18 octubre 2009

Hackeos memorables: sistema biometrico con gominolas

Tsutomu Matsumoto es un investigador japonés especialista en criptografía y sistemas biométricos. Entre sus trabajos más destacados se encuentra uno de los hackeos memorables más dulces de todos los tiempos que hoy recordaremos.

En el año 2002 publicaba el artículo: "Impact of artificial "gummy" fingers on fingerprint systems" (cryptome) en el que Matsumoto describía varios métodos para saltarse sistemas de autenticación biométrica basados en huellas dactilares.

El primero de los métodos es el mismo que tantas veces se ve en películas de espias donde meten la llave que quieren duplicar en una pequeña caja y esta hace de molde. Solo que en esta ocasión la llave es un dedo y el molde está hecho con 35 gramos de FreePlastic.

El problema de este sistema es que necesita el dedo original y obtenerlo temporalmente es algo más complicado que en el caso de una llave.

Sobre el molde, la gelatina de los ositos de gominola (de los de toda la vida, nada de usar los que llevan azúcar pegada).

Otra opción que se describe en el informe, es la obtención de la huella original de otro objeto como un vaso o botella. Mediante el uso de cinta adhesiva con cianocrilato se obtiene la impresión que es fotografiada con una cámara digital (por ejemplo Nikon último modelo) y con un editor de imágenes (Phoshotop de toda la vida) afinar detalles aumentando el contraste, imprimir sobre una diapositiva y utilizar esta para grabar la huella en el cobre de una tarjeta de circuito impreso foto-sensible (PCB) que será el molde final para la gelatina de gominola.

Con estos sistemas se consiguió engañar con una tasa de acierto de un 80% a los distintos dispositivos biométricos, aunque cabe señalar que ninguno de ellos estaba diseñado para controlar accesos de entornos críticos.

Me pregunto que sería capaz de hacer Matsumoto con una bolsa de M&M's (los que son como Lacasitos)

Referencias:
Presentación de Matsumoto
CryptoMe

16 comments :

Fran dijo...

Hay un capítulo de Cazadores de mitos que realizan un pequeño estudio para saltarse sistemas de seguridad, incluidos sistemas biométricos de huellas dactilares, es bastante entretenido porque realizan algo similar a lo comentado aquí.

Alejandro Ramos dijo...

Buenas Fran, efectivamente los Cazores hicieron algunas demostraciones, el video circula por internet, por ejemplo en Metacafe

Aleks dijo...

Yo escribì algo al respecto:

http://leteoeunoe.blogspot.com/2008/09/como-hacer-huellas-postizas-para.html

Aleks

tayoken dijo...

Zac Franken hizo una presentación llamada "Is That a Unique Credential in Your Pocket or Are You Just Pleased to See Me?" en la Defcon 16 y en la primera página de sus slides se podía ver un bonito oso de gominola.

Beltham dijo...

Hola alguien sabe alguna web donde se encuentre el freeplastic?

Anónimo dijo...

Esto me parece una tontería, cualquier sistema biométrico de huellas de hoy en día, controla mas parámetros, por ejemplo la temperatura de la persona etc...

Anónimo dijo...

Los lacasitos y los M&M's no tienen anda que ver, los M&M's originales tienen un cacahuete dentro y son esféricos y no con forma de ovni :)

Blackhold dijo...

a mi si me dan un oso-gominola, me lo como.

XayOn dijo...

Ese comentario ha sido bestial Blackhold... x-D

dx4cpc dijo...

Qué rico que está todo...
Aún así siempre nos quedará el escáner de ojete, que nunca falla,
¿no? Ojetes de gelatina no hay, ¿verdad?

Anónimo dijo...

Seguro que con gominolas con azucar algo se puede hacer, lo que pasa es que Matsumoto aun no lo sabe.

oo

Anónimo dijo...

de gominola no se, pero los teneis de chocolate
http://farnham.blogspot.com/2008/05/edible-assholes-out-of-chocolate.html

FilEMASTER dijo...

yo estoy con Blackhold, me pasaría lo mismo con el oso de gominola...

¿no se puede hacer con algo menos suculento?

PD: no hay sensores de estos que detectan presencia de "vida" digo yo que sería mas dificil engañarlos :S

keil dijo...

¿Esto también se puede considerar un hackeo memorable?
Hackeos Memorables: Falun Gong

Diego dijo...

Los que detectan temperatura corporal, o incluso el "pulso" tambien se pueden engañar bajo los mismos parametros, solo que no se puede usar las "gomitas" porque no pueden alcanzar la misma temperatura corporal; y si se intenta calentarlos para lograr la temperatura optima pierden consistencia, por lo que tambien se deforma el mapa de huellas. Para eso hay que usar otro tipo de material, como por ejemplo la piel artificial casera (no es tan facil como conseguir unos "gomi" en el kiosco pero tampoco tan dificil como cortar el dedo original)

Alberto dijo...

Por lo general, cualquier dispositivo biométrico (óptico) de huella digital que se precie, debería realizar en su captura de datos varias tomas seguidas (aunque en apariencia una sola para el usuario) y comprobar si son exáctamente la misma. En el caso de las falsificaciones con siliconas (u ositos de gominola, sic) serían detectables. Por supuesto el tema del control de vida por pulso funciona bastante bien y es bastante más difícil de falsificar de lo que pueda parecer.