[ENG/PL] Jak sprawić by skaner tęczówki rozpoznał martwe oko

Data: 01.09.2019 11:10

Autor: hellboy

spectrum.ieee.org

Artykuł na temat problemów występujących w procesie skanowania tęczówek napisany przez trzech polskich badaczy: Adama Czajkę, Mateusza Trokielewicza oraz Piotra Maciejewicza.

Poniżej próba tłumaczenia mego autorstwa, skierowana do osób, które nie nie znają angielskiego, a chciałyby się czegoś o tym temacie dowiedzieć lub dla tych, których dopadł authwall IEEE…

Każde rozwarcie powiek, by sfotografować tęczówkę zmarłej osoby jest unikalnym przeżyciem.

Jeden z nas (dr Piotr Maciejewicz) swego czasu dzień i noc odbierał telefony z kostnicy szpitala Warszawskiego Uniwersytetu Medycznego. Pracownicy telefonowali często zaraz po stwierdzeniu zgonu lub przywiezieniu zwłok, aby dr Maciejewicz mógł dotrzeć do kostnicy jak najszybciej. Ciała posiadały jeszcze oznaki niedawnych wydarzeń: odłamki po wypadku komunikacyjnym lub elektrody przyklejone do skóry po nieudanej resuscytacji. Dr Maciejewicz wydawał się być skupiony na fotografowaniu tęczówek, lecz dla niego każde tego typu odwiedziny miały charakter osobisty, jak gdyby spotykał się z tymi ludźmi po śmierci. Po skończonej pracy głośno im dziękował.

Powodem, dla którego dr Maciejewicz robił zdjęcia oczu w pomieszczeniu pełnym zwłok, było poszukiwanie odpowiedzi na ciągle pojawiające się pytania dotyczące bezpieczeństwa systemów rozpoznawania tęczówek. Jako że skanowanie tęczówki powoli zyskuje na popularności, tego rodzaju pytania stają się coraz bardziej palącym problemem. Na całym świecie używa się systemów biometrycznych pozwalających na szybsze odprawy lotniskowe, wypłacanie pieniędzy z bankomatów oraz odblokowywanie telefonów jednym spojrzeniem (dla przykładu Samsung używa skanowania tęczówki, z kolei Apple postawiło na rozpoznawanie twarzy). Rządy takich krajów jak Ghana, Tanzania czy Somaliland używały takich technik do rozpoznawania zduplikowanych danych w ewidencji osób uprawnionych do głosowania w wyborach. Największy na świecie projekt biometryczny, zarządzany przez Unique Identification Authority w Indiach, używa skanowania tęczówki oraz innych cech biometrycznych do wydania unikalnego numeru, zwanego Aadhaar, mieszkańcom Indii. Do tej pory Aadhaary zostały wydane ponad miliardowi osób.

Rozpoznawanie tęczówki zdobywa popularność w tego rodzaju zastosowaniach z powodu jej struktury, która, podobnie jak odcisk palca, jest unikalna dla każdej osoby oraz nie zmienia się w trakcie życia (choć może to mieć miejsce w szczególnych przypadkach, czytaj dalej). Identyczne bliźnięta nie mają takiego samego wzoru tęczówki. Nawet Twoje prawe i lewe oko różni się pod tym względem od siebie. Przewagą tęczówki nad odciskiem palca jest jej skomplikowanie pozwalające zidentyfikować osobę z większą dozą pewności. Dodatkowo ciężej jest ją podrobić.

Ale wraz z rosnącą popularnością pojawiają się również pytania jak takie systemy działają. Jak dobrze radzą sobie z odrzucaniem fałszywych obrazów, takich jak wysokiej jakości zdjęcie? Czy potrafią -- jakkolwiek okropnie by to nie zabrzmiało -- rozpoznać gałkę oczną wyrwaną z ciała? Dodatkowo jak wygląda radzenie sobie z rzadkimi przypadkami zmian tęczówki w wyniku choroby lub uszkodzenia mechanicznego?

