راه های هک کردن و دور زدن دستگاه حضور و غیاب

آیا می‌توان دستگاه حضور غیاب را هک کرد؟ کدام دستگاه دارای سطح امنیتی و نفوذ ناپذیری بالاتری است؟ راه‌های نفوذ به اطلاعات دستگاه کنترل تردد بیومتریک چیست؟ آیا امکان ساخت اثر انگشت تلقبی وجود دارد؟ و صدها سوال متفاوت که هر کدام به نوعی دغدغه افراد در حین خرید یا استفاده از دستگاه حضور غیاب است. به همان اندازه که استفاده از سیستم کنترل تردد به منظور ثبت و مدیریت داده‌های ورود و خروج پرسنل برای کاهش هزینه‌های سربار و افزایش بازدهی مهم است، تامین امنیت و به طور کلی استفاده از سیستمی با سطح امنیت بالا نیز حائز اهیمت است. به همین منظور در این مقاله تصمیم گرفتیم تا علاوه بر معرفی امن‌ترین دستگاه حضور و غیاب به راه‌های جلوگیری از هک دستگاه حضورو غیاب (Hack attendance device) و تامین سطح امنیت داده‌ها بپردازیم.

هک دستگاه حضور و غیاب تشخیص چهره

هرچند با روی کار آمدن سیستم‌های احراز هویت بر پایه ویژگی‌های بیومتریک، میزان تقلب و دور زدن  سیستم کنترل کاهش یافت است، اما همچنان افراد سود‌جویی هستند که به دنبال راهی برای خراب‌کاری و دور زدن این سیستم‌ها هستند. از جمله محبوب‌ترین دستگاه‌های کنترل تردد بیومتریک، می‌توان به دستگاه‌های تشخیص چهره اشاره کرد که نسبت به نمونه‌های اثر انگشتی، سطح امنیت بالاتری دارد. در دستگاه‌های تشخیص چهره با تکنولوژی قدیمی امکان تقلب و دور زدن دستگاه با استفاده از عکس با کیفیت امکان پذیر بود. اما به تدریج و با استفاده از تکنولوژی‌هایی از جمله Machine learning و Deep Learning امکان شناسایی چهره در زوایای مختلف، حتی با استفاده از ماسک، کلاه و عینک وجود دارد. این امکان به دلیل تهیه الگوی سه بعدی از چهره افراد بوده که امکان هر گونه جعل و هک دستگاه حضور و غیاب را غیر ممکن می کند. دستگاه حضور و غیاب نانوتایم مدل XF100، با بهرمندی از هوش مصنوعی و الگوریتم Deep Learning، امکان شناسایی چهره با ماسک حتی در فاصله 3 متری دستگاه از دستگاه را دارد.

نکته قابل تامل تفاوت بین تطبیق چهره با تشخیص چهره است. در سیستم‌های احراز هویت از قابلیت تطبیق چهره استفاده می‌شود که با استفاده از فناوری‌ هوش مصنوعی و به کارگیری الگوریتم Deep Learningو پردازش تصویر امکان مقایسه و پردازش تصویر ضبط شده با داده‌های دستگاه را دارد. اما تشخیص چهره معمولا در سیستم‎هایی همچون دوربین‌های دیجیتال برای شناسایی سوژه مقابل دستگاه است.

استفاده از پرینتر سه بعدی یا فیلم‌های با کیفیت از چهره افراد برای نفوذ به سیستم از جمله جدیدترین راه‌کارهای مورد استفاده توسط هکرها و افراد سودجو بوده است. هرچند الگوریتم‌های مورد استفاده در جدیدترین سیستم‌های احراز هویت مبتنی بر تشخیص چهره، قادر به تشخیص زنده بودن تصویر قرار گرفته مقابل دستگاه را دارد.

استفاده از تکنولوژی Liveness Detectionدر سیستم‌های احراز هویت مبتنی بر تشخیص چهره، امکان هرگونه تقلب و دور زدن دستگاه را عملا خنثی می‌کند. سپس یک فریم از چهره فرد قرار گرفته در مقابل دستگاه با الگوی ذخیره شده مقایسه شده   و در کمتر از چند ثانیه هویت فرد احراز می‌شود، به این مرحله در اصطلاح  Face Verification گفته می‌شود.

