هک دستگاه حضور و غیاب، از شایعه تا واقعیت
محتویات
- آیا دور زدن و تقلب در دستگاه حضور و غیاب ممکن است؟
- روش های هک دستگاه حضور و غیاب اثرانگشتی :
- 1. ساخت اثرانگشت جعلی:
- 2. ثبت اثرانگشت بیش از یک نفر به طور همزمان:
- 3. هک الگوهای بیومتریک (Biometric Template):
- روشهای تشخیص اثر انگشت جعلی در سیستمهای کنترل تردد مبتنی بر اثر انگشت:
- روش های هک دستگاه حضور و غیاب تشخیص چهره:
- روش های هک دستگاه حضور و غیاب تشخیص عنبیه:
- چه مواردی ریسک هک شدن در دستگاه های حضور و غیاب ارا افزایش میدهد؟
از مهمترین دغدغهها در حین خرید دستگاه کنترل تردد و اکسس کنترل، شبهات فراوان در رابطه با امکان دور زدن و هک دستگاه است. اما براستی قضیه هک شدن دستگاه حضور و غیاب واقعیت دارد یا شایعهای بیش نیست. در ادامه قصد داریم به بررسی موضوع و برطرف کردن شبهات در این زمینه بپردازیم. با پیشرفتهای صورت گرفته و استفاده از جدیدترین تکنولوژیهای روز دنیا، به طور قطع امکان نفوذ به سیستمهای اطلاعاتی تا حد زیادی کاهش یافته اما هک و نفوذ به سیستمهای اطلاعاتی همچنان امکان پذیر و نفوذگران هر روز به دنبال راهی برای نفوذ و سرقت اطلاعات هستند. این مسئله در رابطه با دستگاههای حضورغیاب نیز صادق بوده، هرچند با استفاده از تکنولوژی بیومتریک در دستگاههای کنترل تردد و اکسس کنترل تا حد زیادی منجر به افزایش سطح امنیت دستگاه شده است.
آیا دور زدن و تقلب در دستگاه حضور و غیاب ممکن است؟
هرچند پیشرفت تکنولوژی منجر به افزایش سطح امنیت شده اما هکرها نیز بیکار نبوده و به دنیال راهی برای نفوذ به سیستمهای اطلاعاتی هستند. پر واضح است که تقلب در دستگاه حضور غیاب کارتی بسیار راحت بوده و براحتی فرد میتواند با در اختیار داشتن کارت تردد دیگر پرسنل، اقدام به ثبت تردد نماید. به طور کلی دور زدن دستگاههای ساعت زنی قدیمی (دستگاههای حضورو وغیاب پانچی، کارت و رمز) زحمت کمتری داشته و تنها با دسترسی به کارت طرف مقابل و یا رمز ورود میتوان به راحتی دستگاه را گول زد. اما این امر در دستگاه ساعت زنی بیومتریک پیجیدهتر و نیاز به ابزار و تخصص خاص خود را دارد. از شایع ترین شیوههای هک دستگاه کنترل تردد بیومتریک میتوان به هک الگوهای بیومتریک و جعل ویژگی های بیومتریک (جعل اثر انگشت، چهره و … ) اشاره کرد.
هر چه تکنولوژی احراز هویت بکار رفته پیچیده تر بوده، راه های هک دستگاه نیز سخت تر و در بسیاری از موارد نزدیک صفر است. به عنوان مثال دستگاه حضور غیاب تشخیص چهره با ماسک نانوتایم مدل XF100fh ، به دلیل بهرمندی از الگوریتم Anti-spoofing امکان هرگونه خرابکاری و جعل در این دستگاه بسیار کم و غیر ممکن است. این دستگاه علاوه بر روش های تشخیص چهره و اسکن اثر انگشت، قابلیت احراز هویت به کمک کارت شناسایی را دارد که از مزیت های آن محسوب می شود. دستگاه حضور غیاب نانوتایم مدلXF100 قابلیت استفاده به عنوان اکسس کنترل ( قفل برقی سوم شخص، سنسور درب، دکمه خروج) را نیز دارد که در کنار قابلیت اتصال wifi می تواند تکمیل کننده این محصول به عنوان یک محصول همه چیز تمام باشد.
