1. Biometric System Concepts and Attacks
By:
Saif Salah
Rafah Amer Jaafar
Supervisor
Dr. Bashar M. Nema

2. OUTLINE What is biometrics and Why need Biometrics
Advantages of biometrics and Disadvantages of biometrics
Biometrics Vs Privacy
Types of biometrics
Comparison of Biometrics
Components of Biometric System
Attack Points in a Biometric system
Known Technologies To Resist the Attacks
The last word

3. What is biometrics
The term biometrics is derived from the Greek words bio meaning life and metric meaning to measure.
Biometrics is a multidisciplinary field concerned with representing, measuring and statistical analysis of unique physical and behavioural characteristics e.g. fingerprints, face, palm veins, etc. to be used as an individualized code for recognition [1].
يتم اشتقاق مصطلح biometrics من الكلمات اليونانية bio التي تعني الحياة و metric التي تعني القياس المتري. biometrics هو مجال متعدد التخصصات يهتم بتمثيل وقياس وتحليل الخصائص الفيزيائية والسلوكية الفريدة
مثل تستخدم بصمات الأصابع والوجه وكف اليد وما إلى ذلك ككود فردي للتعرف عليها

4. Why need Biometrics
The need and the complexity of recognition of humans has never been in this great in our history as it is now, so that, the need for fast and accurate new technology is increasing day by day, Which are used in Verification (control access systems), or Identification (surveillance systems).
The first use of biometrics was to link between identity documents and their holders through a face photos as in a passport.
Today the Authentication by biometric verification is becoming increasingly common and an indispensable tool to overcome the difficulties being faced in security systems [1].
لم يكن التعرف على البشر على مر التاريخ اكثر صعوبة وتعقيد مما هو عليه الآن ،
يومًا بعد يوم تزداد الحاجة إلى تكنولوجيا جديدة سريعة ودقيقة
كي تُستخدم في Verification التحقق (كما في أنظمة التحكم في الوصول او الدخول) ، أو Identification تحديد الهوية ( كما في أنظمة المراقبة).
أول استخدام لل biometric كان للربط بين وثائق الهوية وحامليها من خلال صورة الوجه كما في جواز السفر
، عندما أصبح التصوير الفوتوغرافي واسع الانتشار وواضح ، والذي بدأ يتم ربطه بجوازات السفر.
اليوم أصبحت المصادقة بالتحقق البيومترية شائعة بشكل متزايد وأداة لا غنى عنها للتغلب على الصعوبات التي تواجهها أنظمة الأمن

5. Advantages and Benefits of biometrics
Hard to fake or steal, unlike passwords or Key.
Fast Verify a large number of individuals in short time.
Fast Identify the individual from a very huge number of people.
Ease of use and convenience (Nothing to forget or lose it).
Simple change along the user's life.(long life)
Non-transferrable from one to another.
Templates take up less storage space.
Continuous authentication in behavioural identifiers.
يصعب تزويرها أو سرقتها ، على عكس كلمات المرور أو المفاتيح.
تحقق من عدد كبير من الأفراد في وقت قصير
التعرف على الفرد من عدد كبير جدًا من الأشخاص
سهولة الاستخدام والراحة (لا تنسى أو تفقده).
تغير قليلاً على طول حياة المستخدم (حياة طويلة)
غير قابلة للنقل من شخص إلى أخر.
تشغل القوالب مساحة تخزين أقل.
المصادقة المستمرة في behavioural identifiers.

6. Disadvantages of biometrics
It is costly to get up a biometric system and running it.
If the system fails to capture all of the biometric data, it can lead to failure in identifying the person required.
Databases holding biometric data can still be hacked.
If a user gets injured or burn, then a biometric authentication system may fail to identify them.
Errors such as false rejects can still happen.
من المكلف الحصول على نظام بيولوجي وتشغيله.
إذا فشل النظام في التقاط جميع البيانات الحيوية ، يمكن أن يؤدي ذلك إلى فشل في تحديد الشخص المطلوب.
لا يزال من الممكن اختراق قواعد البيانات.
إذا أصيب أحد المستخدمين ، فقد لا يتعرف عليهم نظام المصادقة البيومترية.
يمكن أن تحدث أخطاء مثل الرفض الخاطئ.

