Fängelse sätter stopp för fingeravtryckslås
Biometrisystem börjar bli allt vanligare i säkerhetskontroller och passersystem, allt eftersom tekniken förbättras och kostnaderna blir lägre. Det ställs alltid höga krav på säkerhetstillämpningar, och bland de mest krävande miljöerna är kriminalvårdsanstalter. De är fulla av personer som har gott om tid att hitta på rackartyg. Några av dem har kanske redan erfarenhet av att slå ut säkerhetssystem.
I en artikel som nyligen publicerades i The Scotsman kunde man läsa om att de intagna på ett skotskt fängelse kunnat öppna dörrar med biometriska lås på vid gavel på grund av ett fel i det biometriska låssystemet. De intagna kunde komma in i högsäkerhetsområden på fängelset innan personalen uppmärksammades av en intern. Inga av de intagna hade möjlighet att fly från anstalten, men deras rörelsefrihet äventyrade personalens och andra intagnas säkerhet.
En-mot-en-matchning
I just detta biometriska låssystem fick väktarna ange en PIN-kod och fingertoppen skannades. Det krävdes både rätt PIN-kod och ett överensstämmande fingeravtryck. Med hjälp av PIN-koden valdes ett registrerat fingeravtryck ut, och matchades mot det skannade i en en-till-en-matchning.
Tekniken bakom fingeravtrycksensorer och fingeravtrycksmatchning är inte färdigutvecklad, men de senaste systemen kan unikt identifiera de intagna på fängelset och besökare, samt naturligtvis de anställda. Om ett system konfigureras för att verifiera att ett registrerat fingeravtryck matchar det aktuella skannade fingeravtrycket, som är fallet i så kallade PIN & scan-system, blir exaktheten verkligen hög.
Man fick inte veta orsaken till felet i det här fallet, men det måste ha varit ett grundläggande fel eftersom fängelseledningen beslöt att det var mer ekonomiskt att återgå till att använda nycklar än att åtgärda felet i det biometriska systemet. Vi vet inte vad som hände på det skotska fängelset, men vi kan ta en titt på hur man kan överlista biometriska säkerhetssystem.
Farlig fördröjning
I en nödsituation kan en vakt försättas i fara om han inte kan öppna en dörr. Fängelser har reservsystem för att kunna låsa upp dörrar. En dörr kan normalt öppnas när en vakt begär det, men det tar tid att begära att en dörr ska låsas upp. Ett system skulle kunna ha en ”hemlig kod”, så att dörrarna bara skulle kunna öppnas med hjälp av PIN-koden.
Om man började använda den hemliga koden i andra situationer än nödsituationer, skulle de intagna snart kunna lista ut den genom att observera mönstret för när vakten knappar in den, eller genom att titta efter slitna eller ofta använda sifferknappar. De intagna skulle till och med kunna applicera ett spårningsämne på knappsatsen för att se vilka siffror som används. När man vet vilka fyra siffror det gäller finns det som mest 24 kombinationer att välja mellan. I vissa PIN-läsare slumpkodas siffrorna på knappsatsen digitalt för att förhindra denna typ av spårning.
Ännu enklare vore det för en intagen att lära sig rätt PIN-kod om en vakt talade om koden för en intagen som han eller hon litade på. Det är svårt att bevara en hemlighet på ett fängelse – koden skulle spridas via tjuvlyssnande, i samtal eller genom ren gissning.
Stöld, eller åtminstone lån av identitet
Identitetsstöld förknippas vanligen med olaglig användning av en annan persons identitet för att erhålla kontanter eller kredit. I passersystem kan identiteten användas för att ta sig igenom dörrar. Om man vet PIN-koden behöver man bara åstadkomma ett fingeravtryck.
Vilken typ av fingeravtrycksidentifiering som användes i fängelset angavs inte, men The Scotsman rapporterade att fingeravtryckssensorn hade en glasyta, vilket tyder på att det var en optisk skanner. Optiska skannrar är robustare än andra sensorer, till exempel kapacitiva sensorer. Nackdelen är att de kan luras av en bild av ett fingeravtryck eller av ett avtryck som lämnats på glaset. Kvarlämnade fingeravtryck kan förstärkas med hjälp av ett svart pulver och överföras till genomskinlig tejp. På så sätt kan man skapa en bild som lurar en optisk sensor.