روش های هک دستگاه حضور و غیاب اثرانگشتی :
1. ساخت اثرانگشت جعلی:
دستیابی به اثرانگشت فرد مورد نظر و ایجاد یک نمونه از آن با استفاده از چسب، ژلاتین، سیلیکون، تصویر با کیفیت از اثرانگشت و … برای قرار دادن روی حسگر دستگاه از اولین روشهای هک دستگاه است. هر چند این روش در دستگاههایی که دارای سنسورهای اثر انگشت قدیمی هستند قابل است و اکثر دستگاههای از سنسورهای هوشمند مجهز به الگوریتم تشخیص بافت زنده (تکنولوژی LFD یا( Live Fingerprint Detection یا سنسور های حرارتی بهرمند بوده که امکان تقلب در آنها بسیار پایین است.
برای هک کردن دستگاه حضور و غیاب اثر انگشتی، فرد تنها نیاز به اثر انگشت یکی از ادمین های دستگاه دارد. شاید به نظر بیاید بدست آورد اثر انگشت ادمین سخت است اما اگر یک لیوان سیلیکونی که اثر انگشت فرد روی آن باقی مانده در اختیار داشته براحتی و با استفاده از پرینتر سه بعدی میتوان یک نسخه از اثر انگشت ادمین تهیه کرد یا در صورت عدم دسترسی به پرینتر سه بعدی از دستکش لاتکس استفاده شود. براستی اگر هک اطلاعات و دور زدن دستگاه ساعت زنی اثر انگشتی به این راحتی بوده، چه لزومی بر استفاده آن است؟
2. ثبت اثرانگشت بیش از یک نفر به طور همزمان:
در دستگاه هایی با امکان ثبت بیش از یک اثرانگشت برای هر شخص، در صورتی که اثر انگشت یک فرد دیگر ثبت شود براحتی میتواند به داده های دستگاه دسترسی پیدا کند. اما این روش براحتی قابل کنترل است و با تعریف یک ادمین برای دستگاه، ثبت اثر انگشت ها تنها توسط یک نفر صورت خواهد گرفت. این روش به راحتی قابل اجتناب است، به این منظور یک ادمین برای دستگاه تعریف کرده و تنها ادمین اجازه ثبت عملیات اثرانگشت پرسنل را داشته دارد.
3. هک الگوهای بیومتریک (Biometric Template):
با قرار گرفتن انگشت فرد بر روی حسگر دستگاه، نقاط مهم آن برای شناسایی انتخاب شده و یک تصویر تولید شده که بعد از تجزیه و تحلیل به کد باینری تبدیل و در پایگاه داده ذخیر میشود و در صورت تطبیق اثرانگشت فرد با احراز هویت اتفاق بیافد. در هک اوگهای بیومتریک، داده های باینری سرقت شده جهت معرفی و تطبی به دستگاه دیگر منتقل خواهد شد. در بسیاری از موارد سرقت کد های باینری نگران کننده نیست چراکه الگوهای معرفی و تطبیق در دستگاه های مختلف متفاوت است تنها زمانی سرقت الگوهای بیومتریک نگران کننده است که از آن برای انجام تراکنش های مالی و انتقال پول استفاده شود. امروزه با رمزنگاری داده های بیومتریک افراد بلافاصله پس از ثبت و ذخیره در دیتابیس میتوان تا حد زیادی ریک سرقت داده ها را کاهش داد. در تمام دستگاه های حضور و غیاب مبتنی بر ویژگی بیومتریک این روش هک مشترک است.
روشهای تشخیص اثر انگشت جعلی در سیستمهای کنترل تردد مبتنی بر اثر انگشت:
اندازه گیری میزان الکتریسته ساکن انگشتی که بر روی سنسور ( حسگر) قرار گرفته
تجزیه و تحلیل انحراف تصویر و جزئیات اثر انگشت توسط الگوریتم پیشرفته
تابش نور مادون قرمز به سطح سنسور و اندازه گیری فرکانس برگشتی از انگشت
روش های هک دستگاه حضور و غیاب تشخیص چهره:
دستگاههای تشخیص چهره به دلیل استفاده از الگوریتمهای شناسایی قوی تر نسبت به نمونههای اثر انگشتی و کارتی از محبوبیت بیشتری برخوردار است. این سبک از دستگاههای کنترل تردد به دلیل عدم نیاز به تماس با سطح، بهترین گزینه برای محیطهایی با ریسک بالای انتقال بیماری از جمله بیمارستانها، آزمایشگاههای تشخیص طبی و… هستند.
