Биометрические персональные данные, или Простота не хуже воровства

Нет особой необходимости пояснять, что, будучи превращенными в цифровой «образец», персональные данные при определенных обстоятельствах могут легко оказаться в руках недобросовестных лиц и нанести ощутимый ущерб их субъектам. Вероятность такого события многократно возрастает в случае передачи биометрических данных через Интернет. У этой ситуации есть еще один важный аспект: любая неверная верификация субъекта биометрических данных, вне зависимости от того, произошло ли это по злой воле третьего лица или в результате банального сбоя системы верификации, практически неизбежно приводит к тому, что субъект биометрических данных не в состоянии доказать свою невиновность. Эти соображения сегодня активно обсуждаются, как досужими обывателями, так и специалистами. О чем в этой области сегодня можно говорить более-менее определенно?

Легко ли обмануть компьютерного контролера?

Биометрические характеристики человека уникальны – это факт. Некоторые биометрические характеристики человека можно скопировать – это тоже факт. Вся история развития биометрических технологий – это история противостояния их разработчиков и преступников, обнаруживающих лазейки для обхода датчиков, детекторов и анализаторов.

Так, устройства для анализа лица первого поколения, которые использовались для доступа к онлайн-сервисам, можно было обмануть, если просто удерживать фотографию пользователя перед камерой. В следующем поколении ПО эта уязвимость была ликвидирована за счет добавления системы распознавания реального человека. Но и тут хакеры нашли оригинальный метод обмана – оказалось достаточно просто перед фотографией перемещать вверх-вниз карандаш. Утверждается, что систему распознавания лиц на современных гаджетах на базе ОС Android зачастую можно до сих пор обмануть подобной уловкой.

Распознавание радужной оболочки глаза считается особо надежным: ложные срабатывания возможны в одном из 1,5 миллиона случаев. Производители сканеров радужки рекламируют технологию как защищенную от взлома. Однако и это решение можно перехитрить с помощью фотографии с очень высоким разрешением. Это доказали специалисты из европейской ассоциации хакеров Chaos Computer Club. Они воспользовались фотоснимком канцлера Германии Ангелы Меркель, сделанным с расстояния около пяти метров, увеличили его и распечатали фрагмент с радужкой таким образом, что он оказался в состоянии обмануть популярные инструменты распознавания.

Эти же ушлые специалисты перехитрили сканер отпечатков пальцев iPhone 5s (дело было в сентябре 2013 года), создав копию отпечатка пальца, а потому доказали, что работоспособные отпечатки пальцев могут быть реконструированы даже по фотографии. Тогда «жертвой» демонстрации стала министр обороны Германии Урсула фон дер Лайен. Позже подобные эксперименты провели в Японии, в Национальном институте информатики. Японские эксперты обратили особое внимание на селфи с популярным жестом в форме латинской буквы «V»: снимки делаются с близкого расстояния, что значительно облегчает задачу потенциальным похитителям отпечатков данных.

Эксперты рассказывают, что в продаже на черном рынке уже есть доступные по цене устройства, позволяющие похищать биометрические данные (биометрические скиммеры).

Что касается голоса, то современные технические возможности для фальсификации голоса кибермошенники широко используют с целью шантажа, вымогательства и осуществления преступных операций. Известно, например, что в «нулевых» годах, подделав речь и голос тогдашнего Президента Филиппин Глории Арройя, которая говорила по мобильному телефону, киберпреступники сумели вызвать большие политические волнения в стране. Приведенные примеры – еще одно доказательство в пользу того, что сама по себе любая технология биометрии не может считаться безукоризненной. И вот уже на недавнем Всемирном мобильном конгрессе в Барселоне демонстрируется прототип двойной технологии идентификации: отпечатки пальцев и снимок радужки, - для массового применения на смартфонах. Плюс к этому обязательным элементом био-идентификации становится система выявления «живых» образцов био-данных. Так, ПО, анонсированное в Барселоне, идентифицирует пользователя на расстоянии до 60 сантиметров, отличает живой глаз от его изображения, даже если человек при этом – в темных очках (сенсоры инфракрасные).

В среде производителей сканеров отпечатков пальцев известны модели, устойчивые к муляжам. Одни используют многоспектральное излучение, проникающее под кожу. Другие, помимо изображения отпечатка, анализируют рисунок вен.

К другим «признакам жизни» в программах био-идентификации относятся, например, анализ движения губ синхронно с речью, комбинация голоса с мимикой, с данными по глубине изображения или динамической парольной фразой. Правда, сокрушаются эксперты, одновременно на рынке появились очень недорогие программы, оживляющие фото. При передаче такого изображения по каналу связи невысокого качества, скажем, с помощью ПО Skype, отличить подделку от живого человека перед веб-камерой практически невозможно.

Таким образом, вопрос обмана компьютерного контролера – это вопрос времени: на каждое очередное достижение технологий найдется талантливый инженер с «пониженной социальной ответственностью». Впрочем, именно так движется технический прогресс во всей отрасли информационной безопасности.

Другое дело, что опасности, поджидающие системы биометрической идентификации, извне, возможно, покажутся не столь страшными, если их сравнить с рисками фальсификации данных, хранящихся внутри системы.

Подмена личности

Размах биометрических проектов национального масштаба, осуществляемых в разных странах мира, впечатляет. Наряду с государственными базами био-данных, возникают корпоративные, не менее крупные по объемам содержащейся информации. Так, ИТ-гигант Samsung недавно выступил с предложением зонтичной услуги Fast IDentity Online (FIDO) – единой системы идентификации на основе био-параметров для всех мобильных банковских услуг. Фактически Samsung предлагает заменить своей системой все традиционные способы аутентификации клиентов для всех взаимодействий с банком. Речь идет о создании еще одной – транснациональной – базе биометрических характеристик пользователей одной из крупнейших ИТ-компаний мира.

