رپورتاژ آگهی

هک دستگاه حضور و غیاب، از شایعه تا واقعیت

از مهمترین دغدغه‌ها در حین خرید دستگاه کنترل تردد و اکسس کنترل، شبهات فراوان در رابطه با امکان دور زدن و هک دستگاه است. اما براستی قضیه هک شدن دستگاه حضور و غیاب واقعیت دارد یا شایعه‌ای بیش نیست. در ادامه قصد داریم به بررسی موضوع و برطرف کردن شبهات در این زمینه بپردازیم. با پیشرفت‌های صورت گرفته و استفاده از جدیدترین تکنولوژی‌های روز دنیا، به طور قطع امکان نفوذ به سیستم‌های اطلاعاتی تا حد زیادی کاهش یافته اما هک و نفوذ به سیستم‌های اطلاعاتی همچنان امکان پذیر و نفوذگران هر روز به دنبال راهی برای نفوذ و سرقت اطلاعات هستند. این مسئله در رابطه با دستگاه‌های حضورغیاب نیز صادق بوده، هرچند با استفاده از تکنولوژی بیومتریک در دستگاه‌های کنترل تردد و اکسس کنترل تا حد زیادی منجر به افزایش سطح امنیت دستگاه شده است.

روش های هک الگوریتم تشخیص اثر انگشت

آیا دور زدن و تقلب در دستگاه حضور و غیاب ممکن است؟

هرچند پیشرفت تکنولوژی منجر به افزایش سطح امنیت شده اما هکرها نیز بیکار نبوده و به دنیال راهی برای نفوذ به سیستم‌های اطلاعاتی هستند. پر واضح است که تقلب در دستگاه حضور غیاب کارتی بسیار راحت بوده و براحتی فرد می‌تواند با در اختیار داشتن کارت تردد دیگر پرسنل، اقدام به ثبت تردد نماید. به طور کلی دور زدن دستگاه‌های ساعت زنی قدیمی (دستگاه‌های حضورو وغیاب پانچی، کارت و رمز) زحمت کمتری داشته و تنها با دسترسی به کارت طرف مقابل و یا رمز ورود میتوان به راحتی دستگاه را گول زد. اما این امر در دستگاه ساعت زنی بیومتریک پیجیده‌تر و نیاز به ابزار و تخصص خاص خود را دارد. از شایع ترین شیوه‌های هک دستگاه کنترل تردد بیومتریک می‌توان به هک الگوهای بیومتریک و جعل ویژگی های بیومتریک (جعل اثر انگشت، چهره و … ) اشاره کرد.

هر چه تکنولوژی احراز هویت بکار رفته پیچیده تر بوده، راه های هک دستگاه نیز سخت تر و در بسیاری از موارد نزدیک صفر است. به عنوان مثال دستگاه حضور غیاب تشخیص چهره با ماسک نانوتایم مدل XF100fh ، به دلیل بهرمندی از الگوریتم Anti-spoofing امکان هرگونه خرابکاری و جعل در این دستگاه بسیار کم و غیر ممکن است. این دستگاه علاوه بر روش های تشخیص چهره و اسکن اثر انگشت، قابلیت احراز هویت به کمک کارت شناسایی را دارد که از مزیت های آن محسوب می شود. دستگاه حضور غیاب نانوتایم مدلXF100  قابلیت استفاده به عنوان اکسس کنترل ( قفل برقی سوم شخص، سنسور درب، دکمه خروج) را نیز دارد که در کنار قابلیت اتصال wifi می تواند تکمیل کننده این محصول به عنوان یک محصول همه چیز تمام باشد.

روش های هک دستگاه حضور و غیاب اثرانگشتی :

1.    ساخت اثرانگشت جعلی:

دستیابی به اثرانگشت فرد مورد نظر و ایجاد یک نمونه از آن با استفاده از چسب، ژلاتین، سیلیکون، تصویر با کیفیت از اثرانگشت و … برای قرار دادن روی حسگر دستگاه از اولین روش‌های هک دستگاه است. هر چند این روش در دستگاه‌هایی که دارای سنسورهای اثر انگشت قدیمی هستند قابل است و اکثر دستگاه‌های از سنسورهای هوشمند مجهز به الگوریتم تشخیص بافت زنده (تکنولوژی LFD یا( Live Fingerprint Detection  یا سنسور های حرارتی بهرمند بوده که امکان تقلب در آنها بسیار پایین است.

