Re: Lassan nő a bizalom a hangazonosítás iránt
#1
Elküldve: 2014. 09. 24. 14:02
https://www.hwsw.hu/hirek/52897/nuance-biometrikus-hangazonositas-biztonsag-jelszo.html
#2
Elküldve: 2014. 09. 24. 14:02
De igen! Felhívom és elbeszélgetek vele. Megszólítom egy csendes helyen. Hangot rögzíteni. Keresni róla hanganyagot a neten. (social engineering, ezzel >szinte< mindent lehet törni, de első lépésnek mindenképp jó)
a) a meglévő hanganyagból(ehhez sok kell) kivágni hangkapcsolatokat/szótagokat és összerakni (az összerakás már programmal megy) angolul kiejtés szerint magyarul írás szerint mehet
b) hangparamétereket kinyerni, beszédszintetizátort felprogramozni és kész
És csak annyira kell jónak lenni, hogy a hanganalizátor szoftverüket átverje. Ez ellen az emberi hallgató és engedélyező lehet nehezítés. De elég rég kijött már az éneklő szoftver is. Éljen a DSP!
Persze ez csak akkor kell, ha változik a bekért jelszó. Ha nem változik, akkor elég lehallgatni a SZOKVÁNYOS eszközökkel : puskamikrofon, mobillehallgatás, skype és egyebek esetén wifi lehallgatás, telefonnál is több egyszerű SZOKVÁNYOS lehetőség van mint pl. poloska, vezetékesnél vezetékcsapolás
Most komolyan, azért jobb mert másfajta SZOKVÁNYOS módszerekkel törhető mint egy pinkód?
Ez még új dolog, és még nem terjedt el. Ha érdemes lesz vele foglalkozni, mert lehet lopni csalni vele eleget, akkor a most már meglévő eszközöket használva fogják törni.
És végül a legSZOKVÁNYOSabb módszer: pisztolyt a halántékhoz nyomni, és kérni a jelszót (mondani). (Persze ez csak a filmekben van így, kivéve amikor nem.)
És ez csak általában a hangazonosításról. A konkrét működést ismerve lehet tovább fikázni vagy elismerni.
Itt is lehet trükköket alkalmazni a törés nehezítésére, vagy észlelésére. Pl. kényszerített kód kötelező megadása.
#3
Elküldve: 2014. 09. 24. 17:51
#4
Elküldve: 2014. 09. 24. 17:58
geri: "én a hwsw egy kiemelkedő szakmai színvonallal bíró, megbecsült, elsőrangú tagja vagyok."
#5
Elküldve: 2014. 09. 25. 02:55
Vírus szépen az okostelóra, és ha a telebank számát hívja, akkor rögzíti a beszélgetést és utána küldi feldolgozásra a rosszfiúkhoz. Ennyi volt. vége a biztonságnak. Tömegesen megszereztük a belépési kódot.
És aki ezt az ötletem használja ártó szándékkal 100X karmát kap és halálnak halálával hol.
@philcsy: Azt írják tárolják a hangmintákat telekomál. Ha véletlenül eltárolták a felmondott hangot akkor tömegesen lehet ellopni. De szerintem ilyet nem csinálnak, mert nincs értelme, de attól még lehet De ha nincs hang, paramétereket tárolnak róla. Valamit kell. Azt el lehet lopni tömegesen. És ha még nem találtak ki valami nagyszerű csuda dolgot, akkor nincsen lekódolva egyirányba.
Mert ugye a hang minden pillanatban változhat, magasság, felharmónikusok, szó hossza, attól függően, hogy a test és lélek épp milyen állapotban van. Szóval nem megy az mint a jelszónál, hogy teljes azonosság kötelező, így elsőre azt mondanám nincsenek kódolva. Általában normalizálják a hosszt, és gördülő súlyfüggvényt használnak alapban. De már rég volt ez. Ha jól emlékszem, a magánhangzóknál az alapfreki és felharmónikusok aránya, és ezek amplitudója talán az emberre jellemző könnyen kiszedhető adat. ezeket egy FFT után könnyű megtalálni és kevés adattal leírható.
