Ikiaikainen biotunniste murrettiin seminaariyleisön silmien edessä
Jo on aikoihin eletty. The Guardian kertoo älykkäästä kybermurtotyökalusta, joka simuloi keinotekoisia neuroverkkosormenjälkimalleja biometristen tunnistusjärjestelmien avaamiseen. Huh. Ainut onni tässä on, että tuo työkalu ei oikeasti ole rikollisten käsissä.
Kun New Yorkin yliopiston tutkijat hiljakkoin esittelivät mallinnusta tietoturvakonferenssissa Los Angelesissa, läsnäolijat saattoivat vain todistaa, että sormenjäljen voi väärentää. Sormenjälkeä on viime vuosisadan alusta pidetty väärentämättömänä tunnisteena, ja IT-maailmassa sitä on siksi suosittu myös kaksoistunnisteena, jolla sisäänkirjautumista varmennetaan.
Lukulaitteissa New Yorkin yliopiston tekemät sormenjälkiväärennökset pystyivät jäljittelemään yli viidesosaa sormenjäljistä. Vastaava virhemarginaali taas saisi olla korkeintaan yksi tuhannesta. Suurin osa sormenjälkilukijoista tunnistaa sormesta vain sitä koskettavan osan, siis vain osan sormenpäästä. Kybermurtoon taas riittää, että löytyy yhtä tallennettua sormenjäljen osaa vastaava kopio.
Sormenjälkilukijoiden puutteita luonnehditaan järkyttäviksi. Osa ihmisten sormenjäljissä esiintyvistä muodoista ovat yleisempiä kuin toiset – neuroverkkobotti pystyy simuloimaan miljoona kuviointia sekunnissa.
Geneeristen sormenjälkien kirjasto generoi sopivat mallit yleisimpiin eri skannereihin.
Tutkijat arvioivat, että tiedeyhteisön on parempi itse koeponnistaa sormenjälkiskannereiden tunnistuksen haavoittuvuus kuin jättää se rikollisille.
Tutkijat ovat puolustaneet etiikaltaan kyseenalaista hanketta sillä, että kyberrikollisille tehdyssä takavarikossa olisi löydetty aihepiiriä sivuavaa materiaalia. Pyrkimys murtaa biotunniste siis eli jo jossain nettirikollisten piireissä? Miksei.
Oikeasti tämä lisää tietoturvaa, kun tiedetään valmiiksi, mitkä biotunnisteista eivät ole riittävän vahvoja. Näet murtomenetelmä itsessään perustuu niin kutsuttuun sanakirjahyökkäykseen, tuttuun salasanojen generointiin suurella teholla. Eikä miljoona kertaa sekunnissa ole enää huomattavan paljon koklausta.
Organisoitujen (lue: valtiollisten) tietomurtajien on joissakin lähteissä arvioitu pääsevän jopa tuhannen miljardin arvauksen sekuntivauhtiin.
Viesti tiedeyhteisöltä on selvä: enää kaksoistunnistuskaan ei takaa käyttäjän luotettavaa identifiointia kaikkein kriittisimmissä kohteissa.
Kolmoistunnistus onkin jo käytössä. On vain ajankysymys, kun silmän iiristä simuloidaan neuroniverkoilla ja avataan tämäkin erittäin luotettava tunniste. Biotunnisteiden tienpäässä saattaa olla jopa sukusolujen käyttö tunnistautumisessa.
Paras olisi keksiä piankin uusia ja samalla kertaa helppoja ratkaisuja tunnistukseen. Siinä riittää työsarkaa, mutta siis kekseliäisyys, se on myös laillisen puolen toimijoiden etuoikeus. New Yorkin yliopiston tutkijat näyttävät mallia.