هرچند توسعه الگوریتمهای شناسایی مبتنی بر چهره منجر به افزایش سطح امنیت در این دستگاهها شده اما هکرها نیز به دنبال راههایی برای دور زدن الگوریتمهای فوق بوده اند. در ابتدای ظهور سیستمهای تشخیص چهره، به دلیل ضعف های موجود در پیاده سازی الگوریتم ها، دستگاه قادر به تشخیص دادن تصویر با کیفیت، از چهره واقعی نبوده و با قراردادن یک ماسک سه بعدی از چهره فرد یا تصویر با کیفیت در مقابل دوربین دستگاه براحتی امکان فریب دستگاه وجود داشت.
استفاده از مفاهیم یادگیری ماشین(Machine learning) و یادگیری عمیق (deep learning) منجر به افزایش سطح امنیت در دستگاه های حضور و غیاب تشخیص چهره شده است. جدیدترین و پیشرفته ترین روش های تشخیص صورت با ماسک، با استفاده از یادگیری عمیق (deep learning) طراحی شده است. به طوری که دستگاههای جدید نه تنها امکان هک شدن نداشته بلکه امکان تشخیص چهره با ماسک یا حتی در حین حرکت هم دارند. در وب سایت نانوتایم به نشانی www.nanotime.ir مقاله جامع در رابطه «چگونگی عملکرد دستگاه تشخیص چهره با ماسک» ارائه شده است.
روش های هک دستگاه حضور و غیاب تشخیص عنبیه:
از جمله امنترین الگوریتمهای احراز هویت بکار رفته در دستگاههای کنترل تردد میتوان به تشخیص عنبیه اشاره کرد. اسکنرهای عنبیه تعبیه شده در دستگاه کنترل تردد با تاباندن نور مادون قرمز به سطح چشم فرد و با اندازه گیری حلقه های رنگی چشم، الگوی منحصر بفردی از عنبیه چشم افراد تهیه می کند که با استفاده از چشم غیر مصلح قابل تشخیص نمی باشد. اسکنرهای عنبیه به گونه ای طراحی شده اند که کلیه عوامل مزاحم از جمله مژه ها، پلک ها و بازتاب های نور را که به طور معمول قسمت هایی از عنبیه را مسدود می کنند، شناسایی و حذف می نمایند و در نهایت مجموعه ای از پیکسل ها شامل عنبیه را در نظر می گیرد. در مرحله بعدی، الگوی خطوط و رنگ چشم را مورد تجزیه و تحلیل قرار می دهد و اطلاعات موجود در عنبیه را کد می کند. این الگو تبدیل به بیت دیجیتالی شده و با الگوهای ذخیره شده در یک پایگاه داده برای تأیید (تطبیق الگوی یک به یک) یا شناسایی (تطبیق الگوی یک به چند) مورد مقایسه قرار می گیرد.
چه مواردی ریسک هک شدن در دستگاه های حضور و غیاب ارا افزایش میدهد؟
- عدم استفاده از دستگاه های حضور وغیاب مجهز به جدیدترین تکنولوژی های امنیتی
- بلافاصله بعد از ایجاد الگو بیومتریک زمان تعریف اثرانگشت جدید و تایید اثرانگشت
- عدم استفاده از شیوه های رمزنگاری داده های ثبت شده در دیتابیس
- امن نبودن شبکه انتقال به منظورانتقال الگوهای بیومتریک بین دستگاه و سرور
- امن نبودن داده های سرور یا فضای ابری حاوی دادههای بیومتریک
- عدم نصب نرم افزار حضور وغیاب امن بر روی دستگاه
- نصب دستگاه در محلی با و پرت که امکان هر گونه هک را بالا میبرد
میشه لطفا بیشتر در رابطه با هک الگوهای بیومتریک دستگاه حضور و غیاب حرف بزنید؟