آیا میتوان دستگاه حضور غیاب را هک کرد؟ کدام دستگاه دارای سطح امنیتی و نفوذ ناپذیری بالاتری است؟ راههای نفوذ به اطلاعات دستگاه کنترل تردد بیومتریک چیست؟ آیا امکان ساخت اثر انگشت تلقبی وجود دارد؟ و صدها سوال متفاوت که هر کدام به نوعی دغدغه افراد در حین خرید یا استفاده از دستگاه حضور غیاب است. به همان اندازه که استفاده از سیستم کنترل تردد به منظور ثبت و مدیریت دادههای ورود و خروج پرسنل برای کاهش هزینههای سربار و افزایش بازدهی مهم است، تامین امنیت و به طور کلی استفاده از سیستمی با سطح امنیت بالا نیز حائز اهیمت است. به همین منظور در این مقاله تصمیم گرفتیم تا علاوه بر معرفی امنترین دستگاه حضور و غیاب به راههای جلوگیری از هک دستگاه حضورو غیاب (Hack attendance device) و تامین سطح امنیت دادهها بپردازیم.
هک دستگاه حضور و غیاب تشخیص چهره
هرچند با روی کار آمدن سیستمهای احراز هویت بر پایه ویژگیهای بیومتریک، میزان تقلب و دور زدن سیستم کنترل کاهش یافت است، اما همچنان افراد سودجویی هستند که به دنبال راهی برای خرابکاری و دور زدن این سیستمها هستند. از جمله محبوبترین دستگاههای کنترل تردد بیومتریک، میتوان به دستگاههای تشخیص چهره اشاره کرد که نسبت به نمونههای اثر انگشتی، سطح امنیت بالاتری دارد. در دستگاههای تشخیص چهره با تکنولوژی قدیمی امکان تقلب و دور زدن دستگاه با استفاده از عکس با کیفیت امکان پذیر بود. اما به تدریج و با استفاده از تکنولوژیهایی از جمله Machine learning و Deep Learning امکان شناسایی چهره در زوایای مختلف، حتی با استفاده از ماسک، کلاه و عینک وجود دارد. این امکان به دلیل تهیه الگوی سه بعدی از چهره افراد بوده که امکان هر گونه جعل و هک دستگاه حضور و غیاب را غیر ممکن می کند. دستگاه حضور و غیاب نانوتایم مدل XF100، با بهرمندی از هوش مصنوعی و الگوریتم Deep Learning، امکان شناسایی چهره با ماسک حتی در فاصله 3 متری دستگاه از دستگاه را دارد.
نکته قابل تامل تفاوت بین تطبیق چهره با تشخیص چهره است. در سیستمهای احراز هویت از قابلیت تطبیق چهره استفاده میشود که با استفاده از فناوری هوش مصنوعی و به کارگیری الگوریتم Deep Learningو پردازش تصویر امکان مقایسه و پردازش تصویر ضبط شده با دادههای دستگاه را دارد. اما تشخیص چهره معمولا در سیستمهایی همچون دوربینهای دیجیتال برای شناسایی سوژه مقابل دستگاه است.
استفاده از پرینتر سه بعدی یا فیلمهای با کیفیت از چهره افراد برای نفوذ به سیستم از جمله جدیدترین راهکارهای مورد استفاده توسط هکرها و افراد سودجو بوده است. هرچند الگوریتمهای مورد استفاده در جدیدترین سیستمهای احراز هویت مبتنی بر تشخیص چهره، قادر به تشخیص زنده بودن تصویر قرار گرفته مقابل دستگاه را دارد.
استفاده از تکنولوژی Liveness Detectionدر سیستمهای احراز هویت مبتنی بر تشخیص چهره، امکان هرگونه تقلب و دور زدن دستگاه را عملا خنثی میکند. سپس یک فریم از چهره فرد قرار گرفته در مقابل دستگاه با الگوی ذخیره شده مقایسه شده و در کمتر از چند ثانیه هویت فرد احراز میشود، به این مرحله در اصطلاح Face Verification گفته میشود.
بنابراین، امکان استفاده از تصاویر تهیه شده توسط پرینتر سه بعدی یا استفاده از ویدئو برای فریب دستگاه وجود ندارد. اما در پاسخ به پرسشهایی از جمله چگونگی هک دستگاههای تشخیص چهره (Can we hack biometric attendance?) هستیم. اما چگونه میتوان از دور زدن دستگاه حضور غیاب تشخیص چهره جلوگیری کنیم؟ یک راه حل ساده و کم دردسر استفاده از دستگاههایی با تکنولوژی روز و نصب در محل اتاق نگهبان یا هر محل دیگری با امکان نظارت توسط دوربین مداربسته است.
