Identificação de vida em leitores biométricos

Identificação de vida em leitores biométricos

Este artigo apresenta estudos referente a necessidade de se utilizar indicadores para verificar se os dados biométricos capturados em processos de cadastro e autenticação foram realmente coletados a partir de partes do corpo humano, como as digitais das polpas dos dedos das mãos.

Por este motivo, denominamos de “indicador de vivacidade (IV)” a etapa que tem como função determinar se o dedo ao qual serão extraídas as informações da impressão digital trata-se de um dedo humano ou, por exemplo, uma peça de silicone com as minúcias incrustadas.

O processo de se “indicar vida” é muito importante e se deve ao fato do crescente aumento da criminalidade em território nacional, principalmente se os dados biométricos forem utilizados para autenticação em equipamentos e dispositivos que acessam contas bancárias.

Além disso, também é viável em fechaduras biométricas instaladas em residências, empresas e em estabelecimentos comerciais.

Então, neste contexto destacamos como fator preponderante para o uso da IV a evolução tecnológica e a facilidade em se reproduzir partes do corpo humano com uma impressora 3-D, ou técnicas de modelagem para fabricar dedo de silicone.

Logo, tudo isso pode ser utilizado para reprodução de um dado biométrico cujo objetivo é o de burlar sistemas e equipamentos com a intenção de fraudar contas bancárias, furtar objetos disponíveis em residências, empresas ou estabelecimento comerciais.

Introdução

A biometria é uma maneira eficiente de se identificar um indivíduo, este processo de autenticação é uma realidade, ele está presente nos smartphones em caixas eletrônicos (Bancos), computadores (notebooks), bibliotecas, clubes, residências, empresas, farmácias, no momento de votar em eleições de candidatos a cargos políticos, ao realizar exame médico para renovação ou retirada da Carteira de Habilitação.

Os leitores biométricos têm a função de extrair características intrínsecas a cada pessoa, por exemplo as métricas da impressão digital, e após a coleta destes dados são transformados em um algoritmo, uma senha.

Por este motivo, é comum na comunidade de biometria a frase: “Você é a senha!”. É conclusivo que a informação biométrica é personalíssima, cada indivíduo possui a sua, isso traz segurança nos processos de autenticação utilizando as informações biométricas de uma pessoa. 

A biometria é uma forma segura de autenticação, contudo, um outro fator faz com que tenhamos que nos preocupar com a origem da coleta do dado biométrico.

Então, o fator ao qual nos referimos é o relacionado ao aumento da criminalidade em território nacional, cada vez mais os indivíduos imbuídos em praticar atos ilícitos buscam as mais variadas formas de especialização para atingirem seus objetivos.

Logo, este cenário aliado ao crescente avanço tecnológico de equipamentos, máquinas, produtos e processos, possibilitam a criação de um dedo de silicone após furtar dados biométricos.

Diante do exposto, mesmo sendo seguro o processo de autenticação biométrica, precisa ser incluído no reconhecimento de um indivíduo uma outra etapa, que é a de validação da fonte ao qual se está originando a informação biométrica, se ela é realmente uma fonte gerada a partir de um humano.

Esta nova etapa, chamamos de Indicador de Vivacidade (IV) e tem como principal função detectar qual é a origem da coleta do dado biométrico, se a informação é de origem humana (|h) ou não humana (x|h).

Este indicador é muito importante e deve ser utilizado no processo de captura e guarda do dado biométrico e também no momento da autenticação.

Exemplo de um processo de cadastro e autenticação biométrica.

Na primeira etapa temos que efetuar o cadastro da informação biométrica do indivíduo, no caso acima, o leitor biométrico está colhendo as informações contidas na impressão digital. Já a segunda etapa ocorre no momento da autenticação do dado biométrico, onde o sistema irá comparar o que está sendo apresentado com o que já foi cadastrado anteriormente.

Como exemplo, podemos utilizar smartphones com desbloqueio de tela por biometria. Primeiramente preciso efetuar o cadastro da minha biometria no aparelho (impressão digital). Para o desbloqueio (autenticação), apoio o dedo no leitor biométrico do meu celular e o sistema compara a biometria que está apoiada no leitor com a que foi cadastrada anteriormente, se conferir, a tela é debloqueada, se não, a tela permanece bloqueada.


No desenho acima demonstramos um fluxo para utilização da biometria, o que é uma opção segura de autenticação, nele, não está inserido como seria o processo caso esteja presente um IV.