بنابراین، امکان استفاده از تصاویر تهیه شده توسط پرینتر سه بعدی یا استفاده از ویدئو برای فریب دستگاه وجود ندارد. اما در پاسخ به پرسش‌هایی از جمله چگونگی هک دستگاه‌های تشخیص چهره (Can we hack biometric attendance?) هستیم. اما چگونه می‌توان از دور زدن دستگاه حضور غیاب تشخیص چهره جلوگیری کنیم؟ یک راه حل ساده و کم دردسر استفاده از دستگاه‌هایی با تکنولوژی روز و نصب در محل اتاق نگهبان یا هر محل دیگری با امکان نظارت توسط دوربین مداربسته است.

نحوه عملکرد دستگاه حضور و غیاب تشخیص چهره چیست؟

در نمونه‌های اولیه سیستم‌های مبتنی بر تشخیص چهره، استفاده از کلاه، عینک، ماسک و… منجر به اختلال در عملکرد دستگاه شده، که امروزه با روی کار آمدن الگوریتم‌های هوش مصنوعی این مشکل حل شده است. از مهمترین مزیت های دستگاه تشخیص چهره، عدم  نیاز به تماس فیزیکی با دستگاه برای ثبت تردد است  و بهترین گزینه برای مراکز درمانی، بیمارستانی و آزمایشگاهی است.  در سال‌های اخیر و روند رو به رشد ویروس کرونا در دنیا، استفاده از دستگاه حضور و غیاب تشخیص جایگزین مناسبی برای دستگاه‌های کنترل تردد اثر انگشتی و کارتی است. در کنار مزیت های فوق، امنیت بالای دستگاه حضور و غیاب و کمترین میزان تقلب ر این دستگاه ها نیز از مزایای آنها محسوب می شود. دستگاه های کنترل تردد بیومتریک، از سطح امنیت بالایی برخورد است و شاید به نظر برسد هیچ راهی برای دور زدن آنها از جمله دستگاه حضور و غیاب تشخیص چهره وجود ندارد، اما هیچ چیز غیر ممکن نیست و در مواردی احتمال دور زدن و هک کردن دستگاه حضور و غیاب تشخیص چهره نیز وجود دارد. ( برای اطلاع از قیمت دستگاه حضور و غیاب تشخیص چهره و خرید کلیک کنید)

دور زدن یا تقلب در دستگاه حضور غیاب انگشتی

استفاده از دستگاه‌های اثر انگشتی به دلیل امنیت بالاتر نسبت به نمونه‌های کارتی و رمزی و قیمت مناسب‌تر، نسبت به سایر دستگاه‌های کنترل تردد بیومتریک از محبوبیت بیشتری برخوردار است. با این حال تقلب در سیستم حضور و غیاب اثر انگشتی وجود دارد و بسیاری افراد در حال پیدا کردن راهی برای نفوذ و از کار انداختن دستگاه هستند. یکی از ساده‌ترین راه‌ها برای نفوذ به این سیستم، در اختیار داشتن اثر انگشت یکی از ادمین‌های دستگاه است.

ساخت اثر انگشت برای دستگاه حضور و غیاب

چگونه حسگر اثر انگشت را فریب دهیم؟ در نگاه اول جعل اثر انگشت دستگاه حضور غیاب کار سختی به نظر آمده، اما گرفتن اثر انگشت با فریب کار ساده‌ای است و می‌توان از اثر انگشت باقی مانده بر روی یک لیوان سیلیکونی سوء استفاده کرد و با استفاده از پرینتر سه بعدی یا دستکش لاتکس حسگر اثر انگشت را فریب دهیم. در گذشته‌ای نه‌چندان دور یکی از روش‌های تقلب در دستگاه اثر انگشتی و جعل اثر انگشت بدست آوردن یک نمونه از اثر انگشت اصلی و ساخت اثر انگشت با ژلاتین بود. گرفتن اثر انگشت با فریب به روش‌های مختلف از جمله استفاده از یک تکه بتونه یا اثر انگشت فرد بر روی یک لیوان سیلیکونی براحتی قابل انجام بود.

ساخت اثر انگشت برای دستگاه حضور و غیاب با استفاده از بتونه راحترین روش ممکن بوده که نیاز به تجهیزات خاصی نداشت، به این منظور بعد از گرفتن اثر انگشت، بتونه را در داخل فریزر قرار داده تا شیارها بر روی سطح بتونه ثابت شود. سپس با استفاده از ژلاتین به راحتی امکان تهیه اثر انگشت جعلی برای نفوذ به دستگاه را تهیه می‌کردند. هرچند امروزه دستگاه‌های کنترل تردد مجهز به 3D Neuron Fingerprint Finger  و Anti-spoofingبوده و استفاده از این روش برای از کار انداختن دستگاه حضور و غیاب راه به جایی نمی‌برد.

