Τι είναι ένα spoof bounty
πρόγραμμα
και το liveness detection; Ποιά τα κοινά και οι
διαφορές
τους; Τελικά πόσο εύκολο είναι να ξεγαλάσουμε ένα authenticator app; Αν ψάχνετε απαντήσεις στις συγκεκριμένες ερωτήσεις, συνεχίστε να διαβάζετε αυτό το άρθρο.
Τι είναι το Spoof bounty
πρόγραμμα
;
Ένα
spoof bounty
πρόγραμμα
είναι ένα
public white hat security test,
που έχει σχεδιαστεί για να διασφαλίσει ότι ένα
βιομετρικό authenticator είναι ασφαλές στον πραγματικό κόσμο
(όχι μόνο στο Εργαστήριο ή στην τάξη). Όπως και σε ένα software
bug bounty
πρόγραμμα
, εάν ο tester εντοπίσει spoof που ξεγελά το
σύστημα
,
ανταμείβεται με χρηματικό έπαθλο
. Μέσω αυτής της διαδικασίας, ο προμηθευτής που παρέχει το βιομετρικό authentication software
μαθαίνει για πιθανές
ευπάθειες
και λαμβάνει μέτρα για τη διόρθωσή τους.
Πώς τα Spoof Bounty
προγράμματα ενισχύουν την
ασφάλεια
;
Με αυτό το open-source testing, οι πάροχοι βιομετρικών authentication λογισμικών
δεν μπορούν πλέον να κρύβονται πίσω από τα “Request A Demo” links.
Το λογισμικό
ασφαλείας
τους πρέπει να είναι ανοιχτό για όλους, προς αξιολόγηση και δοκιμή. Αυτή η προσέγγιση παρέχει
διαφάνεια
και οι προμηθευτές αποδεικνύουν την ασφάλειά τους στο ίδιο πραγματικό περιβάλλον, όπου λειτουργούν οι πελάτες τους.
Δείτε επίσης
: Wombo.AI deepfake singing app: Μετατρέψτε
φωτογραφίες
σας σε deepfake βίντεο
The Liveness.com Level 1-5 Threat Vector Scale – Spoof Artifact & Bypass Levels
Όταν ένα
μη ζωντανό αντικείμενο
εμφανίζει ανθρώπινα
χαρακτηριστικά
(Artifact) και παρουσιάζεται σε κάμερα ή βιομετρικό αισθητήρα, ονομάζεται “
spoof
“.
Φωτογραφίες
, βίντεο, deepfake puppets, μάσκες και κούκλες
αποτελούν συνηθισμένα παραδείγματα
spoof artifacts
. Όταν τα
βιομετρικά
δεδομένα
παραβιάζονται μετά τη λήψη, ή η κάμερα παρακάμπτεται εντελώς, αυτό ονομάζεται “
bypass
“. Οι τρόποι που γίνονται οι παραπάνω
παραβιάσεις
έχουν κατηγοριοποιηθεί σε επίπεδα (levels).
Δεν υπάρχουν διαθέσιμες εργαστηριακές δοκιμές για τα artifacts (level 1-3) ή Bypasses (Level 4 & 5)
, καθώς αυτοί οι φορείς επίθεσης λείπουν από το ISO 30107-3 Standard.
Μόνο ένα
πρόγραμμα
Spoof Bounty μπορεί επί του παρόντος να αντιμετωπίσει τις
παραβιάσεις
Levels 1-5.
Δείτε παρακάτω τα Levels 1-5:
Anti-Spoofing & Liveness Detection: Είναι το ίδιο πράγμα;
Το
Live Detection
είναι η ικανότητα ενός
υπολογιστή
να
καθορίζει ότι αλληλεπιδρά με έναν άνθρωπο που είναι φυσικά παρών και όχι ένα άψυχο spoof artifact.
Δείτε επίσης
: Deepfake: Μία συνεχώς αυξανόμενη απειλή για τις
επιχειρήσεις
Σε ένα μεγάλο βαθμό, λοιπόν, είναι το ίδιο πράγμα. Αν ένα artifact (φωτογραφία, βίντεο, μάσκα κ.λπ.) ξεγελάσει ένα face authenticator, μιλάμε για
spoof
. Εάν ένα τέτοιο
εργαλείο
ξεγελαστεί από ένα άλλον άνθρωπο, και όχι από ένα μη ζωντανό αντικείμενο, μιλάμε για
impostor
(matching false accept).