Valamint szerinted nem lehet felhívni az embereket nagyüzemben gépekkel, és elmondani nekik hogy az xy banktól vagyunk, nyert egy 50000Ft-os ajándékot mint 10000dik felhasználó/kisorsolt van egy új akciónk, adategyezetetés miatt keressük..., és hogy a nyeremény átvételéhez hangazonosítja magát? Itt az anonimitás megtartása talán nehezebb mint spamek küldénésél, de szerintem kellő pénzzel minden megoldható.
A pinkódokat meg kártyaadatokat ha jól tudom csak úgy tudják nagyüzemben ellopni, hogy a ZembereK jól megadják ezeket az adatokat mindenféle weboldalon, és azok meg képtelenek vigyázni rájuk. És ez nem a PIN kód meg a bankkártya hibája. Hanem mert vannak olyan helyek, ahol tömegesen halmozzák őket és nem figyelnek eléggé rájuk. Lehet még automatát módosítani, vagy kamuautomatát építeni. Esetleg mint legutóbb egy cég kártyaolvasóiba beépülni szoftveresen. Egyik se a kártyából szedi ki a PIN-t. Vagy tudsz más tömeges PIN szerzésről? A kiszolgáló berendezések és az emberek a gyenge pont mára. Kezdetekben nem így volt, a telefonkártyák és a bankkártyák is elég bénácskák könnyen törhetőek voltak eleinte.
És ha már faluról van szó: Nagymamék falujában volt autós üldözés utcán lövöldözéssel (igen éles halálos töltényekkel), ukrán maffia fenyegetett legalább egy embert és ők nem az összefirkálást szokták felajánlani.... bármi előfordulhat! Ja a posta széfjét meg úgy rámolták ki, hogy éjszaka kibontották hátul a falat, és ott mentek be hétvégén. Elől meg sértetlen az ajtó meg a vasrács. Hétfőn nyitáskor volt nagy meglepi. És ez egy világvégi kis falu. Nem a hely számít, hanem az ellopható/megszerezhető érték, és a hozzá szükséges befektetés megfelelően jó aránya a kockázathoz viszonyítva, az adott ember elmeállapotával súlyosbítva.
Egyébként én jelenleg arra szavazok a fizetési megoldásoknál, hogy tárolja a bank az adatokat, mert nála úgyis ott van, és ők vigyáznak rá, mert nekik nagyon fájna, ha elvinnék a pénzüket. Ebből élnek, van már tapasztalatuk (remélem meg a paypali, ha nem ódzkodunk amcsiknak megadni adatainkat.
#7
Elküldve: 2014. 09. 25. 07:14
Erre van valamilyen forrás (avagy csak marketingduma)?
#8
Elküldve: 2014. 09. 25. 08:36
Idézet: fgyuri - Dátum: 2014. 09. 25. 03:55
Vírus szépen az okostelóra, és ha a telebank számát hívja, akkor rögzíti a beszélgetést
Tudsz ilyen vírust? Nekem elsőre az sem sikerült, hogy helyben SD kártyára mentsen, aztán hol van még ettől az, hogy a elmailozza, de csak a bankom számával kapcsolatosat? No meg nem is nagyon elterjedt a dolog, aztán meglátjuk.
#9
Elküldve: 2014. 09. 25. 09:28
Továbbá könnyű lopni tokengenerátort is, és úgy általában mindent, ami mozdítható.
#10
Elküldve: 2014. 09. 25. 09:32
Idézet: Szerzetes - Dátum: 2014. 09. 25. 10:28
Ja, addig igen. Ellenben ezzel csak a leggagyibb olvasókat lehet kinyitni. Jobbakra max. átverős youtube videó van, ami nem igaz, de mondhatnád, hogy miképpen tudod ellopni és másolni. Kinyomtatod fehér papírra és odarakod az olvasóra?
#11
Elküldve: 2014. 09. 25. 09:34
Idézet: Szerzetes - Dátum: 2014. 09. 25. 10:28
Amihez júzernév, jelszó és PIN kell. Mellékesen van olyan tokenünk, aminél ezek mellé még a júzer mobilja is kell, feloldókód után jelszóval meg lehet nyitni alkalmazást, ami még kiír egy engedélyező kódot Bonyás is használni...
#12
Elküldve: 2014. 09. 25. 09:36
Idézet: fgyuri - Dátum: 2014. 09. 25. 03:55
Hallottad, vagy tényleg? Júzereimnél ahol még nem volt riasztó ott előfordult, meg persze filmekben és legendákban, aztán jó ideje a sarki postán is bőven van riasztó. Neten is kerestem, hirtelen nem találtam.
