Главная » Блоги Экспертов И ИТ-Компаний » Биометрия: возможности и угрозы

Биометрия: возможности и угрозы

Когда  вы думаете, что защищенное отпечатком пальца, сканом сетчатки глаза или биометрией лица, ваше электронное устройство находится в безопасности от хакерских атак или охотников за ПД, то вы очень сильно заблуждаетесь.

Чёрный рынок персональных данных процветает и в даркнете каждый день можно обнаружить крупные утечки по России и странам СНГ. Последние события заставляют всерьёз задуматься: кто, где и как защищает наши ПД, а самое главное, заинтересованны ли сами гаранты безопасности в охране этих данных?

Для  людей, особенно ответственных лиц, данные которых были защищены токеном с электронной подписью риски, если разобраться,  не велики: хакеры могут украсть пароль/логин или, в самом пиковом случае,  даже взломать 2FA, если будут целенаправленно работать именно по вашей персоналии. Но пароль, кодовое слово, номер телефона, токен и чип карты можно легко заменить с последующим восстановлением.

Однако попробуйте заменить, например, свой голос! А его можно похитьить и смоделировать, можно создать 3D модель ваших пальчиков, можно создать маску лица, способную обмануть любую систему. 

 

В июле 2020 года был подписан указ о создании в России ЕБС (Единой Биометрической Системы) Таких масштабных проектов в мире не много, и с самого начала встает вопрос о его надёжности и целесообразности. Пока что основное оправдание ЕБС  в том, что он дает доступ к банковским продуктам для людей из "отдалённых уголков страны"  и т.д.  Но на самом деле у этой системы более широкое и, скажем так, неоднозначное применение.  А ее уязвимость может привести к кдуда более серьезным последствиям для пользователя, чем простой взлом. Ведь здесь могут украсть не пароль, не информацию, а саму личность человека.

Объём  мирового рынка биметрических систем на конец 2016 года , по данным международной консалтинговой компании Jeison and Partners, оценивается на уровне 14,45 млрд. долларов США. Согласно прогнозу, на на ближайшие 6 лет показатель среднегодового темпа роста рынка этих технологий  составит 18,6 %, а к 2022 г он вырастет до 40,2 млрд. долларов США.  На мировом рынке биометрических систем  активно применяются технологии , основанные на распознавании отпечатков пальцев (более 50% всего обема) , изображения лица (21,6%), распознавания сетчатки радужной оболочки глаза (10,2%), голоса (4%) , рисунка вен (3%), геометрии ладони, ДНК и пр (около 7%).

 

В чём проблема защиты, основанной на биометрических данных?  

В мире социальных сетей личная жизнь давно стала жизнью общественной. Очень часто люди делятся не просто фотографиями, но всеми этапами своей жизни: как они растут, спят, едят, занимаются спортом и т.п. И всея эта информация уходит в интернет. А целенаправленный сбор биометрических данных  с помощью специального оборудования помещает точнейшую биологическую информацию о вас в ячейку в единой базе данных, утечка которой может привести к невосполнимым потерям.

В 2015 году группа компании FierEye наглядно продемонстрировала, как можно снять отпечаток пальца с поверхности айфона при помощи обычного мармеладного мишки. Но за  последние 5 лет технологии настолько шагнули вперед, что с помощью 3D можно напечатать и отпечаток вашего пальца и ваше лицо. Сейчас  производство 3D принтеров стало значительно дешевле, а они сами, соответственно, доступнее и находят все более широкое применение в самых разных областях деятельности, в том числе и незаконных. Об этом просто надо помнить.

Развитие всевозможных  технических устройств и гаджетов дают, помимо прочего, все более широкие возможности для похищения чужих биометрических данных.  Например немецкий хакер  Stfrburg нашел массу уязвимостей биометрической защиты смартфонов. Одна из них, к примеру, позволяет узнать пароль устройства, имея доступ только к фронтальной камере. Для этого, во первых, можно воспользоваться технологией айтрекинга и отослатьдвижение глазных яблок владельца, когда он вводит пароль. Второй способ, - разглядеть отражение телефона в глазах владельца. Разрешения современных камер на мобильниках это вполне позволяют.

 

Но вернемся к ЕБС:создание этой базы является плохо обдуманным и, как следствие, небезопасным проектом:

Никто не отменял человеческого фактора. Все мы знаем, как лихо утекают персональные данные из банков, больниц, даже из правоохранительных структур. Кто гарантируе от слива данные ЕБС? 

Поэтому, для успешного применения такой системы необходимо гораздо более четкое, вменяемое и жесткое  законодательство о защите персональных данных, а также жесткий контроль за поставщиками ПО для ЕБС. Обеспечение работы подобной базы должно осуществляться ТОЛЬКО РОССИЙСКИМИ РАЗРАБОТКАМИ. Слепое копирование и использование зарубежных решений приведет к угрозам государственного масштаба. Кроме того реализация проектов должна быть максимально прозрачной для подрядчиков, чтобы избежать недобросовестного лоббизма.

Наконец, следует обязательно дополнять биометрические технологии проверенными криптосредствами, которые и должны составить идеальную пару киберзащиты будущего.


Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
Комментарии
Другие публикации
RU, Москва
Информационные технологии

Мы работаем в сфере информационной безопасности.

Мы любим нашу Родину.

Мы полагаем, что критические проблемы в области информационной безопасности являются особо значимыми для безопасности нашей страны.

Мы можем высказаться о фатальных проблемах нашей отрасли только анонимно. 

Мы собрались и решили, что должны высказать все, что мы думаем о проблемах ИБ, об уязвимостях критической инфраструктуры и государственной политике в нашей сфере не только на кухнях и в закрытых чатах, но и  публично.

Мы анонимны и, следовательно, правдивы. Мы будем транслировать не мнения наших начальников, которых заботят собственные места по разные стороны от откатных схем. И не тех, кто абсурдно верит в импортозамещение и прочие пропагандистские лозунги.

Мы - несколько профессионалов, которые решили преодолеть общую неспособность ИТ сообщества говорить публично.

И мы хотим сказать.




Забыли пароль?
Зарегистрируйся сейчас!
Присоединяйся к нашему обществу для того чтобы познакомиться с новыми людьми, создать собственный блог, публиковать анонсы событий и объявления, а также участвовать в обсуждении публикаций CNews. Мы создали единое пространство для общения специалистов рынка информационных технологий и всех, кто интересуется современными технологиями. Регистрация =>