Вокруг Света - Журнал «Вокруг Света» №01 за 2009 год
Обычно в биометрической системе есть определенный баланс между ошибками первого и второго рода: при снижении числа ложноположительных срабатываний растет вероятность ложноотрицательных и наоборот. Это и понятно — ведь чем придирчивее мы смотрим на данные, тем выше шансы усомниться в знакомых атрибутах. Повысить оба показателя надежности можно только принципиальным усовершенствованием биометрической методики.
Об ошибках третьего рода в популярных статьях о биометрии часто даже не упоминают, поскольку внешне они очень похожи на ошибки второго рода — пользователю отказывают в доступе, так как система не смогла его узнать. Однако природа этих ошибок иная и связана не с недостатками алгоритмов распознавания, а с внешними причинами. Так бывает, когда проходящий проверку человек утратил или по каким-то иным причинам не смог предъявить необходимые для идентификации атрибуты. К примеру, химический ожог от работы с суперклеем может на несколько дней испортить отпечаток пальца, бельмо на глазу помешает идентификации по радужной оболочке, а насморк — по голосу. Возможно, лично у вас подобные обстоятельства редкость, но есть люди, для которых это постоянная проблема, они-то и поднимают статистику ошибок третьего рода до уровня около 1%.
У каждого человека индивидуальный рисунок сосудов лица, формирующий уникальный тепловой узор; его можно использовать для идентификации и даже определения выражения лица. Фото: SPL/EAST NEWS
Никуда не годный ключ
На первый взгляд повсеместное применение биометрической идентификации выглядит весьма соблазнительно. Не нужно запоминать никаких паролей, нет риска потерять смарт-карту или иное средство доступа, идентификация обычно проходит быстро и просто. Увы, все эти достоинства нивелируются фундаментальным недостатком биометрической информации — будучи хорошим идентификатором, она является никуда не годным ключом.
Проблема коренится в том, что любая биометрическая система сравнивает между собой не объекты реального мира, а результаты измерений. Отсюда целый ряд отличных возможностей для введения ее в заблуждение. Скажем, раздобыв чужие результаты измерений, можно заранее сохранить их в уже готовом для обработки виде и, получив доступ к аппаратуре, ввести в систему в обход биометрических сенсоров. Доступ к программному обеспечению позволит подменить хранящиеся в системе данные другого пользователя своими. Но и без всякого доступа можно легко обмануть биометрическую проверку, предъявив сенсорам муляж, например, чужого пальца.
Принципиальное отличие скопированного отпечатка пальца от украденной смарт-карты или подсмотренного пароля заключается в том, что последние легко заменить, а пальцев у человека всего 10. И поскольку люди не слишком часто работают в перчатках, заполучить чей-либо отпечаток пальца без его ведома — дело нехитрое. Довольно убедительно это продемонстрировала известная немецкая хакерская группа CCC, «украв» отпечаток пальца министра внутренних дел Германии Вольфганга Шойбле, который активно выступал за внесение отпечатков пальцев в электронные паспорта. Во время публичного выступления в университете он имел неосторожность прикоснуться к стакану с водой, и теперь рисунок его собственного пальца стал публичным достоянием и широко растиражирован в Интернете. Несложно заполучить и рисунок радужной оболочки — достаточно обычной фотографии глаза в хорошем качестве. А уж образцы своей ДНК люди оставляют просто повсюду — для их получения достаточно невымытой кофейной чашки или выпавшего волоса. Другими словами, биометрические данные ни в коем случае нельзя считать секретными, они легкодоступны, и относиться к ним надо так, как если бы они были представлены для всеобщего обозрения.
Конечно, с муляжами и другими подделками пытаются бороться. Так называемая «проверка на живость» (liveness check) позволяет биометрическому устройству определить, имеет оно дело с живым человеком или ему подсовывают фальшивку. К сожалению, обойти эти проверки часто не сложнее, чем украсть сами данные. Например, в сканерах отпечатков пальцев есть температурные сенсоры и емкостные датчики. Первые легко обмануть полиэтиленовым пакетом с теплой водой или подогретым воском, вторые — специальным щупом или просто другим пальцем.
