Известният криптограф и специалист по информационна сигурност Брус Шнайер сподели в своя блог размислите си за новите биометрични методи за идентифициране на личността и за тяхното използване в съвременните компютърни системи. Популярният компютърен експерт е обезпокоен от прекалено бързото и масово навлизане на тези технологии в ежедневието.



Новината от Бюрото по управление на човешките ресурси за пробив в тяхната компютърна система не дойде сама и ситуацията става все по-лоша. Разбра се, че освен личните данни на над 20 милиона души са откраднати и файловете с пръстови отпечатъци за 5,6 милиона от тях.Това е коренно различно от кражбите на данни, за които редовно четем в новините. Нека да направим малка пауза, преди да поверим нашите биометрични данни на големите мрежови бази данни.

Има три основни вида данни, които могат да бъдат откраднати. Първият вид, най-често са за проверка на автентичността. Това са пароли и друга информация, която дава възможност на външни лица да получат достъп до нашите акаунти и обикновено - до нашите пари. Така например, от ритейлъра Home Depot бяха откраднати данните за 56 милиона дебитни карти, а от Бюрото по управление на персонала съобщи за 21,5 милиона откраднати социално-осигурителни номера на държавни служители. Мотивацията за тези кражби е типично финансова. Хакерите искат да откраднат пари от нашите банкови сметки, искат да изтеглят кредити от наше име или да кандидатстват за възстановяване на данъци.

Това е един гигантски незаконен бизнес, но ние знаем как да се оправим ако ни се случи нещо подобно. Тези хаквания се откриват бързо и веднага след като разберем за подобна атака, идентификационните данни за профила се актуализират, а банковите карти се блокират.

Вторият вид данни е кражбата на лична информация. Това са например атаката срещу Sony през 2014 година или личните данни от сайта за изневери Ashley Madison, които бяха откраднати и част от тях публикувани в уеб-пространството. При тези случаи няма как да се върне направеното. След като данните са станали публични или са в ръцете на недоброжелатели, те няма как да станат отново "лични данни".

Именно това е основното следствие от кражбата на данните за държавните служители. Който и да е откраднал тази информация (предполага се, че това са китайците), той има копия от документите на всички тия държавни служители. А тази документация включва отговорите на някои твърде лични и неудобни въпроси, задавани при проучването и кандидатстването за тази работа. Сега тези служители могат да станат жертви на изнудване и други видове принуда.

Пръстовите отпечатъци са напълно и изцяло друг вид данни. Те се използват за идентифициране на хора на местопрестъплението, но сега все повече се използват като идентификационни данни за удостоверяване на личността. Ако имате iPhone например, най-вероятно използвате пръстовия си отпечатък за отключване на смартфона. Този тип идентификация се използва все по-често, но проблемът с биометричните данни е, че за разлика от паролите, те не могат да бъдат променени. Лесно можете да смените паролата на акунта си или номера на банковата карта, но не можете да получите нов пръст с нови пръстови отпечатъци.

И сега, през останалата част от живота си, 5,6 милиона американски държавни служители трябва да помнят, че някой някъде разполага с техните пръстови отпечатъци. Ние наистина не знаем бъдещата ценност на тези данни. Ако сега, през 20-те години на този век започнем редовно да използваме своите пръстови отпечатъци в банкоматите, базата данни с пръстови отпечатъци ще бъде безценна за престъпниците. Всъщност ще бъде изгодно да бъдеш престъпник. Ако биометричните данни започнат масово да се използват за отключване на нашите компютри и за получаване на достъп до нашите файлове и данни, тази база данни ще бъде най-ценното за шпионите.

Разбира се, това няма да е толкова лесно. Скенерите за пръстови отпечатъци използват различни технологии за предотвратяване на измами: температура на тялото, пори, сърдечен ритъм и т.н. Но това е просто една надпревара във въоръжаването на нападатели и защитници. Има много начини да се заблуди един скенер за пръстови отпечатъци. Когато Apple представи първия подобен скенер в iPhone, хакерите само в рамките на три дни измислиха начин как да го заблудят. Същото става и със следващите поколения смартфони с най-нови скенери за пръстови отпечатъци.

Но използването на биометрични данни съвсем не означава тяхното записване в обща база на някой сървър. Apple например, използва тези данни на локално ниво - единствено в смартфона. Няма централно хранилище, което да бъде хакнато. Има много компютърни системи, които никъде не записват биометричните данни, а използват сложна математична функция, която може да бъде използвана за разпознаване, но не и за възстановяване на биометрията. За съжаление, Бюрото по човешки ресурси съхранява копията на истинските пръстови отпечатъци.

Ashley Madison ни показа опасностите от поверяването на личните и интимните тайни на фирмените компютри и мрежи. Веднъж откраднати, тези данни не могат да се върнат и да станат отново "лични". Всички биометрични данни, независимо дали пръстови отпечатъци или ириса на окото, разпознаване на гласа и други подобни имат същата стойност. Трябва да бъдем скептични по отношение записа на тези данни от страна на правителства и други организации. Нашите биометрични данни са нужни за удостоверяване и не можем да си позволим да ги загубим за да ги използва някой друг.