В этой ситуации возникает вопрос: кто владеет точными образцами биометрических данных граждан, и как он обращается с этими данными? Вопрос крайне непростой и болезненный для общественности.

Так, принятие закона и биометрии в Израиле сопровождалось ожесточенной полемикой в обществе. Противники создания биометрической базы, как выяснилось, ничего не имеют против «умных» удостоверений личности, хранящих отпечатки пальцев владельца и контуры его лица. Однако они категорически возражали против создания единой базы этой деликатной информации. Их аргументы: биометрические паспорта и так достаточно защищены от подделки, накапливать конфиденциальную информацию о гражданах для этой цели не требуется. А техническая поддержка национальной биометрической базы будет чрезвычайно дорогостоящим делом. При этом гарантий от взлома или преступной инсайдерской утечки данных дать никто не сможет, но последствия такой утечки будут поистине катастрофическими и непоправимыми.

Французский уполномоченный орган по ПД посчитал, что поддержка баз данных, содержащих информацию о радужной оболочке глаза и форме руки, в большинстве случаев является допустимой. А вот информация об отпечатках пальцев должна большей частью храниться только на карточках доступа. Исключения допускаются только для архивов полиции и в случаях, когда нужно дополнительное обеспечение надежности идентификации владельца. Весьма хитроумный способ ухода от централизованного хранения эталонных образцов придумали ушлые французы: к датчику одновременно прикладывается и смарт-карта с эталоном отпечатка и собственно палец человека. Надо сказать, и этот метод не идеален. При автономном хранении биометрии на карте сотруднику службы безопасности компании достаточно изготовить копию карты допуска и передать ее злоумышленнику.

В целом насколько опасно, если эталонные образцы будут украдены из базы или заменены на другие?

Подмена данных в центральной базе – на сегодняшний момент фатальная ситуация. Специфика электронной базы заключается в том, что последняя запись - всегда истинная. Если человека не распознают системы, взаимодействующие с хранилищем эталонных образцов биометрических данных, значит, этого человека нет. В рамках электронной системы реальный человек, попавший в такую ситуацию, просто не сможет доказать, что он существует на белом свете.

Если же эталонные данные будут украдены, а потом использованы другим лицом, возникает копия реального человека, которая может действовать от его имени. Это явление, получившее название кражи личности, на Западе уже реально существует. В США, например, даже создан сайт, куда «физические оригиналы», пострадавшие от своих цифровых копий, могут обратиться за консультацией. В этой стране, где гораздо более существенно, чем у нас, развиты интернет-услуги, в качестве удостоверения личности используют Social Security Number (SSN). Этот номер, в основном, запрашивают организации для подтверждения личности человека. Похитив номер SNN, злоумышленники способны, например, испортить кредитную историю своей жертвы. Согласно опросам, кража личности является одним из основных опасений граждан США - 20 процентов всех видов мошенничества происходит с использованием чужих персональных данных.

Следует, правда, заметить, что сегодня действия людей, осуществляющих «кражу личности» с помощью SSN, в большинстве случаев примитивны. Ведь число сценариев использования этих персональных данных невелико: получить налоговый вычет, да оформить покупку в интернете по чужим платежным реквизитам. Но ситуация радикально изменится, когда появятся базы данных, где хранятся разнообразные ПД большого количества людей, включая биометрию.

Первые звоночки уже прозвучали. Рассказывают, что в индийской базе Aadhaar неоднократно были замечены фальшивые записи. Например, идентификационные номера Aadhaar появлялись у животных – коров, собак. Однажды карту Aadhaar нашли даже у индуистского бога Ханумана. Поговаривают, что возможность фальсификации персональных данных граждан в этой национальной базе – это один из способов отмывания денег. Некоторое время назад в прессу просочилась информация о том, что по заказу Госдепартамент США был осуществлен аудит безопасности Сводной консульской базы данных США (US Consular Consolidated Database, CCD), одного из крупнейших в мире собрания биометрических данных разных людей. Утверждается, что в процессе аудита были обнаружены множественные уязвимости в CCD. Никаких подробностей о найденных проблемах нет, но источники сообщают, что в теории баги могут использоваться третьими лицами для получения доступа к базе и последующей кражи или изменения содержащихся в ней данных. К примеру, хакеры могут одобрить визы каким-либо людям, которые в обычных обстоятельствах никогда бы их не получили.

Таким образом, био-данные подвергаются риску кражи или фальсификации и на терминальном устройстве, с которым взаимодействует пользователь, и в центральной базе образцов, и даже в канале связи, по которым передаются данные. Сегодня у преступных хакеров популярны атаки на динамические данные, использующие перехват данных и даже их модификации непосредственно в памяти компьютера прямо во время выполнения программы.

Получается, что идеально надежного места хранения ПД нет. Тогда возникает следующий вопрос: если нет цифровых технических решений для абсолютно надежного хранения цифровых биометрических данных, значит, эта надежность должна повышаться организационными мерами? Кто тогда должен нести ответственность за надежное хранение и достоверность био-образцов в какой-либо точке хранения? Частично эти вопросы обсуждались в 7 номере электронного журнала «НААР. Документы. Информация. Общество», однако до полного и окончательного ответа еще далеко.