relativos sin que nunca se llegue a hablar de procesos tetradimensionales de seguridad totalmente seguros porque los posibles contextos, escenario o circunstancias son tan sólo probables o imaginables pero no son todos los posibles, riesgo que siempre corre de cuenta de quien asuma que dicho proceso es seguro para él... y quienes lo hagan, te estarán vendiendo un producto, una extensión, un sistema o un amoto en sin manillar; pero no un proceso. A eso me refería, gracias por la atención y perdón por el tostón ;-)

No no no

El concepto del tiempo no lo puedo negar ¿cómo se niegan los conceptos? Es más, digo que el tiempo es sólo un concepto, que no es algo físico (ojo que digo "físico" no digo "real"), como las fronteras, o los conceptos "dentro/fuera", "arriba/abajo" y muchas otras cosas más.

Esto de la "seguridad" es otro concepto muy apropiable y en cada sector se tiende a hablar de la misma con demasiada propiedad. Pregunta en una compañía de seguros que es la "seguridad" a ver si tiene mucho que ver con el concepto que tienen de la misma en una empresa broker o en una de vigilancia.

Leyéndote, al final veo mucho concepto y poca chicha, y si encima leo tanto sobre procesos, me vienen ingratos recuerdos de "modelo de procesos", "gestión de procesos", "orientación a procesos" y demás quincallería de consultoría.

Y por supuesto que pongo a las personas como "sujetos del proceso", volviendo al tema del tiempo ¿has visto muchos monos con reloj? Pues eso. Si te das cuenta, muy pocos animales hacen puertas, y creo que ninguno - salvo nosotros - cerraduras (ya no digamos PKI), y casi todas las especies - incluída la nuestra - desarrollan de forma espontánea sofisticados sistemas de seguridad para el reconocimiento de individuos y el control de accesos.

Las palabras y su significado

En esta afirmación:

...casi todas las especies -incluída la nuestra- desarrollan de forma espontánea sofisticados sistemas de seguridad para el reconocimiento de individuos y el control de accesos.

vuelves a confundir la seguridad, que es un proceso en constante desarrollo, con un sistema más o menos sofisticado.

Responder adecuadamente a la pregunta que planteas -¿Quiénes somos?- podría resolver una parte del proceso de seguridad en un determinado contexto -no necesariamente en otros- mediante un determinado sistema, nada más.

No puedo hablar por las demás personas pero cuando pienso en quién o qué soy parto siempre de una clara distinción entre individuo y circunstancias, distinción que supongo será de aplicación en el desarrollo de sofisticados sistemas -nótese que no se habla en este punto de procesos sino sólo de sistemas- de seguridad para el reconocimiento de personas que son parte o interaccionan en algún momento con -o en- dicho proceso de seguridad. Sabemos que las circunstancias son cambiantes, ¿lo es el individuo como tal? Una respuesta afirmativa o negativa a esta pregunta es en mi opinión el punto de partida; he ahí la verdadera cuestión que afecta a la viabilidad de este tipo de sistemas, y digo sistemas, que se integran en algunos procesos de seguridad en la actualidad. Dejando aparte, claro está, cuestiones éticas o que afecten al necesario código deontológico que en mi opinión dichos procesos deben siempre implementar.

Gracias, Calario. No es mi intención suscitar discusiones acerca de las palabras y su significado o involucrar a terceros en este coloquial diálogo sean éstos profesionales, compañías o corporaciones porque a mí no me cabe ninguna duda de que los procesos de seguridad basados en las personas que los supervisan son los más extendidos por su versatilidad, porque dichas personas pueden habilitar protocolos de actuación ante incidencias y porque pueden asumir indefinidamente, además, otras tareas contingentes con sentido y sensibilidad mientras el proceso de seguridad afectado se recupera y vuelve a la normalidad. Saludos al Sitio.

¿Quiénes somos?

El problema de esta pregunta no es que te la hagas tú, sino que te la hagan otros. Vamos, que el meollo está en la respuesta a "Y tú ¿quién coño eres?", claro, que si estás en una novela de Philip K. Dick, preguntarte a tí mismo quién eres no es baladí, no.

Escenario: Telefonillo: "meeeec". Altavoz: "¿Quién eeeeeees?". Respuesta: "Yo". Altavoz: "Te abro". Este aparentemente sencillo ¿proceso? de seguridad encierra una gran complejidad que muy difícilmente se puede replicar, sobre todo si no se entiende.

Supongo que conoces la educción del conocimiento, una herramienta tan potente como escasamente utilizada, y mucho menos en estos asuntos de la identificación (porque no olvides que de lo que realmente habla este hilo no es de "seguridad" sino de "identificación").

Unas reflexiones: ¿Crees que la gente se reconoce entre sí de forma eficaz y eficiente? ¿Se miran el iris, se escanean las huellas dactilares o se piden la PKI para ello? ¿Quizás miden las longitudes de los dedos de su interlocutor?

El problema está en que el "reconocimiento" implica - obvio - un "conocimiento" y el primer contacto sólo genera realmente confianza si se hace a través de un tercero. Para que un sistema de seguridad sea eficaz y eficiente y una de las partes no sea animal (ya no digo humana) esa parte debe aprender a reconocer a una persona y para poder enseñar algo a una máquina es necesario poder explicárselo y sólo puedes explicar lo que entiendes, y hoy por hoy apenas entendemos cómo nos reconocemos.

Mi conclusión: llaves.

La patita por debajo de la puerta

Me ha venido a la mente el cuento de las cabritillas, que antes de abrirle al lobo, le pedían que enseñara la patita por debajo de la puerta. Seguro que lo conocéis. La primera vez vieron su pataza peluda y gritaron asustadas, rechazando abrirle. Pero la segunda vez vino con la pata blanqueada con harina, y le abrieron, creyendo que era mamá cabritilla. O sea, que los sistemas de identificación biométrica ya vienen de antiguo, y ya se violaban entonces.

Los cuentos: fuente de sabiduría

No sólo ese cuento habla de seguridad, casi todos lo hacen:

Caperucita Roja sufre un falso positivo en el reconocimiento biométrico de su abuelita, lo mismo que la bruja de la casita de chocolate al ser engañada por el hueso de pollo; sin embargo, Cenicienta tuvo más suerte, pero si otra joven hubiera tenido el pie como ella, le habría levantado al maromo. Y Blancanieves también fallo al no reconocer a su madrastra disfrazada de bruja.

Los tres cerditos hablan de lo absurdo de poner simultáneamente medidas de seguridad fuertes y débiles y de lo importante que es tener un buen "firewall" por si acaso...

También hablan del poder de los nombres y la importancia de mantenerlos secretos, como en el caso de Rumpelstinki ¡Y que decir de las contraseñas! Alí Babá no fue muy precavido al gritarla a los cuatro vientos.

Y si vamos a cuentos más antiguos aprenderemos que el problema no fueron los troyanos, sino los itaquenses (no se si se llaman así), o el poder de un buen backtracking, que nos enseñaron Ariadna y posteriormente Pulgarcito, o que los puntos débiles siempre se acaban conociendo, como el "exploit" de Aquiles o el de Sigfredo.

En fin, que los cuentos populares son una buena fuente de sabiduría sobre la seguridad, y la inseguridad.

opinar

Más información sobre los formatos de texto

Texto puro

  • No se permiten etiquetas HTML.
  • Las direcciones de las páginas web y las de correo se convierten en enlaces automáticamente.
  • Saltos automáticos de líneas y de párrafos.
By submitting this form, you accept the Mollom privacy policy.
Cifrando tus datos...