Системы видеорегистрации и их стойкость
Видеорегистрация – всё популярнее. Популярности системам регистрации, “завязанным” на видео, добавляют средства автоматизации, анализирующие изображение: обнаружение и распознавание лиц, автоматическая обработка номеров автомобилей, автоматическое “чтение” текстов на изображении и тому подобные функции, реализуемые с помощью компьютерной обработки.
При этом программное обеспечение “распознавания образов”, используемое подобными автоматическими регистраторами, можно представить себе как некую систему, состояние которой в данный момент времени определяется (в значительной мере) данными, полученными извне, то есть с помощью видеокамер из “реального мира”. На поток данных можно воздействовать, находясь в этом самом реальном мире.
О чём эта модель напоминает? О программном обеспечении веб-серверов, например. Или, более конкретно, о CMS. Давно известно, что подавляющее большинство уязвимостей в CMS связано с недостаточным контролем “вводимых данных”, поступающих, опять же, из реального мира. Если проектировавший CMS инженер слишком доверяет поступающим из глубин Интернета данным, считает, что эти данные обязательно будут выглядеть именно так, как задумал инженер, то тут же возникает целая россыпь уязвимостей, потому что умелый хакер подсовывает совсем не те данные.
Внимание, вопрос: как скоро получат распространение “явления реального мира”, эксплуатирующие уязвимости в компьютерных системах автоматической регистрации (и поиска), работающих с видеокамерами? Например, в результате предъявления определённого изображения программное обеспечение регистратора зависает?
Такой эффект, кстати, мне уже приходилось неоднократно наблюдать в одной специальной системе анализа изображений (вполне себе реально применяемой). Эффект, впрочем, был исправлен внесением изменений в архитектуру системы.
Понятно, что уязвимости в программном обеспечении видеосистем есть. Понятно, что проектировавшие эти системы инженеры вполне могут не обладать нужным опытом “из области безопасности” (как это постоянно случается с разработчиками CMS). Впрочем, возможно, что инженеры систем машинного зрения – строже. Так или иначе, хитрые картинки, приводящие к нештатной работе программного обеспечения регистраторов-анализаторов, наверняка появятся. Нужно немного подождать. (А кое-что, вроде бы, уже появилось.)
(Фото к тексту отношения не имеет.)
Адрес записки: https://dxdt.ru/2008/07/18/1586/
Похожие записки:
- Рендеринг для 3D-печати - пример
- Вывод ключей Kyber768 на tls13.1d.pw
- Реплика: возможный доступ приложений "Яндекса" к OBD автомобиля
- Внешние библиотеки на сайтах и замена кода
- Port knocking как инструмент управления доступом к скрытым сервисам
- Удостоверяющий центр TLS ТЦИ
- Постквантовый мир прикладной криптографии
- Нейросети из пикселей
- Различительная способность "обезличенных" данных
- LibreSSL и поддержка криптосистем ГОСТ
- Starlink и взаимодействие с наземными GSM-сетями
Комментарии читателей блога: 8
1. 18th July 2008, 20:47 // Читатель Alex написал:
Это вряд ли – нам ведь строго известен диапозон, в которые данные укладываются. Т.е., каждый пиксель скажем 3 байта, в которых допускаются все возможные комбинации. Тем более нет такой строгости обработки, как например, в текстовых данных. Затрудняюсь немного объяснить, ну вобщем алгоритм распознавания поразумевает сравнение с шаблоном, и на выходе получаем либо “да”, либо “нет”, никакого “незнаю”/”хек” не получится =)
2. 18th July 2008, 22:08 // Александр Венедюхин:
Ну так даже “сравнение с шаблоном” может содержать в себе уязвимость.
3. 18th July 2008, 22:19 // Читатель Тош написал:
имел дело с одним сенсором со встроенным паковщиком, что-то вроде веб-камеры на одном чипе (модель не помню)… так он напрочь вис, увидев регулярный паттерн (решетку, типографский растр и т.д.). просто переставал выдавать кадры — и всё.
4. 19th July 2008, 05:43 // Читатель Taras написал:
Ага, вместо номера на автомобиле будет код для SQL инъекции, для взлома систем слежения :)
5. 19th July 2008, 21:23 // Читатель arcman написал:
Из разряда фантастики, особенно применительно к распознаванию автомобильных номеров.
6. 19th July 2008, 22:28 // Александр Венедюхин:
Одно время самовнедряющийся (без требования совершения действий со стороны пользователя) компьютерный вирус казался фантастикой.
7. 20th July 2008, 21:05 // Читатель Vadim написал:
Говорят, одна из популярных систем распознавания лиц мертво зависает, если ей предъявить слишком широкое лицо, у которого ширина заметно больше, чем высота.
8. 22nd July 2008, 11:55 // Читатель Шурик написал:
Не знаю как насчёт “распознавания лиц”, но в одном из релизов дактиллоскопического “Папиллона” фатальная уязвимость по несоответствию размера кадра была. Полагаю, нет ничего удивительного в возможном наличии подобных уязвимостей в иных системах, связанных с распознаванием образов. Впрочем, уязвимость вида “гипнотическая картинка” кажется мне весьма и весьма маловероятной. Хотя, свидетельство Тош-а указывает, что для embedded-устройств (по определению туповатых) это возможно…