نحوه عملکرد دستگاه حضور و غیاب تشخیص چهره چیست؟
در نمونههای اولیه سیستمهای مبتنی بر تشخیص چهره، استفاده از کلاه، عینک، ماسک و… منجر به اختلال در عملکرد دستگاه شده، که امروزه با روی کار آمدن الگوریتمهای هوش مصنوعی این مشکل حل شده است. از مهمترین مزیت های دستگاه تشخیص چهره، عدم نیاز به تماس فیزیکی با دستگاه برای ثبت تردد است و بهترین گزینه برای مراکز درمانی، بیمارستانی و آزمایشگاهی است. در سالهای اخیر و روند رو به رشد ویروس کرونا در دنیا، استفاده از دستگاه حضور و غیاب تشخیص جایگزین مناسبی برای دستگاههای کنترل تردد اثر انگشتی و کارتی است. در کنار مزیت های فوق، امنیت بالای دستگاه حضور و غیاب و کمترین میزان تقلب ر این دستگاه ها نیز از مزایای آنها محسوب می شود. دستگاه های کنترل تردد بیومتریک، از سطح امنیت بالایی برخورد است و شاید به نظر برسد هیچ راهی برای دور زدن آنها از جمله دستگاه حضور و غیاب تشخیص چهره وجود ندارد، اما هیچ چیز غیر ممکن نیست و در مواردی احتمال دور زدن و هک کردن دستگاه حضور و غیاب تشخیص چهره نیز وجود دارد. ( برای اطلاع از قیمت دستگاه حضور و غیاب تشخیص چهره و خرید کلیک کنید)
دور زدن یا تقلب در دستگاه حضور غیاب انگشتی
استفاده از دستگاههای اثر انگشتی به دلیل امنیت بالاتر نسبت به نمونههای کارتی و رمزی و قیمت مناسبتر، نسبت به سایر دستگاههای کنترل تردد بیومتریک از محبوبیت بیشتری برخوردار است. با این حال تقلب در سیستم حضور و غیاب اثر انگشتی وجود دارد و بسیاری افراد در حال پیدا کردن راهی برای نفوذ و از کار انداختن دستگاه هستند. یکی از سادهترین راهها برای نفوذ به این سیستم، در اختیار داشتن اثر انگشت یکی از ادمینهای دستگاه است.
ساخت اثر انگشت برای دستگاه حضور و غیاب
چگونه حسگر اثر انگشت را فریب دهیم؟ در نگاه اول جعل اثر انگشت دستگاه حضور غیاب کار سختی به نظر آمده، اما گرفتن اثر انگشت با فریب کار سادهای است و میتوان از اثر انگشت باقی مانده بر روی یک لیوان سیلیکونی سوء استفاده کرد و با استفاده از پرینتر سه بعدی یا دستکش لاتکس حسگر اثر انگشت را فریب دهیم. در گذشتهای نهچندان دور یکی از روشهای تقلب در دستگاه اثر انگشتی و جعل اثر انگشت بدست آوردن یک نمونه از اثر انگشت اصلی و ساخت اثر انگشت با ژلاتین بود. گرفتن اثر انگشت با فریب به روشهای مختلف از جمله استفاده از یک تکه بتونه یا اثر انگشت فرد بر روی یک لیوان سیلیکونی براحتی قابل انجام بود.
ساخت اثر انگشت برای دستگاه حضور و غیاب با استفاده از بتونه راحترین روش ممکن بوده که نیاز به تجهیزات خاصی نداشت، به این منظور بعد از گرفتن اثر انگشت، بتونه را در داخل فریزر قرار داده تا شیارها بر روی سطح بتونه ثابت شود. سپس با استفاده از ژلاتین به راحتی امکان تهیه اثر انگشت جعلی برای نفوذ به دستگاه را تهیه میکردند. هرچند امروزه دستگاههای کنترل تردد مجهز به 3D Neuron Fingerprint Finger و Anti-spoofingبوده و استفاده از این روش برای از کار انداختن دستگاه حضور و غیاب راه به جایی نمیبرد.