7. Biometrics Vs Privacy
Using biometrics can help to protect privacy by combating identity fraud, But it is also can reveal an element of personal privacy.
The biometrics are not usually ‘secret’, and cannot be easily changed, destroyed or declared invalid in case it was stolen, this prevent using it again [2].

8. Physiological identifiers
Types of biometrics
The two main types of biometric identifiers depend on either physiological characteristics or behavioural characteristics.
Physiological identifiers
relate to the unique composition of the user, include:
● Face recognition.
● Fingerprints.
● Iris recognition.
● DNA matching.

9. Behavioural identifiers
Types of biometrics
Behavioural identifiers
It’s the unique ways in which individuals act, including
● Handwriting
● keystroke
● Voice recognition.
● Walking speed
● Gestures.
● التعرف على أنماط الكتابة ● ضغط المفاتيح ● التعرف على الصوت. ● سرعة المشي ● الإيماءات.

10. Comparison of Biometrics [3]

11. Components of Biometric System
The biometric systems have four basic modules which are sensor module, feature extractor module, matcher module and decision module [4]. These four modules are necessary in any biometric system to acquire and process raw biometric data and convert it into some useful information. The block diagram of biometric system is shown in fig.
تحتوي الأنظمة البيومترية على أربع وحدات أساسية وهي
وحدة الاستشعار ،
وحدة مستخرج المعالم ،
وحدة المطابقة
ووحدة القرار [4].
هذه الوحدات الأربعة ضرورية في أي نظام بيولوجي للحصول على البيانات الحيوية الأولية ومعالجتها وتحويلها إلى بعض المعلومات المفيدة.
يظهر الرسم التخطيطي لنظام القياس الحيوي في الشكل

12. Components of Biometric System
1- Sensor Module
In this type of module raw biometric data is captured by the sensor and it scans the biometric trait to convert it into digital form.
After converting it to digital form, this module transmits the data to feature extraction module.
1- وحدة الاستشعار
في هذا يتم التقاط البيانات البيومترية الخام بواسطة المستشعر ويقوم بمسح الصفة البيومترية لتحويلها إلى شكل رقمي. بعد تحويلها إلى نموذج رقمي ، تنقل هذه الوحدة البيانات إلى وحدة استخراج الميزة.

13. Components of Biometric System
2- Feature Extraction Module
It processes the raw data captured by sensor and generate a biometric template. It extracts the necessary features from the raw data which needs much attention because essential features must be extracted in an optimal way. It basically removes noise from the input sample and transmits the sample to the matcher module.
2- وحدة استخراج الميزة يقوم بمعالجة البيانات الأولية التي تم التقاطها بواسطة المستشعر وإنشاء قالب بيومتري إنه يستخرج الميزات الضرورية من البيانات الخام التي تحتاج إلى الكثير من الاهتمام لأنه يجب استخراج الميزات الأساسية بطريقة مثالية.
يزيل بشكل أساسي الضوضاء من نموذج الإدخال وينقل العينة إلى إدخال العينة إلى الوحدة اللاحقة المعروفة باسم وحدة المطابقة.

14. Components of Biometric System
3- Matcher Module
This module compares the input sample with the templates being stored in the database using matching algorithm and produces match score.
The resulting match score is transmitted to the decision module.
3- وحدة التطابق تقارن هذه الوحدة نموذج الإدخال مع القوالب التي يتم تخزينها في قاعدة البيانات باستخدام خوارزمية مطابقة وتنتج درجة مطابقة.
يتم نقل نتيجة المطابقة الناتجة إلى وحدة القرار ، والتي تقرر ما إذا كانت تقبل الفرد أم لا.

15. Components of Biometric System
4- Decision Module
After accepting the match score from matcher module, it compares the matching score against the predefined security threshold. If match score is greater than predefined security threshold it will accept the individual otherwise reject it.
4- وحدة القرار بعد قبول درجة المطابقة من وحدة المطابقة ، تقارن النتيجة المطابقة مع حد الأمان المحدد مسبقًا. إذا كانت درجة المطابقة أكبر من حد الأمان المحدد مسبقًا فستقبل الفرد، وبعكسه يرفض.