راه های جلوگیری از هک دستگاه حضور و غیاب

برای هک کردن دستگاه حضور و غیاب اثر انگشتی، فرد تنها نیاز به اثر انگشت یکی از ادمین های دستگاه دارد. شاید به نظر بیاید بدست آورد اثر انگشت ادمین سخت است اما اگر یک لیوان سیلیکونی که اثر انگشت فرد روی آن باقی مانده در اختیار داشته براحتی و با استفاده از پرینتر سه بعدی می‌توان یک نسخه از اثر انگشت ادمین تهیه کرد یا در صورت عدم دسترسی به پرینتر سه بعدی از دستکش لاتکس استفاده شود. براستی اگر هک اطلاعات و دور زدن دستگاه ساعت زنی اثر انگشتی به این راحتی بوده، چه لزومی بر استفاده آن است؟

2. ثبت اثرانگشت بیش از یک نفر به طور همزمان:

در دستگاه هایی با امکان ثبت  بیش از یک اثرانگشت برای هر شخص، در صورتی که اثر انگشت یک فرد دیگر ثبت شود براحتی می‌تواند به داده های دستگاه دسترسی پیدا کند.  اما این روش براحتی قابل کنترل است و با تعریف یک ادمین برای دستگاه، ثبت اثر انگشت ها تنها توسط یک نفر صورت خواهد گرفت. این روش به راحتی قابل اجتناب است، به این منظور یک ادمین برای دستگاه تعریف کرده و تنها ادمین اجازه ثبت عملیات اثرانگشت پرسنل را داشته دارد.

3. هک الگوهای بیومتریک (Biometric Template):

با قرار گرفتن انگشت فرد بر روی حسگر دستگاه، نقاط مهم آن برای شناسایی انتخاب شده و یک تصویر تولید شده که بعد از تجزیه و تحلیل به کد باینری تبدیل و در پایگاه داده ذخیر می‌شود و در صورت تطبیق اثرانگشت فرد با احراز هویت اتفاق بیافد. در هک اوگهای بیومتریک، داده های باینری سرقت شده  جهت معرفی و تطبی به دستگاه دیگر منتقل خواهد شد. در بسیاری از موارد سرقت کد های باینری نگران کننده نیست چراکه الگوهای معرفی و تطبیق در دستگاه های مختلف متفاوت است تنها زمانی سرقت الگوهای بیومتریک نگران کننده است که از آن برای انجام تراکنش های مالی و انتقال پول استفاده شود. امروزه با رمزنگاری داده های بیومتریک افراد بلافاصله پس از ثبت و ذخیره در دیتابیس میتوان تا حد زیادی ریک سرقت داده ها را کاهش داد. در تمام دستگاه های حضور و غیاب مبتنی بر ویژگی بیومتریک این روش هک  مشترک است.

روش‌های تشخیص اثر انگشت جعلی در سیستم‌های کنترل تردد مبتنی بر اثر انگشت:

اندازه گیری میزان الکتریسته ساکن انگشتی که بر روی سنسور ( حسگر) قرار گرفته

تجزیه و تحلیل انحراف تصویر و جزئیات اثر انگشت توسط الگوریتم پیشرفته

تابش نور مادون قرمز به سطح سنسور و اندازه گیری فرکانس برگشتی از انگشت

روش های هک دستگاه حضور و غیاب تشخیص چهره:

دستگاه‌های تشخیص چهره به دلیل استفاده از الگوریتم‌های شناسایی قوی تر نسبت به نمونه‌های اثر انگشتی و کارتی از محبوبیت بیشتری برخوردار است. این سبک از دستگاه‌های کنترل تردد به دلیل عدم نیاز به تماس با سطح، بهترین گزینه برای محیط‌هایی با ریسک بالای انتقال بیماری از جمله بیمارستان‌ها، آزمایشگاه‌های تشخیص طبی و… هستند.