Det har även rapporterats om fall där kapacitiva sensorer lurats av kvarlämnade fingeravtryck. Vissa metoder är så enkla som att blåsa på detektorn så att den fuktiga utandningsluften förstärker det latenta avtrycket. Andra metoder går ut på att förstärka ett kvarlämnat avtryck med hjälp av ledande pulver, till exempel blyerts, och fånga det med tejp.
Det är ingen svårighet att hitta ett kvarlämnat, tydligt fingeravtryck. På själva fingerskannern kan man till exempel hitta högkvalitativa fingeravtryck från personer som är registrerade som behöriga. Vissa sensorer är emellertid utformade så att personen ska dra sitt finger över sensorytan, vilket innebär att det inte lämnas kvar några fingeravtryck.
De allra senaste modellerna kan vara utrustade med detektorer som mäter om det finns levande vävnad i fingret som lämnar fingeravtrycket. Detektorerna känner av egenskaper som temperatur, puls, svett, syrehalt i blodet eller mönster under huden på ett finger. Andra tekniker som avgör om ett finger är falskt eller avhugget (dött) använder sig av mjukvarubaserade algoritmer. Tyvärr är det inte lätt att påvisa om ett finger är levande, och ytterligare detektorer gör systemen dyrare. Det finns dessutom en risk för att även dessa detektorer går att lura.
Lågt gränsvärde
Ett biometriskt system kan göras säkrare genom att gränsvärdet för matchningarna sänks. Matchningsalgoritmerna utgår från matematiska beräkningar om bästa matchning, kombinerat med ett förvalt avvisningsvillkor. Syftet med detta är att endast rätt fingeravtryck ska godkännas. Systemet kan göra två slag av fel – godkänna ett felaktigt fingeravtryck eller refusera ett behörigt fingeravtryck.
I vissa system kan slutanvändaren justera gränsvärdet så att det passar miljön och driftvillkoren. Om ett för lågt gränsvärde anges kan dock fingeravtryck som liknar varandra bedömas vara ”tillräckligt nära”, även om det är från ett annat finger eller till och med en annan person. I ett dåligt utformat system kan gränsvärdet till och med sättas så lågt att alla fingeravtryck godkänns.
Om fördröjningar på grund av att ett behörigt fingeravtryck inte godkänns kan leda till farliga situationer, till exempel i ett fängelse, kan det vara meningsfullt att gardera sig genom att ha en mer generös godkännandestandard. Men det borde inte vara nödvändigt att sätta gränsvärdet så lågt att det uppstår risk för falska godkännanden.
Ett säkrare system
Tanken på att utnyttja endast en biometrisk egenskap, exempelvis fingeravtryck, är lockande. Metoden är precis, bekväm, bestående och är svår att kringgå. Det skulle i stort vara görligt att endast använda biometriska metoder för identifiering, och detta är en av målsättningarna för biometrisk identifiering. Eftersom biometritekniken är relativt ny, finns risken att system som endast bygger på biometriegenskaper helt kan sättas ur spel på grund av bristfällig konstruktion eller smarta attacker.
Biometrimetoder i kombination med ett identitetsbevis, till exempel en säkerhetsbricka, ger mycket högre säkerhet. I dessa system krävs det att en registrerad person både har ett fysiskt identitetsbevis och matchande biometrisk egenskap. Endast den biometriska egenskapen beviljar i detta fall inte tillträde. Den biometriska egenskapen används istället för att bekräfta att det uppvisade identitetsbeviset verkligen tillhör personen ifråga. Det är genom identitetsbeviset som personen får tillträde.
Om en biometrisk egenskap kan förfalskas på ett övertygande sätt, kan systemet luras genom att tillhörande säkerhetsbricka visas upp, snarare än att tillhörande PIN-kod knappas in. Men till skillnad från system som kombinerar en biometrisk egenskap och PIN-kod, där man måste kunna lämna rätt fingeravtryck och en kod, måste du i ett system som kombinerar en biometrisk egenskap och en bricka kunna visa upp själva brickan. Detta är betydligt säkrare. Det finns inget sätt att kontrollera om någon kommit över PIN-koden av misstag, medan det är enkelt att kontrollera om en bricka kommit på villovägar. Om en bricka kommit bort kan den inaktiveras och en ny bricka utfärdas. Den förlorade brickan kan då inte längre användas för att få tillträde.
* Anger obligatoriskt fält