في عالم الأمن هناك العديد من الأدوات التي تكون  تحت تصرف موظفي تكنولوجيا المعلومات والتي يمكن استخدامها لمكافحة جميع انواع الجرائم الإلكترونية. وفيما يتعلق بالوصول الفعلي والبطاقات الذكية وال FOB’s  فهذه الأدوات تتوفر للمساعدة في تخفيف احتمال وقوع هجوم الهندسة الاجتماعية. اما بالنسبة فيما  يتعلق  بالوصول المنطقي فأجهزة تسلل الشبكة و الجدران النارية والروترات ، جميعها جاهزة ليتم تثبيتها واستخدامها.

ولكن، هناك مشكلة واحدة مع كل من هذه الأدوات المذكورة أعلاه: إلى حد ما فجميع هذه الادوات يمكن اختراقها  او حتى التلاعب فيها ،  بحيث ان قراصنة الحاسوب يمكنهم أيجاد طريق إلى مؤسسة ما  بسرعة وسهولة  .

على سبيل المثال، البطاقة الذكية يمكن بسهولة فقدانها  أو سرقتها . أو حتى حزم البيانات يمكن إرسالها على أنها موظف شرعي يحاول الوصول.

ولكن، هناك تكنولوجيا وحيدة للأمن  والتي لا يمكن الغش فيها أو الخداع. ونتيجة لذلك، يمكن أن توفر دليل إيجابي  100٪ من هوية المستخدم النهائي.  وتعرف هذه التكنولوجيا بإسم Biometric

biometrics-emv

نظرة عامة عن Biometric :


يتعلق  علم Biometric  بتأكيد هوية الفرد على أساس الخصائص الفسيولوجية الفريدة   أو السلوكية المميزة التي يملكونها. على سبيل المثال :

  •  بنية من التفصيلات تم العثور عليها في بصمة الإصبع
  • • الشكل الهندسي لليد.
  •  تجمع من الأوعية الدموية في الجزء الخلفي من العين والتي تشكل شبكية العين
  •  ناقلات التباعد المختلفة، وتوجه الميزات المجهرية التي توجد في قزحية العين.
  •  المسافات الملموسة  بين ملامح الوجه البارزة مثل الذقن و العينين و الأنف و الشفاه
  •  التغير في  نبرات الصوت
  •  نمط العروق  تحت راحة اليد
  •   النمط  الإيقاعي عند الكتابة على لوحة المفاتيح  لجهاز ااكمبيوتر .
  •  الطريقة المعينة لكتابة  توقيع ما

في معظم الحالات، الصور المتعددة أو التسجيلات (مثل في حالة الصوت) لا بد من التقاطها بواسطة جهاز Biometric . من هنا، يتم إنشاء صورة مركبة، وبعد ذلك يتم استخراج  ميزات فريدة من نوعها باستخدام الخوارزميات المناسبة.

 Biometric Template 

يتم استخدام هذه الميزات الفريدة  لإنشاء ما يعرف باسم “Biometric Template ” وهو عبارة عن ملف حسابي يعرض الصورة المركبة التي تم التقاطها  من قبل جهاز Biometric . على سبيل المثال، في حالة بصمات الأصابع و اليد،  يتم إنشاء ملف حسابي ثنائي , اما  مع القزحية و شبكية العين،  تستخدم صيغ complex Gabor Wavelet ، بشأن الوجه، يتم استخدام  القيم الذاتية . وبالنسبة إلى الكتابة على لوحة المفاتيح  لجهاز الكمبيوتر أو توقيع اسم احدهم يتم استخدم  statistical profiling، في المقام الأول  نماذج ؛Markov . ويجدر الإشارة إلى أن هناك نوعان من Biometric Templates  التي يتم إنشائها . والمعروفة بإسم  “Enrollment Template” و “Verification Template”  عندما يسجل  شخص  في نظام Biometric  يتم إنشاء Enrollment Template ، وعادة ما يتم تخزينه في قاعدة البيانات.

إذا كان هناك شخص يرغب في الدخول المادي أوالدخول المنطقي  ،  عليه أن يقدم صفات فريدة من نوعها مرة أخرى إلى نظام Biometric . في هذه المرحلة، ثم يتم إنشاء  Verification Template  . ثم تتم مقارنة ال Templates  مع  بعضها البعض، وإذا كان هناك علاقة إحصائية وثيقة بينهما ،  يتم منح الوصول إلى  الأفراد الذين يرغبون به.
على الرغم من أن  Biometric Templates تعتبر صعبه جدا على لعمل الهندسة العكسية عليها (وبعبارة أخرى، صعب ان نقوم بتفكيك الملفات الحسابية لخلق صورة مركبة)، فإنها لا تزال بحاجة إلى مزيد من الحماية من خلال استخدام BioCryptography.

مقدمة إلى biocryptography:


biocryptography هو علم يقوم  بتشويش Biometric Template  في نقطة المنشأ  (المعروف أيضا باسم “التشفير”)، و يزيل التشويش عند الوصول الى وجهته (المعروف أيضا باسم “فك التشفير”).

