Как обмануть системы распознавания лиц

Можно ли выдать себя за другого или выпасть из поля зрения камер
Алгоритм способен решать и обратную задачу: распознав лицо, строить на основе контрольных точек 3D-модель. Они могут использоваться, например, для создания специальных масок в мессенджерах / VisionLabs

Cистемы биометрического распознавания лиц – новая реальность жизни россиян. С 1 июля должна заработать единая биометрическая система, с помощью которой банки смогут удаленно подтверждать личность клиента и выдавать ему кредит. Москва и Санкт-Петербург должны оснастить метро, аэропорты и вокзалы видеокамерами с системами распознавания лиц. Но распространение новой технологии может спровоцировать новые способы взлома – теперь уже личности человека. Обман биометрических алгоритмов преследует две основные цели – мошенники либо пытаются обмануть систему, чтобы она не распознала их в принципе, либо же чтобы приняла за другого человека, рассказывают опрошенные «Ведомостями» разработчики биометрических решений.

Очки, кепка, борода

Большие темные очки, кепки, шарфы или просто закрытое рукой лицо помогут избежать распознавания. Но чтобы скрыться от всех камер, этим нужно пользоваться постоянно – в реальной жизни это непросто, рассуждает ведущий исследователь VisionLabs Олег Гринчук. С ним соглашается основатель другой компании-разработчика биометрии по лицу, NTechLab, Артем Кухаренко. Современные алгоритмы хорошо справляются с помехами – очками, кепками, поворотами и наклонами головы, заверяет он. Сегодня для успешного распознавания достаточно лишь 70% открытого лица, рассказывает Кухаренко. Например, NTechLab работает в Китае, где распространены медицинские маски, и алгоритм узнает людей в них. А наличие на лице очков и кепки снижает точность распознавания не более чем с 95% до 92%, уверяет он. Влияние бороды или очков на лице в одном из тестов измеряет национальный институт стандартов и технологий США (NIST), который тестирует алгоритмы распознавания, отмечает другой ведущий исследователь VisionLabs – Сергей Миляев. И такие атрибуты увеличивают вероятность ложного распознавания от одного случая на 50 000 до одного на 10 000, рассказывает эксперт.

Глаза – самая содержательная часть лица не только для человека, но и для машины, поэтому сокрытие глаз за солнцезащитными очками значительно снижает распознавание, отмечает техдиректор производителя систем видеораспознавания Vocord Алексей Кадейшвили. Но с нынешним уровнем развития алгоритмов скрыться от распознавания человеку в очках и кепке удастся, только если он будет постоянно смотреть вниз, тем самым скрывая лицо от камер козырьком кепки, отмечает эксперт. Хотя такое поведение вызовет подозрение само по себе, замечает он. Помимо глаз для алгоритма важна геометрия лица, положение и форма носа, губ, расстояние между глаз, замечает Кадейшвили. Густая борода, скрывающая губы, и другие способы исказить параметры лица затруднят работу алгоритма – человека с накладным носом, увеличенными губами и ярким макияжем алгоритм, вероятно, не распознает, разводит руками Кадейшвили.

Раньше глаза были основной опорной точкой для алгоритмов, поэтому солнцезащитные очки серьезно мешали распознаванию, рассказывает руководитель продуктового управления «Центра речевых технологий» (ЦРТ) Алексей Маркачев. Но алгоритмы эволюционировали и стали учитывать минимум 68 точек на лице (они расположены по контуру лица, определяют положение и форму подбородка, глаз, носа и рта, расстояние между ними), указывает эксперт. Поэтому, чтобы остаться неузнанным, мошеннику придется так или иначе изменить их все, подчеркивает Маркачев.

Поэтому люди стараются помогать алгоритмам. Системы контроля доступа на стадионах требуют от человека устранить с лица все помехи – будь то кепка или бандана, рассказывает Маркачев. Если лицо скрыто, то система даст сигнал сотруднику-стюарду, который попросит посетителя открыть лицо и посмотреть в камеру. После того как алгоритм детектировал лицо, он сравнивает его с доступными базами, например с черным списком болельщиков, и принимает решение, пропустить ли его через турникет, говорит Маркачев. Система видеоконтроля разработки ЦРТ установлена, например, на стадионе «Петровский» в Санкт-Петербурге. Ущерб от футбольных хулиганов клуб «Зенит» ощущал на своем кармане: каждый матч без зрителей обходился в 20 млн руб.

Близнецы и маски

Массовый эксперимент по взлому биометрического алгоритма поневоле устроила корпорация Apple. Свой флагман iPhoneX она оснастила системой распознавания Face ID, которая может разблокировать устройство по лицу хозяина. Тут же начались попытки ее обхода, вскоре увенчавшиеся успехом. Например, телефон смог разблокировать брат-близнец владельца iPhone, а вьетнамская фирма Bkav, работающая в области кибербезопасности, смогла взломать устройство с помощью маски стоимостью всего $200.

Маски или профессиональный грим, которым пользуются актеры для съемок в фильмах, можно называть наиболее эффективным способом обмана, замечает Миляев из VisionLabs. Например, в тесте распознавания лиц Labeled Faces in the Wild есть контрольная пара фотографий актрисы Николь Кидман – в жизни и на съемках одного из фильмов. Из-за грима и человеку сложно опознать ее и у некоторых алгоритмов эти фото также вызывают проблемы, приводит пример Миляев.