هرچند توسعه الگوریتم‌های شناسایی مبتنی بر چهره منجر به افزایش سطح امنیت در این دستگاه‌ها شده اما هکرها نیز به دنبال راه‌هایی برای دور زدن الگوریتم‌های فوق بوده اند. در ابتدای ظهور سیستم‌های تشخیص چهره، به دلیل ضعف های موجود در پیاده سازی الگوریتم ها، دستگاه قادر به تشخیص دادن تصویر با کیفیت، از چهره واقعی نبوده و با قراردادن یک ماسک سه بعدی از چهره فرد یا تصویر با کیفیت در مقابل دوربین دستگاه براحتی امکان فریب دستگاه وجود داشت.

دور زدن دستگاه حضور غیاب تشخیص چهره

همچنین اگر در مورد این مطلب سوالی داشتید در انتهای صفحه در قسمت نظرات بپرسید

استفاده از مفاهیم یادگیری ماشین(Machine learning) و یادگیری عمیق (deep learning) منجر به افزایش سطح امنیت در دستگاه های حضور و غیاب تشخیص چهره شده است. جدیدترین و پیشرفته ترین روش های تشخیص صورت با ماسک، با استفاده از یادگیری عمیق (deep learning) طراحی شده است. به طوری که دستگاه‌های جدید نه تنها امکان هک شدن نداشته بلکه امکان تشخیص چهره با ماسک یا حتی در حین حرکت هم دارند. در وب سایت نانوتایم به نشانی www.nanotime.ir مقاله جامع در رابطه «چگونگی عملکرد دستگاه تشخیص چهره با ماسک» ارائه شده است.

روش های هک دستگاه حضور و غیاب تشخیص عنبیه:

از جمله امن‌ترین الگوریتم‌های احراز هویت بکار رفته در دستگاه‌های کنترل تردد می‌توان به تشخیص عنبیه اشاره کرد. اسکنرهای عنبیه تعبیه شده در دستگاه کنترل تردد با تاباندن نور مادون قرمز به سطح چشم فرد و با اندازه گیری حلقه های رنگی چشم، الگوی منحصر بفردی از عنبیه چشم افراد تهیه می کند که با استفاده از چشم غیر مصلح قابل تشخیص نمی باشد. اسکنرهای عنبیه به گونه ای طراحی شده اند که کلیه عوامل مزاحم از جمله مژه ها، پلک ها و بازتاب های نور را که به طور معمول قسمت هایی از عنبیه را مسدود می کنند، شناسایی و حذف می نمایند و در نهایت مجموعه ای از پیکسل ها شامل عنبیه را در نظر می گیرد. در مرحله بعدی، الگوی خطوط و رنگ چشم را مورد تجزیه و تحلیل قرار می دهد و اطلاعات موجود در عنبیه را کد می کند. این الگو تبدیل به بیت دیجیتالی شده و با الگوهای ذخیره شده در یک پایگاه داده برای تأیید (تطبیق الگوی یک به یک) یا شناسایی (تطبیق الگوی یک به چند) مورد مقایسه قرار می گیرد.

چه مواردی ریسک هک شدن در دستگاه های حضور و غیاب ارا افزایش میدهد؟

  • عدم استفاده از دستگاه های حضور وغیاب مجهز به جدیدترین تکنولوژی های امنیتی
  • بلافاصله بعد از ایجاد الگو بیومتریک زمان تعریف اثرانگشت جدید و تایید اثرانگشت
  • عدم استفاده از شیوه های رمزنگاری داده های ثبت شده در دیتابیس
  • امن نبودن شبکه انتقال به منظورانتقال الگوهای بیومتریک بین دستگاه و سرور
  • امن نبودن داده های سرور یا فضای ابری حاوی داده‌های بیومتریک
  • عدم نصب نرم افزار حضور وغیاب امن بر روی دستگاه
  • نصب دستگاه در محلی با و پرت که امکان هر گونه هک را بالا می‌برد
5/5 - (2 امتیاز)

برای دریافت مطالب جدید کانال تلگرام یا پیج اینستاگرام آیرنکس را دنبال کنید.
تصویر از محمد رحیمی

محمد رحیمی

محمد رحیمی هستم. سعی میکنم در آیرنکس مطالب مفید قرار بدهم. سوالات مربوط به این مطلب را در قسمت نظرات همین مطلب اعلام کنید. سعی میکنم در اسرع وقت به نظرات شما پاسخ بدهم.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.