Standardowa wiedza na temat tęczówki opiera się na fakcie, że zaczyna ona proces rozkładu w ciągu kilku minut po śmierci. Dzięki pracy dra Maciejewicza zweryfikowano ten fakt i okazało się, że jeśli zwłoki są przechowywane w niskiej temperaturze to oko może posłużyć do identyfikacji nawet przez trzy tygodnie. Dodatkowo naukowcy stwierdzili, że systemy rozpoznawania nie radzą sobie z wykrywaniem martwych oczu. Przyszłe generacje technik rozpoznawania tęczówek zatem muszą być do tego zdolne, jeśli nie chcemy żyć w świecie, w którym ludzie mogą używać gałek ocznych innych osób celem uzyskania dostępu do informacji dla nich nieprzeznaczonych. Pisząc bardziej realnie: systemy muszą być na tyle elastyczne, by zaadaptować się do zmian tęczówki na skutek chorób i uszkodzeń, ale na tyle precyzyjne, by radzić sobie z fałszywkami.

Dzisiejsze komercyjne systemy rozpoznawania tęczówek używają bliskiej podczerwieni by podświetlić oko do skanowania. Takie światło zdaje egzamin z uwagi na fakt, że jest absorbowane w niskim stopniu przez melaninę -- pigment, który wraz z innymi czynnikami determinuje kolor tęczówki.

Wspomniane systemy polegają również na metodach segmentacji obrazu, na ten zawierający tęczówkę oraz ten bez niej. Segmentacja pozwala na użycie obrazu, gdzie tęczówka jest przysłonięta rzęsami, odbija się od niej światło lub jest zniekształcona/uszkodzona. Następnie obraz jest filtrowany, żeby wzorzec dało się wygodnie zamienić na dane binarne. Obecnie dostępne oprogramowanie potrafi bardzo szybko znaleźć pasujące fragmenty w bazie danych.

Jedną z najważniejszych cech tych systemów jest to, że wszystkie pracują na nieruchomym obrazie tęczówki. W takim przypadku prosty test na stwierdzenie czy oko jest „żywe”, czyli sprawdzenie jak źrenica zachowa się po oświetleniu, nie zawsze jest możliwy. Istnieją też inne problemy, na przykład rogówka -- ochronna, przezroczysta powłoka mętnieje zaraz po śmierci. O ile jest to dobrze widzialne w zwykłym świetle, tak w bliskiej podczerwieni jest ona nadal przezroczysta. Dodatkowo po śmierci źrenice zatrzymują się w półrozszerzonej pozie -- idealnej z punktu widzenia systemów do rozpoznawania tęczówki.

Powyższe czynniki oraz nasze badania algorytmów potwierdzają, że tęczówki pozostają możliwe do rozpoznania do 21 dni po śmierci. Niesie to również ważną i pozytywną implikację: rozpoznawanie tęczówki może pomóc służbom w identyfikacji zwłok. Tradycyjnie dzieje się to za pomocą badania DNA, odcisków palców lub uzębienia, ale takie działania zajmują mnóstwo czasu, a skan tęczówki pozwoliłby na określenie personaliów denata w kilka chwil.

Jak wspomnieliśmy niestety ktoś może posłużyć się gałką oczną zmarłej osoby do uzyskania dostępu do niejawnych informacji lub miejsc. Filmy science-fiction już prezentowały takie scenariusze jednak nie miało to miejsca w rzeczywistości. Jednak jeśli systemy rozpoznawania tęczówki są podatne na takie ataki to warto spytać jak jeszcze można je oszukać. A sposobów takich, jak się okazuje, jest wiele.

W 2002 roku grupa niemieckich badaczy i hakerów zaprezentowała atak polegający na trzymaniu kartki papieru z wydrukowanym obrazem tęczówki z wyciętą dziurą zamiast źrenicy. Co może dziwić, po 15 latach, w 2017 roku grupa Chaos Computer Club pokazała, że Samsung Galaxy S8 może zostać oszukany zdjęciem oka z założoną soczewką kontaktową. Haczyk tkwi w tym, że aparat, którym wykonujemy zdjęcie musi mieć wyłączone filtrowanie bliskiej podczerwieni. W telefonach komórkowych może to nie być takie proste do osiągnięcia, jednak w droższych aparatach powinno się udać bez problemu.

W związku ze zwiększonym zainteresowaniem specjalistów od bezpieczeństwa zaczęto szukać sposobów jak przeciwdziałać takim atakom.