یکی دیگر از روشهای نفوذ به دستگاه اثر انگشتی، ساخت اثر انگشت با چسب است که در آینده نزدیک به بررس این روش در این مقاله خواهیم پرداخت.
شاید این سوال برای شما پیش آمده که اگر هک و دور زدن دستگاه ساعت زنی اثر انگشتی به این راحتی است، لزوم استفاده از آن چیست؟ در حال حاضر اکثر شرکت های تولید کننده از تکنولوژی های روز دنیا از جمله الگوریتم 3D Neuron Fingerprint Finger و Anti-spoofing استفاده میکنند که علاوه بر قدرت بالای تشخیص بالا، امکان هرگونه خرابکاری و جعل در این دستگاه بسیار کم و غیر ممکن میکند. از دیگر تکنولوژیهای بکار رفته در سیستمهای اثر انگشتی، تکنولوژی SILKED n که در دستگاه حضور و غیاب اثر انگشتی نانوتایم مدل SILKED BIO مورد استفاده قرار گرفته است. روشهای مختلفی برای جعل اثر انگشت وجود دارد از جمله ژلاتین یا بتونه که تقریبا شیوه های پیش پا افتاده است که در دستگاه های کنترل تردد جدید کارایی ندارد.
نحوه تشخیص اثر انگشت جعلی
برند ZKTeco نیز در سنسورهای جدید خود از تکنولوژی تشخیص اثر انگشت زنده استفاده می کنند که می تواند به طور کامل از جعل اثر انگشت جلوگیری کند. در این روش از دو نوع نور اشعه مادون قرمز و نور سفید استفاده می شود که باعث شناسایی اثر انگشت جعلی ساخته شده بوسیله ژلاتین،سیلیکون، چسب و … می گردد. در واقع الگوریتم های احراز هویت برای امنیت بیشتر در این دستگاه ها به گونه ای می باشد که پس از نصب و تعریف اولیه اثرات انگشت پرسنل، رمزنگاری های لازم را انجام شده و سپس اثرات انگشت را حذف می کند تا کسی امکان دسترسی به آنها را نداشته باشد. همچنین با استخدام پرسنل جدید نیز ابتدا اثر انگشت وی تعریف شده و سپس از سیستم حذف می شود تا هیچگونه راه سواستفاده از سیستم حضور و غیاب الکترونیکی باقی نماند.
انواع روشهای شناسایی اثر انگشت جعلی:
محاسبه الکتریسیته ساکن: اندازه گیری الکتریسیته ساکن انگشت قرار داده شده روی سطح سنسور دستگاه
الگوریتم های پیشرفته: استفاده از الگوریتمهای پیرشفته از جمله 3D Neuron Fingerprint Finger و Anti-spoofing جهت تشخیص اثر انگشت زنده از نمونه جعلی.
بررسی حرارت بدن: با قرار گرفتن انگشت روی اسکنر، نور مادون قرمز به سطح آن تابیده و فرکانس بازتاب شده به جهت شناسایی اثر انگشت مورد استفاده قرار میگیرد.
سنسور مورد استفاده در برخی از دستگاههای حضور و غیاب به منظور بررسی بافت اثر انگشت، به بررسی حرارت و الکتریسته ساکن سطح انگشت با استفاده از نور مادون قرمز میکنند. به این ترتیب براحتی میتوان اثر انگشت زنده را از نمونههای جعلی به راحتی تشخیص داد.
شیوه استفاده از دستگاه حضور و غیاب اثر انگشتی
در کنار یک دستگاه خوب، استفاده از یک نرم افزار حضور و غیاب قدرتمند، هرگونه امکان خرابکاری و از کار انداختن دستگاه حضور و غیاب را کاهش میدهد. با نصب دستگاه در محل مناسب، برای تخصیص اثر انگشت به هر کد پرسنلی، کارمند مورد نظر باید در مقابل دستگاه قرار گیرد و با قرار دادن صحیح انگشت خود بر روی سنسور اسکن انگشت، اثر انگشت خود را در دستگاه ثبت کند. در بسیاری از دستگاهها به منظور سهولت در استفاده، امان تعریف الگوی برای تمام انگشتان در نظر گرفته شده تا در صورت آسیب دیدن یکی از انگشتها بتوان از سایر انگشتها برای ثبت تردد استفاده کرد.
