Τι είναι ένα spoof bounty πρόγραμμα και το liveness detection; Ποιά τα κοινά και οι διαφορές τους; Τελικά πόσο εύκολο είναι να ξεγαλάσουμε ένα authenticator app; Αν ψάχνετε απαντήσεις στις συγκεκριμένες ερωτήσεις, συνεχίστε να διαβάζετε αυτό το άρθρο.
Τι είναι το Spoof bounty πρόγραμμα;
Ένα spoof bounty πρόγραμμα είναι ένα public white hat security test, που έχει σχεδιαστεί για να διασφαλίσει ότι ένα βιομετρικό authenticator είναι ασφαλές στον πραγματικό κόσμο (όχι μόνο στο Εργαστήριο ή στην τάξη). Όπως και σε ένα software bug bounty πρόγραμμα, εάν ο tester εντοπίσει spoof που ξεγελά το σύστημα, ανταμείβεται με χρηματικό έπαθλο. Μέσω αυτής της διαδικασίας, ο προμηθευτής που παρέχει το βιομετρικό authentication software μαθαίνει για πιθανές ευπάθειες και λαμβάνει μέτρα για τη διόρθωσή τους.
Πώς τα Spoof Bounty προγράμματα ενισχύουν την ασφάλεια;
Με αυτό το open-source testing, οι πάροχοι βιομετρικών authentication λογισμικών δεν μπορούν πλέον να κρύβονται πίσω από τα “Request A Demo” links. Το λογισμικό ασφαλείας τους πρέπει να είναι ανοιχτό για όλους, προς αξιολόγηση και δοκιμή. Αυτή η προσέγγιση παρέχει διαφάνεια και οι προμηθευτές αποδεικνύουν την ασφάλειά τους στο ίδιο πραγματικό περιβάλλον, όπου λειτουργούν οι πελάτες τους.
Δείτε επίσης: Wombo.AI deepfake singing app: Μετατρέψτε φωτογραφίες σας σε deepfake βίντεο
The Liveness.com Level 1-5 Threat Vector Scale – Spoof Artifact & Bypass Levels
Όταν ένα μη ζωντανό αντικείμενο εμφανίζει ανθρώπινα χαρακτηριστικά (Artifact) και παρουσιάζεται σε κάμερα ή βιομετρικό αισθητήρα, ονομάζεται “spoof“. Φωτογραφίες, βίντεο, deepfake puppets, μάσκες και κούκλες αποτελούν συνηθισμένα παραδείγματα spoof artifacts. Όταν τα βιομετρικά δεδομένα παραβιάζονται μετά τη λήψη, ή η κάμερα παρακάμπτεται εντελώς, αυτό ονομάζεται “bypass“. Οι τρόποι που γίνονται οι παραπάνω παραβιάσεις έχουν κατηγοριοποιηθεί σε επίπεδα (levels). Δεν υπάρχουν διαθέσιμες εργαστηριακές δοκιμές για τα artifacts (level 1-3) ή Bypasses (Level 4 & 5), καθώς αυτοί οι φορείς επίθεσης λείπουν από το ISO 30107-3 Standard. Μόνο ένα πρόγραμμα Spoof Bounty μπορεί επί του παρόντος να αντιμετωπίσει τις παραβιάσεις Levels 1-5.
Δείτε παρακάτω τα Levels 1-5:
Anti-Spoofing & Liveness Detection: Είναι το ίδιο πράγμα;
Το Live Detection είναι η ικανότητα ενός υπολογιστή να καθορίζει ότι αλληλεπιδρά με έναν άνθρωπο που είναι φυσικά παρών και όχι ένα άψυχο spoof artifact.
Δείτε επίσης: Deepfake: Μία συνεχώς αυξανόμενη απειλή για τις επιχειρήσεις
Σε ένα μεγάλο βαθμό, λοιπόν, είναι το ίδιο πράγμα. Αν ένα artifact (φωτογραφία, βίντεο, μάσκα κ.λπ.) ξεγελάσει ένα face authenticator, μιλάμε για spoof. Εάν ένα τέτοιο εργαλείο ξεγελαστεί από ένα άλλον άνθρωπο, και όχι από ένα μη ζωντανό αντικείμενο, μιλάμε για impostor (matching false accept).