Jednym z możliwych rozwiązań jest fotostereoskopia -- technika pozwalająca uchwycić trójwymiarowy obraz fotografowanego obiektu. Polega to na tym, że badany przedmiot jest podświetlany kolejno z wielu stron i za każdym razem robione jest zdjęcie. Następnie jest możliwe określenie orientacji obiektu w przestrzeni na podstawie analizy odbić światła pod różnymi kątami. Metoda ta pozwala, co pokazywaliśmy w tym roku, wykryć, że ktoś założył soczewkę kontaktową z obrazem tęczówki innej osoby. Na szczęście większość współczesnych systemów rozpoznawania może zostać zaadaptowana do użycia tej techniki bez dużych zmian sprzętowych. Inną możliwością może być przystosowanie systemów do wykrywania charakterystycznych śladów pozostawianych przez drukarki.

Istnieje kilka technik, które mogą pomóc w rozpoznaniu martwych oczu. Jedna z nich zakłada wykorzystanie czujnika termicznego wykrywającego zbyt chłodne, jak na żywy organizm, oko. Jest to jednak drogie rozwiązanie.

Inną metodą może być zwrócenie uwagi na zwężanie i rozszerzanie źrenicy. Udało nam się zbudować model, który służy do rozpoznania żywego oka w ciągu mniej więcej 3 sekund. Samo zrobienie pojedynczego ujęcia przez obecnie działające systemy zajmuje tyle czasu, więc dobrym pomysłem byłaby paralelizacja tych procesów. Oznaczałoby to sprawdzenie tożsamości bez narzutu czasowego.

Załóżmy jednak, że chcemy mieć system rozpoznawania, który będzie w stanie posłużyć się pojedynczym ujęciem do stwierdzenia czy oko należy do martwej osoby. Będzie się to wiązało z użyciem konwolucyjnych sieci neuronowych wykorzystywanych do analizy obrazów. W 2018 roku rozwinęliśmy taką sieć w oparciu o zdjęcia żywych oraz martwych oczu. Po około dwóch godzinach treningu potrafiła ona w 99% przypadków wskazać poprawnie do jakiego oka należy tęczówka.

Istnieje zatem powód do optymizmu, że rozpoznawanie tęczówek sprosta wymaganiom bezpieczeństwa. Dodatkowo użycie nagrania wideo do badania odbić światła od powierzchni oka pozwala stworzyć podwaliny systemu odpornego na typowe scenariusze ataków z wykorzystaniem części zwłok lub szczegółowych fałszywek.

Niestety nadal borykamy się z ważnym problemem: chodzi o zmiany tęczówki w wyniku chorób. Zmiany te potrafią być na tyle dotkliwe, że mogą uniemożliwić systemowi prawidłowe rozpoznanie tożsamości badanej osoby.

Kilka różnych chorób oczu może zmienić wzór tęczówki. Rubeoza tęczówki, oderwanie tęczówki od podstawy i zrost tęczówki powodują zmianę kształtu tej części oka oraz źrenicy. Z kolei skrzydliki, zapalenie rogówki oraz krwistki mogą sprawić, że wzór tęczówki stanie się trudny do odczytu. Wszystkie te stany chorobowe oznaczają poważne problemy dla systemów rozpoznawania, a czasem wręcz uniemożliwiają ich działanie.

Naukowcy wciąż debatują jak powinno się podchodzić do tego typu problemów spowodowanych chorobą. NIST (National Institute of Standards and Technology) na przykład po zorganizowanym spotkaniu ekspertów zalecił, by każda osoba poddająca się leczeniu oczu była zobligowana do ponownego wprowadzenia obrazu swej tęczówki do bazy danych. Niestety nie doprecyzowano jak ma to zrobić jeśli system jej zwyczajnie nie będzie w stanie odczytać.

W 2013 roku zaczęliśmy badać wpływ chorób na zdolność skanowania. Odkryliśmy, że w wielu przypadkach skan jest niemożliwy do przeprowadzenia. Błąd polega na niewłaściwym przyporządkowaniu segmentów skanowanego obrazu do tęczówki i reszty oka.