16. Attack Points in a Biometric system
Biometric systems provide great advantages over traditional systems but they are vulnerable to attacks. There are eight attack points in biometric system which can be attacked as shown in the figure below [5,6].
Sensor
(1) Fake Biometric
Feature Extractor
Matcher
Application
Database
(2) Replay Biometric
(3) Override Feature Extractor
(4) Modify Feature Vector
(6) Modify Template
(7) Attacking the Chanel
(8) Override Final Decision
(5) Override Matcher
توفر الأنظمة الحيوية ميزات كبيرة مقارنة بالأنظمة التقليدية ولكنها عرضة للهجمات.
هناك ثماني نقاط للهجوم في نظام القياس الحيوي والتي يمكن مهاجمتها كما هو موضح في الشكل أدناه

17. Attack Points in a Biometric system
(1) Fake Biometric
In this type of attack a fake biometric such as a fake finger or image of the face is presented at the sensor.
(2) Replay Biometric
Biometric Signals In this mode of attack a recorded signal is replayed to the system bypassing to the sensor.
(1) وهمية biometric في هذا النوع من الهجوم ، يتم تقديم biometric مزيف مثل إصبع مزيف أو صورة للوجه في المستشعر. (2) اعادتها biometric الإشارات البيومترية في هذا الوضع من الهجوم ، يتم إعادة تشغيل الإشارة المسجلة إلى النظام لتجاوز المستشعر.

18. Attack Points in a Biometric system
(3) Override Feature Extractor
The feature extractor is forced to produce feature sets chosen by the attacker, instead of the actual values generated from the data obtained from the sensor.
(4) Modify Feature Vector
The features extracted using the data obtained from the sensor is replaced with a different fraudulent feature set.
(5) Override Matcher
The matcher component is attacked to produce pre-selected match scores regardless of the input feature set.
(3) تجاوز Feature Extractor يضطر Feature Extractor إلى إنتاج مجموعات ميزات يختارها المهاجم ، بدلاً من القيم الفعلية الناتجة من البيانات التي تم الحصول عليها من المستشعر.
(4) تعديل ميزة المتجهات يتم استبدال الميزات المستخرجة باستخدام البيانات التي تم الحصول عليها من المستشعر بمجموعة ميزات احتيالية مختلفة.
(5) تجاوز المطابقة تمت مهاجمة مكون المطابقة لإنتاج نتائج مطابقة محددة مسبقًا بغض النظر عن مجموعة ميزات الإدخال.

19. Attack Points in a Biometric system
(6) Modify Template
Modifying one or more templates in the database, which could result either in authorizing a fraud or denying service to the person, associated with the corrupted template.
(7) Attacking the Chanel between Database and the Matcher
Data traveling from the stored template to the matcher is intercepted and modified in this form of attack.
(8) Override Final Decision
Here the final match decision is overridden by the hacker disabling the entire authentication system.
(6) تعديل القالب
تعديل واحد أو أكثر من القوالب في قاعدة البيانات ،
والتي قد تؤدي إما إلى تفويض الاحتيال أو رفض الخدمة للشخص ، المرتبط بالقالب التالف. (7) مهاجمة قناة النقل بين قاعدة البيانات والمطابق يتم اعتراض البيانات التي تنتقل من القالب المخزن إلى المنظر وتعديلها في هذا النوع من الهجوم.
(8) تجاوز القرار النهائي هنا يتم إلغاء قرار المطابقة النهائية من خلال قيام المتسلل بتعطيل نظام المصادقة بأكمله.

20. Known Technologies To Resist the Attacks [6,7]
1- Liveness Detection Mechanisms
Liveness detection can be used to thwart the attacks at attack point: 1(attacking the sensor). Liveness detection refers to the ability of the system to distinguish between a sample feature provided by a live human being and a copy of a feature provided by an artifact. Using extra hardware to acquire life signs like:
1- pulse detection
2- blood pressure
2- thermal measurement;
4- head, face, eye and pupil movement
1- آليات كشف الحيوية
يمكن استخدام اكتشاف Liveness لإحباط الهجمات عند نقطة الهجوم: 1 (مهاجمة المستشعر). يشير اكتشاف Liveness إلى قدرة النظام على التمييز بين ميزة عينة يتم توفيرها بواسطة كائن حي ونسخة من ميزة يتم توفيرها بواسطة قطعة مصنعة . استخدام أجهزة إضافية للحصول على علامات الحياة مثل:
1- كشف النبض
2- ضغط الدم
2- القياس الحراري
4- حركة الرأس والوجه والعين و البؤبؤ