Πώς το Liveness Detection μας προστατεύει από απάτες ταυτότητας
;
Το
Liveness detection
εμποδίζει ένα artifact να ξεγελάσει το authenticator app
. Ο νόμιμος χρήστης πρέπει να είναι φυσικά παρών για να έχει πρόσβαση στους
λογαριασμούς
του. Ουσιαστικά, το Liveness detection εμποδίζει τα bots και κακόβουλους
εγκληματίες
να χρησιμοποιούν κλεμμένες
φωτογραφίες
, βίντεο deepfake, μάσκες ή άλλα αντικείμενα για να αποκτήσουν πρόσβαση σε
λογαριασμούς
τρίτων. Έτσι μόνο, οι πραγματικοί
χρήστες
μπορούν να δημιουργήσουν και να αποκτήσουν πρόσβαση σε
λογαριασμούς
.
Τα Liveness checks επιλύουν ορισμένα πολύ σοβαρά προβλήματα. Για παράδειγμα, το Facebook έπρεπε να διαγράψει 5,4 δισεκατομμύρια πλαστούς
λογαριασμούς
μόνο το 2019! Η απαίτηση
αποδείξεων Liveness
θα είχε αποτρέψει τη
δημιουργία
αυτών των
fake accounts
.
Γιατί τα Spoof Bounty προγράμματα είναι πιο έμπιστα από τις εργαστηριακές δοκιμές
;
Τα Spoof Bounty προγράμματα είναι το μέλλον των βιομετρικών δοκιμών
ασφαλείας
, επειδή
κανένα εργαστήριο δεν μπορεί να δημιουργήσει ή να αγοράσει όλα τα spoof artifacts
. Τα περισσότερα εργαστήρια δοκιμάζουν presentation attack detection (PAD) χρησιμοποιώντας μόνο
πέντε ή έξι artifacts
. Αυτός ο μικρός αριθμός δεν ανταποκρίνεται στους κινδύνους του πραγματικού κόσμου.
Για παράδειγμα, εάν είχατε ένα εκατομμύριο
χρήστες
, τότε το βιομετρικό authenticator θα έβλεπε 10.000-20.000 διαφορετικά spoof artifacts. Αν το συγκρίνετε με τα πέντε έξι των εργαστηριακών δοκιμών, μπορείτε να καταλάβετε γιατί είναι πολύ πιο δύσκολο να είστε ασφαλείς στον πραγματικό κόσμο.
FaceTec
Είναι σημαντικό να ξέρετε αν ο προμηθευτής authentication software διαθέτει ένα
spoof bounty
πρόγραμμα
για να είναι σίγουρος ότι μπορεί να αντιμετωπίσει διάφορες νέες
απειλές
, όπως τα deepfakes. Προς το παρόν, ο μόνος προμηθευτής βιομετρικού ελέγχου ταυτότητας με
ενεργό, real-world spoof bounty είναι η
FaceTec
. Έχοντας ήδη απορρίψει πάνω από 80.000
επιθέσεις
spoof, ο στόχος του Spoof Bounty προγράμματος είναι να
αποκαλύψει άγνωστες
ευπάθειες
στη 3D Face Authentication λύση
της, ώστε να μπορέσει η
εταιρεία
να τις διορθώσει και να ενισχύσει τις anti-spoofing δυνατότητές της.
Η FaceTec ξεκίνησε το πολυεπίπεδο spoof bounty
πρόγραμμα
το φθινόπωρο του 2019, προσφέροντας αρχικά 30.000 $ σε hackers που ήταν σε θέση να ξεγελάσουν το βιομετρικό
σύστημα
ελέγχου ταυτότητας της, 3D Face Authentication. Το Level 1 έδινε 15.000 $ σε όποιον μπορούσε να εξαπατήσει το
σύστημα
χρησιμοποιώντας μια φωτογραφία ή βίντεο υψηλής ανάλυσης. Το Level 2 προσέφερε 10.000 $ για presentation attacks με τη χρήση υλικών, όπως μάσκες, ενώ το Level 3 έδινε 5.000 $ για
επιθέσεις
με εξαιρετικά ρεαλιστικά 3D sculptures.
Δείτε επίσης
: Microsoft: Αγώνας κατά των deepfake με νέο
εργαλείο
ανίχνευσης
Από πέρυσι, οι αμοιβές έχουν αυξηθεί σημαντικά, ενώ έχουν προστεθεί δύο επιπλέον επίπεδα.
Η FaceTec είχε αναφέρει πέρυσι ότι είχαν γίνει χιλιάδες προσπάθειες spoofing κατά του 3D Face Authentication, μέσω του spoof bounty προγράμματος της, και η
τεχνολογία
της είχε ποσοστό ακρίβειας μεγαλύτερο από 99,997%.
Πηγή πληροφοριών: spoofbounty.com
Πατήστ
ε
εδώ
και ακολουθήστε το
TechWar.gr στο Google News
για να μάθετε πρώτοι όλες τις
ειδήσεις τεχνολογίας.