یکی دیگر از روش‌های نفوذ به دستگاه اثر انگشتی، ساخت اثر انگشت با چسب است که در آینده نزدیک به بررس این روش در این مقاله خواهیم پرداخت.

شاید این سوال برای شما پیش آمده که اگر هک و دور زدن دستگاه ساعت زنی اثر انگشتی به این راحتی است، لزوم استفاده از آن چیست؟ در حال حاضر اکثر شرکت های تولید کننده از تکنولوژی های روز دنیا از جمله   الگوریتم 3D Neuron Fingerprint Finger  و Anti-spoofing استفاده می‌کنند که علاوه بر قدرت بالای تشخیص بالا، امکان هرگونه خرابکاری و جعل در این دستگاه بسیار کم و غیر ممکن می‌کند.  از دیگر تکنولوژی‌های بکار رفته در سیستم‌های اثر انگشتی، تکنولوژی SILKED n که در دستگاه حضور و غیاب اثر انگشتی نانوتایم مدل SILKED BIO مورد استفاده قرار گرفته است. روش‌های مختلفی برای جعل اثر انگشت وجود دارد از جمله ژلاتین یا بتونه که تقریبا شیوه های پیش پا افتاده است که در دستگاه های کنترل تردد جدید کارایی ندارد.

نحوه تشخیص اثر انگشت جعلی

برند  ZKTeco نیز در سنسورهای جدید خود از تکنولوژی تشخیص  اثر انگشت زنده استفاده می کنند که می تواند به طور کامل از جعل اثر انگشت جلوگیری کند. در این روش از دو نوع نور اشعه مادون قرمز و نور سفید استفاده می شود که باعث شناسایی اثر انگشت جعلی ساخته شده بوسیله ژلاتین،سیلیکون، چسب و … می گردد. در واقع الگوریتم های احراز هویت برای امنیت بیشتر در این دستگاه ها به گونه ای می باشد که پس از نصب و تعریف اولیه اثرات انگشت پرسنل، رمزنگاری های لازم را انجام شده و سپس اثرات انگشت را حذف می­ کند تا کسی امکان دسترسی به آنها را نداشته باشد. همچنین با استخدام پرسنل جدید نیز ابتدا اثر انگشت وی تعریف شده و سپس از سیستم حذف می­ شود تا هیچگونه راه سواستفاده از سیستم حضور و غیاب الکترونیکی باقی نماند.

انواع روش‌های شناسایی اثر انگشت جعلی:

محاسبه الکتریسیته ساکن:  اندازه گیری الکتریسیته ساکن انگشت قرار داده شده روی سطح سنسور دستگاه

الگوریتم های پیشرفته: استفاده از الگوریتم‌های پیرشفته از جمله 3D Neuron Fingerprint Finger  و Anti-spoofing جهت تشخیص اثر انگشت زنده از نمونه جعلی.

بررسی حرارت بدن: با قرار گرفتن انگشت روی اسکنر، نور مادون قرمز به سطح آن تابیده و فرکانس بازتاب شده به جهت شناسایی اثر انگشت مورد استفاده قرار می‌گیرد.

سنسور مورد استفاده در برخی از دستگاه‌های حضور و غیاب به منظور بررسی بافت اثر انگشت، به بررسی حرارت و الکتریسته ساکن سطح انگشت با استفاده از نور مادون قرمز می‌کنند. به این ترتیب براحتی می‌توان اثر انگشت زنده را از نمونه‌های جعلی به راحتی تشخیص داد.

شیوه استفاده از دستگاه حضور و غیاب اثر انگشتی

در کنار یک دستگاه خوب، استفاده از یک نرم افزار حضور و غیاب قدرتمند، هرگونه امکان خرابکاری و از کار انداختن دستگاه حضور و غیاب را کاهش می‌دهد. با نصب دستگاه در محل مناسب، برای تخصیص اثر انگشت به  هر کد پرسنلی، کارمند مورد نظر باید در مقابل دستگاه قرار گیرد و با قرار دادن صحیح انگشت خود بر روی سنسور اسکن انگشت، اثر انگشت خود را در دستگاه ثبت کند. در بسیاری از دستگاه‌ها به منظور سهولت در استفاده، امان تعریف الگوی برای تمام انگشتان در نظر گرفته شده تا در صورت آسیب دیدن یکی از انگشت‌ها بتوان از سایر انگشت‌ها برای ثبت تردد استفاده کرد.