Πώς το Liveness Detection μας προστατεύει από απάτες ταυτότητας;
Το Liveness detection εμποδίζει ένα artifact να ξεγελάσει το authenticator app. Ο νόμιμος χρήστης πρέπει να είναι φυσικά παρών για να έχει πρόσβαση στους λογαριασμούς του. Ουσιαστικά, το Liveness detection εμποδίζει τα bots και κακόβουλους εγκληματίες να χρησιμοποιούν κλεμμένες φωτογραφίες, βίντεο deepfake, μάσκες ή άλλα αντικείμενα για να αποκτήσουν πρόσβαση σε λογαριασμούς τρίτων. Έτσι μόνο, οι πραγματικοί χρήστες μπορούν να δημιουργήσουν και να αποκτήσουν πρόσβαση σε λογαριασμούς.
Τα Liveness checks επιλύουν ορισμένα πολύ σοβαρά προβλήματα. Για παράδειγμα, το Facebook έπρεπε να διαγράψει 5,4 δισεκατομμύρια πλαστούς λογαριασμούς μόνο το 2019! Η απαίτηση αποδείξεων Liveness θα είχε αποτρέψει τη δημιουργία αυτών των fake accounts.
Γιατί τα Spoof Bounty προγράμματα είναι πιο έμπιστα από τις εργαστηριακές δοκιμές;
Τα Spoof Bounty προγράμματα είναι το μέλλον των βιομετρικών δοκιμών ασφαλείας, επειδή κανένα εργαστήριο δεν μπορεί να δημιουργήσει ή να αγοράσει όλα τα spoof artifacts. Τα περισσότερα εργαστήρια δοκιμάζουν presentation attack detection (PAD) χρησιμοποιώντας μόνο πέντε ή έξι artifacts. Αυτός ο μικρός αριθμός δεν ανταποκρίνεται στους κινδύνους του πραγματικού κόσμου.
Για παράδειγμα, εάν είχατε ένα εκατομμύριο χρήστες, τότε το βιομετρικό authenticator θα έβλεπε 10.000-20.000 διαφορετικά spoof artifacts. Αν το συγκρίνετε με τα πέντε έξι των εργαστηριακών δοκιμών, μπορείτε να καταλάβετε γιατί είναι πολύ πιο δύσκολο να είστε ασφαλείς στον πραγματικό κόσμο.
FaceTec
Είναι σημαντικό να ξέρετε αν ο προμηθευτής authentication software διαθέτει ένα spoof bounty πρόγραμμα για να είναι σίγουρος ότι μπορεί να αντιμετωπίσει διάφορες νέες απειλές, όπως τα deepfakes. Προς το παρόν, ο μόνος προμηθευτής βιομετρικού ελέγχου ταυτότητας με ενεργό, real-world spoof bounty είναι η FaceTec. Έχοντας ήδη απορρίψει πάνω από 80.000 επιθέσεις spoof, ο στόχος του Spoof Bounty προγράμματος είναι να αποκαλύψει άγνωστες ευπάθειες στη 3D Face Authentication λύση της, ώστε να μπορέσει η εταιρεία να τις διορθώσει και να ενισχύσει τις anti-spoofing δυνατότητές της.
Η FaceTec ξεκίνησε το πολυεπίπεδο spoof bounty πρόγραμμα το φθινόπωρο του 2019, προσφέροντας αρχικά 30.000 $ σε hackers που ήταν σε θέση να ξεγελάσουν το βιομετρικό σύστημα ελέγχου ταυτότητας της, 3D Face Authentication. Το Level 1 έδινε 15.000 $ σε όποιον μπορούσε να εξαπατήσει το σύστημα χρησιμοποιώντας μια φωτογραφία ή βίντεο υψηλής ανάλυσης. Το Level 2 προσέφερε 10.000 $ για presentation attacks με τη χρήση υλικών, όπως μάσκες, ενώ το Level 3 έδινε 5.000 $ για επιθέσεις με εξαιρετικά ρεαλιστικά 3D sculptures.
Δείτε επίσης: Microsoft: Αγώνας κατά των deepfake με νέο εργαλείο ανίχνευσης
Από πέρυσι, οι αμοιβές έχουν αυξηθεί σημαντικά, ενώ έχουν προστεθεί δύο επιπλέον επίπεδα.
Η FaceTec είχε αναφέρει πέρυσι ότι είχαν γίνει χιλιάδες προσπάθειες spoofing κατά του 3D Face Authentication, μέσω του spoof bounty προγράμματος της, και η τεχνολογία της είχε ποσοστό ακρίβειας μεγαλύτερο από 99,997%.
Πηγή πληροφοριών: spoofbounty.com