تا اینجای کار مشاهده کردیم که تا فرد صاحب اثر انگشت اقدام به ثبت اثر انگشت خود نکند، دستگاه هیچ گونه ترددی برای وی ثبت نمیکند. اما با استفاده از روشهای گفته شده، امکان سوء استفاده از دستگاه وجود دارد. در واقع با در اختیار داشتن اثر انگشت ادمین یا یکی از کاربران دستگاه، براحتی میتوان به دادههای دستگاه دسترسی داشت.
هک دستگاه ساعت زنی کارتی
هرچند در سالهای اخیر شاهد، استقبال کمتری در استفاده از دستگاههای حضور و غیاب کارتی هستیم، اما همچنان به دلیل راحتی در کارایی و قیمت مناسب مورد استفاده هستند. اما تقلب و دور زدن دستگاههای کارتی بسیار راحت است. مفقود شدن کارت، دسترسی افراد غیر مجاز به کارت ادمین یا پرسنل از جمله راحتترین روشهای تقلب در دستگاه ساعت زنی کارتی است. استفاده از دوربین مدار بسته یکی از روشهای جلوگیری از تقلب در دستگاه حضور و غیاب کارتی است.
دور زدن دستگاه کنترل تردد رمزی
دستگاههای ساعت زنی رمزی، از سطح امنیت بسیار پایینی برخوردار هستند. بنابراین افراد باید در حفظ و صیانت رمز عبور بسیار دقت کنند. برای جلوگیری از تقلب بهتر است دستگاه در محلی نصب شود که عملکرد پرسنل در زمان ثبت کد یا رمز توسط نگهبان یا دوربین مدار بسته رصد شود.
انواع راههای تقلب و هک دستگاه کنترل تردد:
- دسترسی به اطلاعات ادمین دستگاه برای نفوذ و دسترسی به اطلاعات
- سرقت رمز ورود یا کارت تردد
- ساخت اثر انگشت جعلی به روشهای گفته شده (پرینتر سه بعدی، با استفاده از بتونه، اثر انگشت سیلیکونی و…)
- استفاده از تصاویر ایجاد شده توسط پرینتر سه بعدی و فیلمهای با کیفیت برای دور زدن دستگاه تشخیص چهره
- از دیگر راههای نفوذ به سیستم کنترل تردد، نفوذ از طریق وب سرویس وAPI های شبکه است. این مسئله بخصوص در سازمانهای بزرگ که از سیستم کنترل تردد یکپارچه و نرم افزار حضور و غیاب آنلاین استفاده میکنند بسیار مهم است. در صورت دسترسی یکی از کاربران به شبکهای که دستگاه به آن متصل است یا در صورت عدم تعویض رمز پیش فرض دستگاه، امکان نفوذ افراد به سیستم و خرابکاری بسیار است. کوچکترین خرابکاری در صورت دسترسی، پاک کردن دادههای تردد ثبت شده بر روی دستگاه و عدم امکان بازیابی آنها است.
- کارشناسان ما در نانوتایم، بارها گزارشهایی مبنی بر آسیب فیزیکی به دستگاه، برای عدم دسترسی به دادههای دستگاه توسط مدیران هستند.( از کار انداختن پورت USB، خرابکاریهای الکتریکی و… )
در سال های اخیر شاهد استفاده از جدیدترین تکنولوژیها و الگوریتمهای هوش مصنوعی در سیستم های کنترل تردد هستیم و احتمال هک و از کار انداختن دستگاه بسیار کم شده است. اما همچنان افرادی هستند که به منظور سودجویی به دنبال راههایی برای نفوذ به شبکه اطلاعات بوده و راهکارهای جدیدی استفاده میکنند. به منظور حفظ امنیت دادهها بهتر است از دستگاههای حضور و غیاب مجهز به تکنولوژی روز دنیا استفاده کنید. همچنین استفاده از دستگاههای بیومتریک به جای نمونه کارتی و رمزی به شدت پیشنهاد میشود. توصیه همکاران ما نصب دستگاه در محل مجهز به دوربین مدار بسته یا حضور نگهبان به منظور نظارت بر عملکرد افراد در حین استفاده از دستگاه است. تلاش همکاران ما دادن شناخت اجمالی در رابطه با روشهای نفوذ و فریب دستگاه ساعت زنی به شما عزیزان بوده است، در صورت داشتن سوال یا پیشنهاد خوشحال میشویم همراه ما در قسمت کامنتهای مقاله باشید.
یک پاسخ
سلام از خدمات خوب تیم پشتیبانی ممنونم. نانوتایم بهترین تیم پشتیبانی راداره:)