rss feed para noticias

Noticias

Los ataques no sorprenden al inventor del reconocimiento de iris


30/07/2012 | Fuente: Planet Biometrics
imagen noticia

El “hackeo” del reconocimiento del iris ha provocado un aluvión de noticias en los últimos días en todas partes, desde los medios centrados en tecnología hasta la BBC. Las noticias se basan en un paper del congreso Black Hat que asegura que se han reconstruido imágenes del iris a partir de plantillas de iris (IrisCodes), que se han utilizado para efectuar ataques a sistemas comerciales de reconocimiento de iris, con una tasa de éxito del 80%. De esto se infiere que el reconocimiento del iris ya no es tan seguro como se creía.

Según los autores del paper,  (El Grupo de Reconocimiento Biométrico de la Universidad Autónoma de Madrid, ATVS, e investigadores de la Universidad de West Virginia), este acontecimiento es significativo porque se suponía que los  IrisCodes, o códigos de iris, no contenían información suficiente para permitir la reconstrucción viable de un iris.

"No es así", dice John Daugman, profesor de Visión informática y reconocimiento de patrones en Cambridge, quien desarrolló y patentó el primer algoritmo para el reconocimiento de iris, que se usa ampliamente en todo el mundo. (Aunque sí cree que esta noticia será una llamada de atención para algunos fabricantes)

Este es un clásico ataque de "ascensión de colinas" ("hill climbing"), que es una vulnerabilidad conocida para toda la biometría. Daugman dice que la vulnerabilidad en cuestión, que implica usar un proceso iterativo para reconstruir de forma relativamente veloz la imagen del iris a partir de una plantilla de iris, es un clásico ataque de "ascensión de colina" que se sabe es una vulnerabilidad para toda la biometría.

Daugman agregó: "Este ataque depende también de si se tiene la posibilidad de generar una plantilla de código de iris de una imagen, y de si se hace repetida e iterativamente. Esto sólo es posible con acceso al algoritmo de codificación o a un dispositivo que lo implemente."

Obviamente esto es lo que hicieron los investigadores usando un algoritmo VeriEye de Neuro tecnología. Sin embargo, la mayor parte de los desarrolladores de algoritmos de reconocimiento de iris no dan acceso abierto al SDK requerido para llevar adelante esa tareas, y como señala Daugman: "El resultado será especifico en relación a ese algoritmo."

Quizás, entonces, este será un dilema interesante para la Neurotecnología, la que ha hecho público su algoritmo exitoso desde hace varios años.

¿Entonces?

Entonces, si un ataque de ascensión de colina es posible, y el ataque no sorprende realmente a los expertos de la industria, ¿qué significa esto para el reconocimiento de iris?

De acuerdo a Daugman; "Pienso que la clave es mantener la seguridad criptográfica en las plantillas de códigos de iris". Por supuesto, como Daugman le dijo aPlanet Biometrics,es importante recordar que la imagen analógica del ojo de una persona en realidad no es secreta, aunque sea muy difícil de obtener. Comentó: "En países cuya población tiende a tener iris muy oscuros (como India) es algo difícil capturar subrepticiamente una buena imagen del iris utilizando cámaras convencionales; se necesitan cámaras e iluminación NIR (casi infrarrojas por sus siglas en inglés).

¿Artificial o vivo?

Por su puesto, además de la seguridad criptográfica, está el gran problema de la detección artificial. La mayor parte de los sistemas de reconocimiento de iris emplean medidas contra los ataques de "spoofing" para detectar si lo que les presentan es un ojo vivo o, en este caso, un papel con una imagen.

La industria admite sin problemas que el negocio de las medidas contra el "spoofing" representa la clásica carrera de armamentos que llevan adelante los fabricantes de sistemas y los hackers. Da la impresión, al menos, que un sistema moderno bien diseñado no aceptaría fácilmente la clase de imagen que presenta la investigación.


CON EL APOYO DE