أحد الأهداف الرئيسية  لbiocryptography هو ضمان ان Biometric Template  اثناء عملية العبور، لا يزال في  شكل غير مقروء   وأن  لا يكون معترضا خفيةً من قبل طرف ثالث.

للقيام بعملية التشويش وازلة التشويش على Biometric Template  ، يتم استخدام المفاتيح . المفاتيح نفسها خوارزميات حسابية، وتعرف بإسم  “.Ciphers” من الواضح أن كلما زاد تعقيد ال Cipher  زادت صعوبة اختراقه.

على الرغم من أن هناك العديد من أنواع المفاتيح التي يمكن استخدامها في عملية biocryptography، الا ان  الأكثر استخداماً  هما  Symmetric Algorithms  و Asymmetric Algorithms. وسنتكلم عنهما بالتفصيل على  النحو التالي:

• symmetric  Algorithms : مع هذا، فإن نفس المفتاح يستخدم على حد سواء  في تشفير و فك تشفير ال Biometric Template . على الرغم من أن هذه يوفر راحة كبيرة، الا أن  المخاطر الأمنية التي المتعلقة فيه  واضحة تماما. على سبيل المثال، إذا تم اختراق  هذا النوع من الخوارزميات من قبل القراصنة ، فيمكن اختراق المفتاح  بسهولة جدا، والبيانات التي الموجودة في Biometric Template  يمكن الاستفادة منها بسرعة كبيرة.

وبالتالي، فإن الطريقة الوحيدة للمحافظة على أمن  المفتاح  هي التأكد من أن المرسل والمتلقي فقط يعلمون عنه . إذا تم الكشف عن اي معلومات متعلقة به،  فإن أمن المفتاح بعد ذلك  سيكون معرضاً للخطر بنسبة 100٪ .

• Asymmetric Algorithms : مع هذا، يتم اشتقاق مفتاحين هما   “Public Key” و “private key.” الأول  يستخدم لتشفير Biometric Template ، والثاني  يستخدم لفك التشفير. ونتيجة لذلك، فإن الأمن هنا أعلى بكثير هنا مقارنة بإستخدام  Symmetric Algorithms . هذا لأن Private  Key  لا يتم إحصائية  استنادا إلى معرفة Public  Key

ويتم استخدام طريقة  اخرى للحفاظ على  الأمن معروفة باسم ” Hashing Functions” . كما تساعد على التاكد من السلامة الفعلية ل Biometric Template  . على سبيل المثال، وبمجرد أن  يصل Biometric Template إلى نقطة الوجهة ، يتم تضمين Hashing function  معها .  وأثناء عملية النقل إذا  لم تتغير القيم المستمدة منها من نقطة المنشأ فيمكن  للمرء حينها أن يتأكد  أن Biometric Templates بقيت سليمة، ولم تتغير بشكل ضار.

مثال على منهج Asymmetric BioCryptography  The public key infrastructure IPK:


في biocryptography، واحدة من أكثر الأشكال  المستخدمة على نطاق واسع من Asymmetric approach  هي  Public Key Infrastructure، المعروفة أيضا باسم “PKI.” وهي عادة  ما تتكون من المكونات التالية، على افتراض أن بنية شبكة خادم العميل  يتم نشرها:

  •  الشهادات الرقمية:

وتعتبر  هذه نسخة pki من كلا المفتاحين public key و private key .  وتحفظ هذه الشهادات داخل جهاز Biometric  نفسه، فضلا عن الخادم المركزي، الذي يضم قاعدة بيانات لتخزين Biometric Template . تتم معالجة معاملات  التحقق و / أو التعريف أيضاً في الخادم.

  • أجهزة Biometric  / الخوادم المركزية :

سيكون هذا عادة جهاز Biometric  (مثل  نظام التعرف على بصمات الأصابع ،  نظام  التعرف على قزحية العين، وما إلى ذلك). وفي نهاية المطاف، سوف تكون جميعها متصلة بالخادم المركزي .

  • The Certificate Authority، والمعروفة أيضا باسم “CA”:

ألكثير من  ال PKI المعقدة تستخدم ما يسمى  “CA”  ويعتبر هذا الكيان غالباً  كطرف ثالث موثوق به، من حيث تصدر الشهادات الرقمية ويتم التحقق منها. يمكن النظر في CA على أنها “طرف ثالث غير متحيز”، ونتيجة لذلك، ينظر إلى السلامة الهيكلية للشهادات  الرقمية بثقة  اكبر .