21. Known Technologies To Resist the Attacks
2- Steganographic and Watermarking Techniques
Steganographic and Watermarking techniques are used to resist attacks at the attack points 2 and 7 (Channel between the sensor and feature extractor and also the channel between the stored template and the matcher).
3- Soft biometrics
Soft biometrics can be used to thwart attacks at the attack points 1 and 8 (attacks on the sensor and decision maker). Soft Biometric traits are those characteristics that provide some information about the individual, but lack the distinctiveness or permanence to sufficiently differentiate any two individuals (gender, ethnicity, age, height, weight etc).
2- تقنيات الإخفاء Steganographic و Watermarking
تُستخدم تقنيات Steganographic و Watermarking لمقاومة الهجمات على نقطتي الهجوم 2 و 7 (قناة بين المستشعر ومستخرج المعالم وأيضًا القناة بين القالب المخزن والمطابق).
3- Soft biometrics
يمكن استخدام القياسات الحيوية اللينة لإحباط الهجمات على نقطتي الهجوم 1 و 8 (الهجمات على المستشعر وصانع القرار). الصفات اللينة الحيوية هي تلك الخصائص التي توفر بعض المعلومات عن الفرد ، ولكنها تفتقر إلى التميز أو الدوام للتمييز بشكل كافٍ بين أي شخصين (الجنس ، العرق ، العمر ، الطول ، الوزن ، إلخ).

22. Known Technologies To Resist the Attacks
4- Multi-modal Biometric Systems
Multi-modal biometric systems can be used to resist spoofing attacks (attacks at point 1). Multi- modal Biometric systems use multiple representations of a single biometric, a single biometric with multiple matchers or multiple biometric identifiers.
The next table gives a comparison of the advantages and drawbacks of the different techniques to prevent attacks.
4- أنظمة المقاييس الحيوية متعددة الوسائط يمكن استخدام أنظمة المقاييس الحيوية متعددة الوسائط لمقاومة هجمات الخداع (الهجمات عند النقطة 1). تستخدم أنظمة المقاييس الحيوية متعددة الوسائط تمثيلات متعددة للقياسات الحيوية الفردية أو المقاييس الحيوية الفردية ذات المطابقات المتعددة أو معرفات الهوية البيومترية المتعددة. يعطي الجدول التالي مقارنة بين مزايا وعيوب التقنيات المختلفة لمنع الهجمات.

23. Table : Advantages and drawbacks of the different protection techniques [7].

24. The last word
قد نجد كثير من الاوراق البحثية التي التدعم استخدام ال Biometric , لكن هناك جانب اخر

25. The last word
من انا؟ ومع من اتعامل؟ وهل اثق بالمؤسسة صاحبة النظام؟

26. The last word
ما مدى قوة المؤسسة صاحبة النظام؟

27. The last word
من يستطيع ان يصل الى معلوماتي ؟

28. References
[1] Marcel, Sébastien, Mark S. Nixon, and Stan Z. Li. Handbook of biometric anti-spoofing. Vol. 1. New York: Springer, 2014.‏
[2] Dunstone, Ted, and Neil Yager. Biometric system and data analysis: Design, evaluation, and data mining. Springer Science & Business Media, 2008.‏
[3] Liu, Simon, and Mark Silverman. "A practical guide to biometric security technology." IT Professional 3.1 (2001): ‏
[4] Jain, Rubal, and Chander Kant. "Attacks on biometric systems: an overview." International Journal of Advances in Scientific Research 1.07 (2015): ‏
[5] Campisi, Patrizio. Security and privacy in biometrics. Vol. 24. London, UK:: Springer, 2013.‏
[6] Roberts, Chris. "Biometric attack vectors and defences.“ Computers & Security 26.1 (2007): ‏
[7] Ambalakat, Parvathi. "Security of biometric authentication systems." 21st Computer Science Seminar