Material e Métodos

Furto de identidade

Se apoderar de forma ilícita das informações corporais de um ser humano, sem que haja grave ameaça ou violência a pessoa, com intuito de praticar fraude.

Teste
Tem como objetivo identificar se apenas a coleta dos dados biométricos de uma pessoa é suficiente para mitigar risco de furto de identidade.

Materiais
Construção dos artefatos a partir de polímeros, materiais construídos para imitar partes do corpo, como por exemplo um dedo humano.

TESTES

Procedimento impressão digital, etapa cadastro;

  • Dedo humano cadastrado em sistema de biometria com auxílio de um leitor
    biométrico;
  • Cópia do dedo cadastrado e confecção de artefato com minucias incrustadas;
  • Autenticação com uso do artefato (uma cópia do dedo cadastrado).

Resultado do Teste

Dedo humano cadastrado x artefato (cópia mesmo dedo), resultado: Combinando! Dedo falso autenticado, sistema concluiu ser o mesmo dedo.

Procedimento impressão digital, etapa autenticação;

  • Dedo falso cadastrado em um sistema de biometria com auxílio de um leitor
    biométrico;
  • Efetuado etapa de autenticação com dedo humano, idêntico ao dedo falso

Resultado do Teste

Artefato cadastrado x dedo humano, resultado: Combinando! Dedo falso cadastrado, o sistema concluiu ser o mesmo dedo.

TESTES INCLUINDO IV

Procedimento impressão digital, etapa cadastro, IV = batimento cardíaco

  • Dedo humano cadastrado em sistema de biometria com auxílio de um leitor
    biométrico com IV;
  • Cópia do dedo cadastrado e confecção de artefato com minucias incrustadas;
  • Não foi possível autenticar com artefato (uma cópia do dedo cadastrado)

Resultado do Teste

Dedo humano cadastrado x artefato (cópia mesmo dedo), resultado: Não Combinando! Dedo falso não foi autenticado, sistema concluiu não ser a mesma coisa.

Procedimento impressão digita, etapa autenticação, IV = batimento cardíaco

  • Cadastrar dedo falso em um sistema de biometria com auxílio de um leitor
    biométrico;
  • Não foi possível cadastrar, sistema não reconheceu como dedo humano.

Resultado do Teste

Artefato cadastrado x dedo humano, resultado: Não foi possível comparar, sistema não evoluiu o processo de cadastro

Conclusão

As etapas de cadastro e autenticação biométricas fazem parte do processo de reconhecimento de um indivíduo.

Nas etapas sem o IV foi possível tanto cadastrar quanto autenticar utilizando artefato (dedo falso), sempre comparando nas etapas com o mesmo dedo humano. Já com o IV ativo, sempre que utilizado o dedo falso, o sistema nega uma das etapas.

Então, com o IV sendo utilizado não foi possível fazer todo o processo, negando o cadastro do artefato não há coleta da informação biométrica, ficando sem parâmetros para comparação.

Diante da vulnerabilidade identificada, não é possível mitigar risco com apenas a utilização do dado biométrico.

O processo acima gera economia, então, é sugerido que primeiramente os leitores verifiquem se o dedo é humano (|h) ou não humano (x|h) nas etapas cadastro ou autenticação, exemplo disponível acima (figura 09).

Considerações Finais

O presente artigo teve como finalidade descobrir se apenas os dados biométricos são o suficiente para mitigar risco de furto de identidade, ou se realmente precisamos incorporar no método de identificação biométrica um outro fator, no caso, o IV.

Então, pelos testes realizados obtivemos o resultado desfavorável a apenas mantermos a coleta do dado biométrico para identificação de uma pessoa, juntamente com a coleta do dado biométrico é preciso ter um indicador que irá atestar a fonte geradora da informação, tratada pelos resultados:

  • Humano (|h), ou;
  • Não Humano (x|h).

Os testes confirmaram a necessidade de se utilizar o IV nos processos de captura e autenticação de dados biométricos, uma vez que apenas a biometria do indivíduo não é suficiente para mitigar riscos.

Referências

Partes do conteúdo, com exceção dos testes, foram extraídas do livro:BIOMETRIA EM UM PISCAR DE OLHOS, 1° Edição. Autor: Mango, Aldo Martino, 2018

Conheça nossos treinamentos

Introdução a Cripto Ativos

Metodologias Nacionais de Perícia Digital

Perícia Digital Para Advogados
Gratuito para Advogados

Mitre Attack

Triagem de Malware

Passware Kit Forensics: Do Zero ao Avançado
Gratuito para Law Enforcement