حملات Face Spoofing

امروزه نیاز به روش‌ احراز هویت قابل اعتماد در حوزه‌های مختلف حس می‌شود. پراستفاده‌ترین متدهای احراز هویت، بر اساس «آنچه که فرد دارد» مانند کارت‌های شناسایی یا «آنچه که فرد می‌داند» مانند رمزهای عبور هستند. این روش‌ها امنیت کافی ایجاد می‌کنند اما متاسفانه برای هر کدام روش‌های مختلفی برای فریب دادن وجود دارد. به عنوان مثال، کارت‌های شناسایی می‌توانند دزدیده شوند، کپی شوند یا گم شوند. هم‌چنین در مورد رمزهای عبور نیز امکان فراموش شدن، حدس زده شدن یا هک شدن وجود دارد. با توجه به تعداد بالای حساب‌های کاربری که هر شخص در شبکه‌های اجتماعی، فروشگاه‌های آنلاین و ... دارد (به طور میانگین 25 حساب کاربری برای هر فرد) به خاطر سپردن تعداد زیادی رمز عبور پیچیده سخت است. از این رو کاربران معمولا تمام موارد امنیتی را در مورد رمزهای عبورشان رعایت نمی‌کنند؛ مثلا از رمزهای عبور ساده استفاده می‌کنند، از یک رمز عبور برای چندین حساب کاربری استفاده می‌کنند یا رمزهای عبورشان را به صورت منظم تغییر نمی‌دهند. علاوه بر این، بالا رفتن توان محاسباتی کامپیوترها شکستن رمزهای عبور پیچیده را نیز ساده و ساده‌تر کرده است.

موارد فوق باعث شده‌اند که روش جدیدی برای احراز هویت معرفی شود که بر اساس اطلاعات بیومتریک افراد (ویژگی‌های ظاهری یا رفتاری مانند چهره، صدا، اثر انگشت، قرنیه چشم، مدل راه رفتن و ...) می باشد. با توجه به این که این ویژگی‌ها برای هر شخص منحصر به فرد هستند، می‌توانند سطح بالایی از امنیت را برای ما ایجاد کنند. اما سیستم‌هایی که بر اساس اطلاعات بیومتریک هستند ما را با چالش‌های جدیدی مواجه کردند. Face spoofing attack ها از جمله این موارد هستند.

از آن جا که استقرار سیستم‌های تشخیص چهره سال به سال رو به افزایش است، مردم با نحوه استفاده از آن‌ها در زندگی روزمره بیشتر آشنا می‌شوند که باعث می‌شود نقاط ضعف امنیتی سیستم‌های تشخیص چهره نیز در بین عموم مردم بهتر شناخته شود. در حال حاضر، پیدا کردن وب‌سایت‌ها یا فیلم‌های آموزشی با راهنمایی دقیق در مورد نحوه حمله به سیستم های تشخیص چهره برای دستیابی به دسترسی‌های غیرمجاز کار سختی نیست.

به صورت کلی حملات به یک سیستم تشخیص چهره را می‌توان به دو دسته مستقیم و غیرمستقیم تقسیم کرد. حملات مستقیم خارج از سیستم تشخیص چهره انجام می‌شوند و نیاز است تا چهره‌ای جعلی را مقابل دوربین قرار داد. حملات غیرمستقیم در داخل سیستم‌های بیومتریک اتفاق می‌افتند. به عنوان مثال، اگر با نفوذ در یک سیستم تشخیص چهره، ویژگی‌های استخراج شده از صورت را با مقداری معتبر جایگزین کنیم، یک حمله غیرمستقیم انجام داده‌ایم.

حملات مستقیم به دلیل سادگی بیشتر، عدم نیاز به دانستن جزئیات سیستم بیومتریک و عدم نیاز به مهارت‌های نفوذ و برنامه‌نویسی گستردگی بیشتری دارند. از این رو در ادامه این مطلب به تعریف و نحوه مقابله با این حملات می‌پردازیم. برای حملات غیرمستقیم می‌توان امنیت را با استفاده از اقدامات متفاوتی افزایش داد که شامل مواردی همچون نصب firewall، ضد ویروس، تشخیص نفوذ و رمزگذاری است.

حملات Face Presentation یا Face Spoofing که نوعی از حملات مستقیم است، دارای مراحل زیر است.

1. انتخاب داده‌های بیومتریک مناسب
2. ایجاد PAI (ابزار حمله Presentation)
3. قرار دادن PAI مقابل دوربین تشخیص چهره

برای مرحله اول و یافتن داده‌های بیومتریک می‌شود از روش‌های زیر وارد شد:

• تصاویر دو بعدی
• تصاویر سه بعدی
• فریم‌های ویدیو
• چهره واقعی

باید توجه داشت که سیستم‌های تشخیص چهره در حال حاضر به داده‌هایی متکی هستند که ماهیت شخصی دارند ولی به صورت عمومی قابل دسترسند. تصاویر دو بعدی صورت که به سادگی از طریق شبکه‌های اجتماعی قابل دسترسی هستند را می‌توان چاپ کرد و از آن‌ها برای حملات ‌Face Presentaion  استفاده کرد. البته تصاویر دو بعدی فقط ظاهر چهره را حفظ می‌کنند و زنده بودن فرد را نشان نمی‌دهند. برای حل این مساله مهاجم ممکن است سعی کند با حرکت دادن آن حرکت‌های طبیعی صورت را شبیه‌سازی کند یا با بریدن ناحیه چشم و نگه داشتن تصویر روبروی صورت خود پلک زدن‌های طبیعی چشم را شبیه‌سازی کند. برای حفظ ظاهر و زنده بودن تصویر گاهی از روش‌‌های دیگری مانند ضبط ویدیو و نمایش آن در برابر دوربین‌های پردازش چهره استفاده شود.

بسته به دید دوربین از مرزهای PAI، دو نوع حمله تعریف می‌شود، حملات نزدیک (close-up) و حملات منظره (scenic). در حملات منظره، فاصله بین PAI و دوربین زیاد است، بنابراین مرزهای PAI کاملا قابل مشاهده است. اگر فقط ناحیه صورت مورد توجه قرار گیرد، این حملات قابل تشخیص نیستند اما با تجزیه و تحلیل کل فریم، تشخیص این حملات به راحتی حاصل می شود. برخلاف حملات منظره، در حملات نزدیک مرزهای PAI قابل مشاهده نیست و محتوای پس زمینه نمونه صورت اصلی که در حمله ارائه استفاده می شود در کنار صورت وجود دارد.

همان‌طور که در این مطلب دیدیم، با توجه به افزایش استفاده از سیستم‌های بیومتریکَ، حملات Face Spoofing یا Face Presentation که انواع آن‌ها نام برده شد، می‌توانند از چالش‌های عصر حاضر باشند. در مطالب بعدی از روش‌های مقابله با این حملات خواهیم گفت.

نویسندگان: بهار برادران افتخاری، سارا سلیمیان