#13
Elküldve: 2014. 09. 25. 10:37
Például: http://www.wikihow.com/Fake-Fingerprints
#14
Elküldve: 2014. 09. 25. 10:45
Persze világos, csak azt akartam mondani, hogy más megoldásoknak is lehetnek gyenge pontjai. A bankomnál pl. az online felhasználónév a GIRO számlaszám középső nyolc számjegye (= az egyfélkóddal), ehhez elég csak a számlaszámomat megszerezni és kiolvassák belőle. Korábban fizikai tokenem volt, amihez a PIN kódot ki kellett volna figyelni vagy hőkamerával leolvasni. Most a mobiltelefonon van a tokengenerátor, amit mondjuk tényleg bonyolult megszerezni.
Na de a témára visszatérve a biometrikus azonosítás nem bombabiztos, de vannak olyan egyszerű szolgáltatások, ahová megteszi.
#15
Elküldve: 2014. 09. 25. 10:45
#16
Elküldve: 2014. 09. 25. 10:59
Idézet: Szerzetes - Dátum: 2014. 09. 25. 11:37
Például: <a href="http://www.wikihow.com/Fake-Fingerprints" target="_blank" rel="nofollow">http://www.wikihow.com/Fake-Fingerprints</a>
Kíváncsi lennék rá mivel működik. Kár, hogy nem a zselés/gumimacisat linkelted, de ez nekem így elég fura.
Kollégát meg kellene kérdezni, én nagy részében nem vettem részt, de nem hinném, hogy a lézernyomtatónak olyan felbontása van, ami reprodukálná, főleg lefényképezés után.
Másrészt ki előzetes hatástanulmány is kell, mert egy poharat általában nem vegytisztán és egy ujjal fogjuk meg, így le kell venni a létező összes lenyomatot, mellé kifigyelni mihez melyiket használja a júzer. Utoljára PINes feloldós dologgal olyannal vitáztuk ezt, aki a szomszéd szobában ült, mondom gyere ide lessük meg élőben. Nem jött be
#17
Elküldve: 2014. 09. 25. 13:16
http://www.delmagyar.hu/szeged_hirek/dobbenetes_ekszerlopas_a_napfeny_parkban/2399103/
#18
Elküldve: 2014. 09. 25. 13:55
Az iPhone garantáltan nem jelent kihívást.
https://blog.lookout...6-touchid-hack/
#19
Elküldve: 2014. 09. 25. 18:10
#20
Elküldve: 2014. 09. 25. 18:29
http://www.edigital.hu/Okostelefon/Nokia/Irodatechnika/Tintasugaras_nyomtato/Canon_Pixma_iP8750_A3+__tintasugaras_nyomtato-p403981.html?gclid=CPbwi_Du_MACFfMgtAodyyYAxg
Szerintem egy FullHD-s mobil kijelzője is jó lehet a 3-4száz DPIvel. ÉS ha ráér egy programozó akkor a szem fényképéből egy kis programozással lehet szépen mozgó pislogó szemet is csinálni.
De persze ez csak a technomániások csinálják így. A jobbak elintézik, hogy legyen egy szemvizsgálat a célszemélynél (teljesen véletlenül , esetleg az egész szervezetnél, és szemvizsgálat közben szépen rögzítik a delikvensek szemét
De egy buliban leitatni (Gina, könnyen kapható nő/férfi) és részegen hazasegíteni, közben minden adatát lemásolni, kémprogramokat telefonjára/laptopjára telepíteni, biometrikus adatokat levenni ...
Ujjlenyomatot könnyű szerezni, mert az emberek elég sok dologhoz hozzányúlnak, de talán az egyik legjobb az üvegpohár, azon szépen látszik de talán az evőeszközök is (pálcika nem). Ebédelni szoktak az emberek, és inni is nyilvános helyeken, de jó lehet az üzemi menzán a mosogatói/asztalleszedő állás is ilyesmi célra. És a klasszikus takarítónak megyek a célszemélyhez/intézményhez-ről már ne is beszéljünk.
A kérdés leginkább az, mennyi idő és pénz van ezek megszerzésére és megéri-e azt a cél.