على سبيل المثال، دعونا نفترض أن لدينا سلسلة من انظمة التعرف على بصمات الأصابع  و أنظمة التعرف على قزحية العين  جميعها متصلة معا، وفي المقابل، مربوطة بخادم مركزي. بمجرد انتهاء المستخدم النهائي  من عملية التسجيل في أي من هذه الأجهزة، فإن CA سوف تقوم بتشفير ال Enrollment Template  بإستخدام   public based Digital Certificate  . وبمجرد ان يشق ال Templates  طريقه عبر متوسط الشبكة  إلى الخادم المركزي، فإنه سوف تقوم بفك تشفيرها بإستخدام  Private  based Digital Certificate  ، وبالتالي، تخزن في قاعدة البيانات. إذا كان نفس المستخدم النهائي يرغب في الحصول إما على الوصول المنطقي او المادي  إلى احد  الموارد، فسيتم تشفير Verification Template  بإستخدام  public based Digital Certificate ، ومن ثم  فك التشفير  في الخادم المركزي  باستخدام Private based Digital Certificate  .  بعد ذلك يتم مقارنة ال Templates  مع بعضها البعض، وإذا تم اعتبارها إحصائيا قريبة بما فيه الكفاية، فسوف يستطيع  حينها المستخدم النهائي من الوصول .

اختبار ختراق  على Biometric Technology :


هناك أربعة مجالات التي يمكن أن تحدث اختبار الاختراق، وهي  على النحو التالي:

• Algorithms Testing :

وهي خوارزميات حسابية  والتي تعتبر أساس  أي  جهاز Biometric . بعد كل شيء يتم استخراج  الميزات الفريدة إما من الخصائص  الفسيولوجية أو السلوكية ،  ومن ثم إنشاء  Enrollment و Verification Templates للقيام بمقارنة لاحقاً  . ولذلك، فإنه ليس مهماً  فقط لإختبار قوته ، ولكن أيضا لضمان أن  تكون دليلاً  على “القرصنة” قدر المستطاع .

 

• Technology Testing :

ويتم تطبيق اختبار الاختراق هنا لاكتشاف أي ثغرات أمنية في تطبيقات البرامج التي تم تصميمها خصيصا لنظام Biometric  معين. الهدف الأساسي من الاختبارات بسيط جدا:وهو لاكتشاف أي فخاخ خفية والتي ربما تكون قد تركت وراءها إما عن قصد أو عن غير قصد.

 

• scenario Testing :

هناك العديد من تطبيقات Biometric Technology،  ولكن التطبيقات  الرئيسية منها تشمل كلا من دخول  الوصول الفعلي ودخول الوصول  المنطقي ، والوقت / الحضور. الهدف من اختبار الاختراق في هذه الفئة  هو لاكتشاف أي ضعف أمني في نظام Biometric   عندما يتم نشره في محيط تطبيق معين. على سبيل المثال،  فإن اختبار الاختراق  يمكن أن يجرى عند محيط تسجيل الدخول ، لتحديد فعالية كلا من نظام التعرف على بصمات الأصابع  أو  نظام التعرف على  قزحية العين عندما يتم استخدامهما للمساعدة في حماية بيانات اعتماد تسجيل الدخول للموظف.

 

• vulnerability Testing :

تم اجراء اختبار الاختراق في هذه الفئة على الأجهزة  الفعلية نفسها. على سبيل المثال، من المهم التأكد  كيف يمكن لجهاز  Biometric ان يتم اختراقه او إحباطه، أو حتى فشله من تلقاء نفسه. وفي كيان  Vendor-neutral  تجري هذه الأنواع من الاختبارات تعرف بإسم  International Biometric Group  . تقوم بتنفيذ محاكاة هجمات  الانترنت  مثل محاكاة هجمات انتحال الشخصية وهجمات  إعادة الإرسال ، وهجمات التواصل ، و محاولات أخرى  ذات صلة لإحباط نظام Biometric  أو التحايل عليه .

الاستنتاجات:


وخلاصة القول , تعرفنا على مايسمى ب Biometric Technology  ، وما هي البنيات التقنية ل Biometric Template . وفهمنا ما يقصد ب BioCryptography، فضلا عن أمثلة لأنواع اختبارات الاختراق التي يمكن أن تجرى على نظام Biometric .
وكما ذكر ، منذ  ان Biometric Template  ليست سوى ملفات حسابية، فنظرياً إنها صعبة على آلية  الهندسة العكسية . ولكن مثل أي شيء آخر موجود في بيئة الشبكات، فإن Biometric Template  هي أيضا عرضة للهجمات السيبرانية، حتى عندما يتم تطبيق مبادئ BioCryptography.
لذلك، وسيلة أخرى لحماية Biometric Template  على مستوى أعمق بكثير تكمن في استخدام الشبكة الافتراضية الخاصة، أو “VPN”. في هذا السيناريو، لن تيتم تشفير Biometric Template فقط بل سيتم وضعها في حزمة بيانات أخرى. من خلال جعل أيضا استخدام بروتوكول نفق أمن بروتوكول الإنترنت، فإن قالب الهوية تصبح بعد ذلك غير مرئي للعالم الخارجي.

ترجمة لمقال : BioCryptography and Biometric Penetration Testing لصاحبها Ravi Das