Podstawowym problemem oprogramowania istniejącego obecnie na rynku jest przyjęcie, że kształt tęczówki jest zbliżony do okrągłego. O ile w większości przypadków jest to poprawne założenie, to w przypadku oczu dotkniętych chorobą nie ma zastosowania.

Rozwiązaniem problemu mogłoby być nieco bardziej elastyczne podejście do kształtu tęczówki. Pamiętacie wykorzystanie sieci neuronowych do rozpoznawania martwych oczu? W tym przypadku jest podobnie. Wraz z innymi badaczami zmagamy się obecnie ze stworzeniem systemu, który mógłby niezawodnie rozpoznać oczy zdrowe, dotknięte chorobą oraz martwe.

Inną intrygującą możliwością systemów rozpoznawania jest możliwość stwierdzenia tożsamości na podstawie jedynie wybranych fragmentów tęczówki, tak jak to obecnie wygląda w przypadku odcisków palców. Dla przykładu zatoki -- widoczne zagłębienia w obrazie tęczówki położone blisko źrenicy zmieniają swój kształt w zależności od jej rozwarcia. Być może kształt tych zatok jest unikalny dla każdego człowieka podobnie jak kształt linii papilarnych.

Jeśli okaże się jednak, że zatoki nie są unikalne to pozostają jeszcze inne opcje. W badaniu przeprowadzonym w 2017 roku poprosiliśmy uczestników, aby stwierdzili czy przedstawione dwa obrazy tęczówki są identyczne. Gdy uczestnicy próbowali znaleźć różnice, śledziliśmy ruch ich gałek ocznych, by stwierdzić, na które elementy zwracają oni najczęściej uwagę. W następnym kroku zaprzęgniemy do pracy konwolucyjną sieć neuronową, by w tych samych lokalizacjach szukała odpowiedzi na postawione pytanie.

Systemy rozpoznawania tęczówek są z nami od 25 lat, ale dopiero od niedawna staramy się zaradzić ich słabościom. W ramach tego działania zwiększamy naszą wiedzę o tęczówce. Lepiej rozumiejąc założenia, którymi się posługujemy oraz doskonaląc techniki obchodzenia tych założeń sprawimy, że przyszłe systemy będą mogły zbierać jeszcze więcej danych w mgnieniu oka.

Autorzy oryginalnego artykułu: Adam Czajka, Mateusz Trokielewicz, Piotr Maciejewicz

Dodatkowo praca w temacie rozpoznawania martwych oczu http://zbum.ia.pw.edu.pl/PAPERS/Trokielewicz_Czajka_Maciejewicz_ICB2016.pdf

#biologia #biometria #okulistyka #bezpieczenstwo #security #medycyna

Zbiór wskazówek bezpieczeństwa OWASP podany w zwięzłej formie

Data: 04.08.2019 19:01

Autor: hellboy

cheatsheetseries.owasp.org

Seria OWASP Cheat Sheet powstała, by przekazać zwięzłą kolekcję wartościowych informacji na różne tematy związane z bezpieczeństwem aplikacji. Ściągawki zostały przygotowane przez profesjonalistów zajmujących się na co dzień tematyką bezpieczeństwa IT.

Prezentowane materiały posiadają wiele linków do zewnętrznych źródeł i dokumentacji, które, w razie zainteresowania, pozwalają zgłębić temat.

#security #bezpieczenstwoit #internet #appsec #DoS #XSS #owasp

Data: 12.07.2019 08:43

Autor: hellboy

Chyba ktoś będzie miał w policji ciężki piąteczek:

Iloma pojazdami dysponuje dolnośląska policja? Jak dużo z nich to auta nieoznakowane? Do jakich celów są używane? Jakie mają tablice rejestracyjne i numery VIN? Na te i kilka innych pytań odpowiada plik Excela, który przez nieuwagę trafił do sieci.

https://zaufanatrzeciastrona.pl/post/numery-rejestracyjne-i-vin-1500-pojazdow-wroclawskiej-policji-przez-pomylke-udostepnione-w-sieci

#security #policja #wroclaw #dolnyslask

Data: 09.07.2019 08:59

Autor: hellboy

Taki tam zero-day na Maca: https://medium.com/@jonathan.leitschuh/zoom-zero-day-4-million-webcams-maybe-an-rce-just-get-them-to-visit-your-website-ac75c83f4ef5

This vulnerability allows any website to forcibly join a user to a Zoom call, with their video camera activated, without the user's permission.