Чтобы убедить алгоритм, что перед ним другой человек, камере нужна идеальная картинка, объясняет гендиректор ЦРТ Дмитрий Дырмовский. Это может быть фотография человека на бумаге или цифровом устройстве, маска или 3D-модель лица, рассказывает он. Чем детальнее воспроизведены черты лица (компьютерная 3D-модель, которая симулирует мускулатуру лица, дает более высокое качество), тем больше шансов обмануть алгоритм. Именно с помощью подвижных 3D-масок, созданных на основе случайных фотографий из Facebook, представители Университета Северной Каролины смогли обмануть четыре из пяти систем распознавания на конференции по безопасности Usenix в 2016 г.

Исследователи тестировали и другие отвлекающие маневры. В июле прошлого года блогер Bobuk Григорий Бакунов рассказал о макияже, который помогает избежать распознавания и даже выдать себя за другого человека. Система наносит на фотографию случайные штрихи и цикл за циклом «ухудшает» качество распознавания лица, поясняет Бакунов. Теоретически один точный штрих может превращать для системы одного человека в другого, рассуждает он. Но до создания такого макияжа Бакунов не дошел – решил не создавать подспорье для злоумышленников.

Похожий эксперимент поставили исследователи Университета Карнеги-Меллон. Они создали специальное цветное покрытие для оправы очков (шаблон напечатали на струйном принтере), которое делало человека невидимым для алгоритма в 80% тестов, говорится в исследовании. Кроме того, цветная схема на очках могла обмануть систему, заставив ее принять человека на картинке за другого. Например, в 87,87% случаев алгоритм принимал белого мужчину в таких очках за актрису Милу Йовович и в 88% экспериментов позволял выдать женщину южноазиатского происхождения за мужчину с Ближнего Востока.

Банки осваивают технологию

«Почта банк» и Сбербанк уверяют, что пока не сталкивались с попытками обмана биометрических систем. Биометрия еще не внедрена повсеместно и пока тестируется, объясняет представитель Сбербанка. Для злоумышленников нет смысла тратить силы и время на такие атаки, когда есть банки, где эти технологии еще не используются. Со временем, когда большинство банков закроют более доступные уязвимости, мошенничество выйдет на новый виток технологического развития, прогнозирует он. В «Почта банке» изображение клиента, которое система сравнивает с базой кредитных мошенников, может быть среднего качества – система справится вне зависимости от поворота головы, макияжа, уровня освещенности или разрешения камеры, говорит директор по управлению рисками «Почта банка» Святослав Емельянов. С помощью биометрии банк выявил в 2017 г. около 10 000 мошеннических сделок на сумму 1,5 млрд руб. Представитель ВТБ рассказывает о пилотном проекте по идентификации клиента: борода, очки и косметика не влияют на результаты распознавания. «Тинькофф банк» использует систему распознавания лиц пока только в качестве дополнительного фактора безопасности во время встречи представителя с клиентом при удаленном открытии счета и карты. Благодаря биометрии банк снизил кредитное мошенничество в 6 раз, радуется представитель банка.

Сухая статистика

В основе биометрии лежат статистические методы, поэтому алгоритмы способны ошибаться, признает Дырмовский из ЦРТ. Типов ошибки два: система пропускает «чужого» и отказывает в доступе «своему». Чувствительность системы (вероятность ошибки в ту или иную сторону) настраивает ее владелец. Система с высоким порогом пустит владельца в квартиру в лучшем случае с пятого раза, но не даст войти злоумышленникам, а менее строгая, например в call-центре банка, всегда будет узнавать владельца голоса, но и ошибаться будет чаще, разъясняет Дырмовский.

На этом и пытаются сыграть злоумышленники. Они наносят макияж, имитирующий усредненное лицо (например, для азиата или европейца), алгоритму для распознавания не хватает отличительных черт, и тогда решение перекладывается на плечи человека. А он ошибается в распознавании гораздо чаще. Такой способ обойти алгоритм встречается на пограничном контроле в европейских и американских аэропортах, где уже используются системы биометрической идентификации, рассказывает Маркачев из ЦРТ.

Впрочем, разработчикам известно о подобных ухищрениях. Специальный макияж, вроде того что разработал Бакунов, работает только для конкретного алгоритма, под который он и создавался, спорит Кухаренко из NTechLab. Алгоритм обучен распознаванию таких хитростей, уверяет он. Чтобы имитировать другого человека, мошеннику нужно постепенно корректировать макияж на алгоритме, но после нескольких ошибок алгоритм заблокирует ему доступ, соглашается Гринчук из VisionLabs. Точно так же можно обучить алгоритм справляться с очками из эксперимента Карнеги-Меллон, замечает Дырмовский.

Обман при помощи фотографий, масок и предварительно записанных видео распознают специальные liveness-технологии – они определяют, живой ли человек перед камерой, рассказывает Гринчук. Система просит человека улыбнуться, моргнуть или поднести камеру или смартфон ближе к лицу – комбинации проверки системы случайны, поэтому злоумышленник не сумеет предварительно записать тысячи видеороликов с нужными комбинациями действий, объясняет эксперт.