تا اینجای کار مشاهده کردیم که تا فرد صاحب اثر انگشت اقدام به ثبت اثر انگشت خود نکند، دستگاه هیچ گونه ترددی برای وی ثبت نمی‌کند. اما با استفاده از روش‌های گفته شده، امکان سوء استفاده از دستگاه وجود دارد. در واقع با در اختیار داشتن اثر انگشت ادمین یا یکی از کاربران دستگاه، براحتی می‌توان به داده‌های دستگاه دسترسی داشت.

هک دستگاه ساعت زنی کارتی

هرچند در سال‌های اخیر شاهد، استقبال کمتری در استفاده از دستگاه‌های حضور و غیاب کارتی هستیم، اما همچنان به دلیل راحتی در کارایی و قیمت مناسب مورد استفاده هستند. اما تقلب و دور زدن دستگاه‌های کارتی بسیار راحت است. مفقود شدن کارت، دسترسی افراد غیر مجاز به کارت ادمین یا پرسنل از جمله راحت‌ترین روش‌های تقلب در دستگاه ساعت زنی کارتی است. استفاده از دوربین مدار بسته یکی از روش‌های جلوگیری از تقلب در دستگاه حضور و غیاب کارتی است.

دور زدن دستگاه کنترل تردد رمزی

دستگاه‌های ساعت زنی رمزی، از سطح امنیت بسیار پایینی برخوردار هستند. بنابراین افراد باید در حفظ و صیانت رمز عبور بسیار دقت کنند. برای جلوگیری از تقلب بهتر است دستگاه در محلی نصب شود که عملکرد پرسنل در زمان ثبت کد یا رمز توسط نگهبان یا دوربین مدار بسته رصد شود.

انواع راه‌های تقلب و هک دستگاه کنترل تردد:

1. دسترسی به اطلاعات ادمین دستگاه برای نفوذ و دسترسی به اطلاعات
2. سرقت رمز ورود یا کارت تردد
3. ساخت اثر انگشت جعلی به روش‌های گفته شده (پرینتر سه بعدی، با استفاده از بتونه، اثر انگشت سیلیکونی و…)
4. استفاده از تصاویر ایجاد شده توسط پرینتر سه بعدی و فیلم‌های با کیفیت برای دور زدن دستگاه تشخیص چهره
5. از دیگر راه‌های نفوذ به سیستم کنترل تردد، نفوذ از طریق وب سرویس وAPI های شبکه است.  این مسئله بخصوص در سازمان‌های بزرگ که از سیستم کنترل تردد یکپارچه و نرم افزار حضور و غیاب آنلاین استفاده می‌کنند بسیار مهم است. در صورت دسترسی یکی از کاربران به شبکه‌ای که دستگاه به آن متصل است یا در صورت عدم تعویض رمز پیش فرض دستگاه، امکان نفوذ افراد به سیستم و خرابکاری بسیار است. کوچکترین خرابکاری در صورت دسترسی، پاک کردن داده‌های تردد ثبت شده بر روی دستگاه و عدم امکان بازیابی آنها است.
6. کارشناسان ما در نانوتایم، بارها گزارش‌هایی مبنی بر آسیب فیزیکی به دستگاه، برای عدم دسترسی به داده‌های دستگاه توسط مدیران هستند.( از کار انداختن پورت USB، خرابکاری‌های الکتریکی و… )

در سال های اخیر شاهد استفاده از جدیدترین تکنولوژی‌ها و الگوریتم‌های هوش مصنوعی در سیستم های کنترل تردد هستیم و احتمال هک و از کار انداختن دستگاه بسیار کم شده است. اما همچنان افرادی هستند که به منظور سودجویی به دنبال راه‌هایی برای نفوذ به شبکه اطلاعات بوده و راه‌کارهای جدیدی استفاده می‌کنند. به منظور حفظ امنیت داده‌ها بهتر است از دستگاه‌های حضور و غیاب مجهز به تکنولوژی روز دنیا استفاده کنید. همچنین استفاده از دستگاه‌های بیومتریک به جای نمونه کارتی و رمزی به شدت پیشنهاد می‌شود. توصیه همکاران ما نصب دستگاه در محل مجهز به دوربین مدار بسته یا حضور نگهبان به منظور نظارت بر عملکرد افراد در حین استفاده از دستگاه است. تلاش همکاران ما دادن شناخت اجمالی در رابطه با روش‌های نفوذ و فریب دستگاه ساعت زنی به شما عزیزان بوده است، در صورت داشتن سوال یا پیشنهاد خوشحال می‌شویم همراه ما در قسمت کامنت‌های مقاله باشید.