On top of this, this vulnerability would have allowed any webpage to DOS (Denial of Service) a Mac by repeatedly joining a user to an invalid call.

Additionally, if you’ve ever installed the Zoom client and then uninstalled it, you still have a localhost web server on your machine that will happily re-install the Zoom client for you, without requiring any user interaction on your behalf besides visiting a webpage. This re-install ‘feature’ continues to work to this day.

#security #it #mac #zoom

Data: 19.06.2019 21:10

Autor: AdJoywekshodavgejhyRavHup7Knat

Dzisiaj o dwóch podatnościach.

Pierwsza – dotyczy większości linuksów – pozwala na zdalne wywołanie kernel panic, czyli de facto wyłączenie hosta.

Tymczasowy workaround, to: echo 0 >/proc/sys/net/ipv4/tcp_sack

Podatność znaleźli panowie z #netflix :)

więcej: https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001.md

Druga – to dziura w Firefoxie, pozwalająca na wykonanie kodu w systemie.

Uwaga! Ta dziura jest aktywnie wykorzystywana na użytkownikach kryptowalut!

Recepta: upgrade do wersji 67.0.3 lub ESR 60.7.1

Do znalezienia przyczyniły się bezpieczniki z Coinbase :)

więcej: https://www.zdnet.com/article/mozilla-patches-firefox-zero-day-abused-in-the-wild/

#security #it #kryptowaluty #linux

Data: 31.05.2019 20:04

Autor: AdJoywekshodavgejhyRavHup7Knat

A dzisiaj zapowiedź czegoś mocnego. Siedzicie?

RCE (remote code execution) w ostatnich wersjach nginx.

Dla niewtajemniczonych: za tym stoi mniej więcej połowa internetu.

Więcej info będzie dostępne na dniach (deadline to 6 czerwca), jak tylko pojawią się poprawki.

src: https://twitter.com/alisaesage/status/1134400951043874816

#nginx #security

Podcast random:press 009: insulinowy hacking, ziemniaki GMO, atak na Dockera

Data: 01.05.2019 17:32

Autor: siefca

randomseed.pl

Hakowanie pomp insulinowych, PepsiCo pozywa rolników w Indiach, duży wyciek danych z chmury Microsoftu, włamanie do Docker Huba, wyciekły dane finansowe dużych korporacji, konwerter raportów systemu Windows, detektor anomalii na bazie geolokalizacji adresów IP, informacje o lukach w urządzeniach sieciowych Huawei.

#podcast #randompress #technologia #security #GMO #cukrzyca #docker #wyciek

Podcast random:press #008 – IT security i rzeżucha

Data: 20.04.2019 19:11

Autor: siefca

randomseed.pl

  • 60 milionów rekordów z serwisu #LinkedIn;

#Facebook przypadkiem przetworzył kontakty 1,5 miliona użytkowników;

– ataki #DNS Sea Turtle wykryte przez zespół Cisco Talos;

– były szef Mozilli twierdzi, że #Google sabotował rozwój przeglądarki #Firefox;

#Microsoft utracił kontrolę nad Kafelkami #Windows;

– analiza 10 milionów haseł, które kiedyś wyciekły do Sieci;

– toksyczna pozytywność w serwisach społecznościowych.

#podcast #security

Podcast random:press #007 – bezpieczeństwo, programowanie, forensic

Data: 13.04.2019 21:36

Autor: siefca

randomseed.pl

Lepiej w piersi wcierać zboże

Niż mieć azyl w Ekwadorze.

Pracownicy Amazona słuchają nagrań z urządzenia #Alexa; Julian Assange z #WikiLeaks– bohater czy zdrajca; niemiecki sąd nakazuje zmianę historii edycji strony w serwisie #Wikipedia; mapy monitoringu miejskiego w #OpenStreetMap; wdrożenie #Celebrate wstrzymane w Szkocji; usterki w wielu klientach #VPN; nowe wydanie języka #Clojure

#podcast #security