SUSE by Ingram

นักวิจัยเผยสามารถใช้ขี้ผึ้งสร้างมือปลอม เพื่อยืนยันตัวตนผ่านระบบที่ใช้เส้นเดือดดำบนฝ่ามือได้

ในงานสัมมนา Chaos Communication Congress เมื่อปลายปี 2018 ที่ผ่านมา Jan Krissler และ Julian Albrecht นักวิจัยด้านความมั่นคงปลอดภัยได้ออกมาเล่าถึงวิธีการในการขโมยข้อมูลเส้นเลือดดำบนฝ่ามือจากระยะไกลได้จากกล้องถ่ายรูปที่ผ่านการดัดแปลง และสร้างมือปลอมขึ้นมาจากขี้ผึ้งเพื่อใช้ยืนยันตัวตนผ่านระบบที่ใช้เส้นเลือดดำบนฝ่ามือด้วยตัวตนของเหยื่อได้

Credit: Motherboard

การโจมตีนี้สามารถเริ่มต้นขึ้นได้จากการดัดแปลงกล้อง SLR โดยนำ Infrared Filter ออก ทำให้สามารถเห็นถึงรูปแบบของเส้นเลือดดำใต้ผิวหนังของเหยื่อที่ถูกถ่ายรูปได้ ซึ่งกล้องเหล่านี้ก็สามารถใช้ในการถ่ายภาพได้จากระยะ 5 เมตร ดังนั้นจึงสามารถใช้ในการขโมยรูปแบบเส้นเลือดดำของเหยื่อได้ตามงานสัมมนาหรืองานประชุมต่างๆ อย่างไรก็ดี การทดลองของนักวิจัยทั้งสองนี้ก็ต้องใช้การถ่ายภาพมากถึง 2,500 รูปในเวลา 30 วัน กว่าจะได้ภาพที่สามารถใช้งานจริงมาได้

จากนั้น ภาพที่ใช้งานได้ก็จะถูกนำไปใช้เป็นต้นแบบเพื่อสร้างโมเดลขี้ผึ้งที่มีเส้นลายของเส้นเลือดดำบนฝ่ามือ และใช้ยืนยันตัวตนผ่านระบบที่ใช้เส้นเลือดดำบนฝ่ามือได้ ก่อนจะรายงานไปยัง Fujitsu และ Hitachi ที่พัฒนาระบบยืนยันตัวตนด้วยเทคโนโลยีดังกล่าว

Krissler ได้ให้ความเห็นทิ้งท้ายเอาไว้จากความพยายามในการเจาะผ่านระบบการยืนยันตัวตนนี้ภายในเวลาเพียงประมาณ 1 เดือน ว่าการยืนยันตัวตนแบบ Biometrics นี้ยังคงต้องมีการพัฒนาต่อไปอีกมาก เพราะถึงแม้ผู้ผลิตจะพยายามปรับปรุงระบบของตนให้ดีขึ้นแค่ไหน เหล่าผู้โจมตีนั้นก็จะพยายามมองหาวิธีการใหม่ๆ เพื่อโจมตีต่อไป และวงจรนี้ก็จะต้องดำเนินต่อเนื่องไปเรื่อยๆ ในอนาคต

ที่มา: https://motherboard.vice.com/en_us/article/59v8dk/hackers-fake-hand-vein-authentication-biometrics-chaos-communication-congress

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Palo Alto Networks | Nutanix Webinar: Straight up Security with Nutanix and Palo Alto Networks

Palo Alto Networks และ Nutanix ขอเชิญเหล่า CISO, IT Security Manager, Security Engineer และผู้ที่เกี่ยวข้องกับสายงานทางด้าน IT Security …

CISA ออกเตือนพบคนร้ายสามารถ Bypass MFA เพื่อเข้าถึงบัญชี Cloud

CISA ได้ออกเตือนถึงเหตุการณ์ทั่วไปที่ตนพบเกี่ยวกับการโจมตีบัญชี Cloud ที่เกิดขึ้นได้บ่อย และมีบางกรณีที่คนร้ายสามารถลัดผ่านการป้องกันด้วย Multi-factor Authentication ได้