Книги и фильмы, в которых биометрические системы с удовольствием применяют банки и военные организации, создают впечатление, что это окончательное решение вопроса о безопасном доступе к данным. На практике же часто оказывается, что результатам их работы можно доверять не более чем подписи под документом, отправленным по факсу.
Крупные утечки персональных данных в 2008 году
23 марта в Интернете опубликована база данных по большинству граждан России, Украины и ряда стран СНГ. Она включает паспортные данные, адреса, телефоны, данные ГАИ, приводы в милицию и судимости, владение недвижимостью, участие в юридических лицах. Сайт, зарегистрированный на гражданина Панамы, продолжает работать, доступ к свежей информации платный. Поэтому на территории бывшего СССР защиты персональных данных на сегодня не существует. В развитых странах утечки персональных данных считаются серьезным ЧП, но все равно регулярно происходят. Вот самые крупные события всего за несколько месяцев 2008 года, по данным сайта InfoWatch.ru.
24 июня, Германия. Обнаружено, что базы данных 15 госучреждений с информацией по 500 000 граждан (имена, семейное положение, вероисповедание) три месяца находились в открытом доступе: служащие не сменили пароль, использованный в документации как пример.
19 августа, США. Холдинг Dominion Enterprises обнаружил, что в начале года из-за хакерской атаки произошла утечка кредитных анкет 92 000 клиентов.
27 августа, Великобритания. На интернет-аукционе продан подержанный компьютер компании Graphics Data с финансовыми данными (номера счетов, подписи, телефоны) около миллиона человек.
29 августа, США. Bank of New York признал, что в мае потерял при транспортировке 10 магнитных лент с незашифрованными именами, адресами, датами рождения и номерами социального страхования 12,5 миллиона клиентов.
8 сентября, Южная Корея. Украдена база данных по 11 миллионам клиентов интернет-провайдеров с персональными номерами (аналог паспорта), телефонами, адресами. В числе пострадавших — министр внутренних дел, спикер парламента, руководитель секретной службы.
18 сентября, Норвегия. Государственное налоговое управление по ошибке разослало журналистам диски с данными налоговых деклараций 4 миллионов граждан за 2006 год.
13 октября, Великобритания. В Министерстве обороны пропал жесткий диск с данными 600 000 военнообязанных, включая адреса, банковские реквизиты, номера паспортов, водительских прав и телефонов.
На помощь контролерам, следящим за камерами видеонаблюдения, уже приходят автоматические системы распознавания лиц. Фото: SPL/EAST NEWS
Проверено электроникой
Идентификаторам доверяют. Да и как не поверить официальной бумаге с подписью должностного лица и печатью соответствующего органа? Но именно поэтому идентификаторы подделывают, когда стремятся выдать себя за другого человека. В английском языке такие преступления называют identity theft — «кража идентичности». Это, кстати, не очень удачный термин, поскольку идентичность-то как раз украсть нельзя, можно лишь примерить на себя чужой идентификатор. В России подобные деяния попадают в обширную категорию мошенничества.
Самый универсальный международно признаваемый идентификатор человека — это номер его паспорта. А, как мы помним, в схеме паспортной идентификации самое слабое звено — связь документа с физическим телом его владельца. После событий 11 сентября 2001 года правительства многих стран решили в числе прочего заделать и эту брешь в безопасности, внеся в документы своих граждан биометрическую информацию. Соответствующие стандарты и технологии были согласованы через Международную ассоциацию гражданской авиации ICAO, поскольку вне собственной страны человек чаще всего предъявляет документы именно в аэропортах.
Теперь в новые паспорта, отмеченные специальным символом, впечатан электронный чип, несущий стандартизованные персональные и биометрические данные. Из последних, правда, широко используют пока только и так имеющуюся внутри документа фотографию, но некоторые страны уже готовы записывать на чип отпечатки пальцев и сканы радужной оболочки. Если на контрольном пункте обнаружится, что их рисунки не соответствуют вашим, это будет все равно что подать пограничнику паспорт с явно чужой фотографией. Подделать такой рисунок куда труднее фотографии: даже если научиться подменять впечатанную микросхему, записанные данные должны быть заверены электронной цифровой подписью, которая есть только у органов, выдающих биометрические паспорта. Прочитать подписанные данные можно свободно, а вот сгенерировать их без секретного ключа цифровой подписи не получится.
