Jest już w każdym nowym smartfonie. Mało kto mówi głośno o ciemnej stronie tej technologii
Hasła jako metoda zabezpieczania danych są bezużyteczne – mówi Małgorzata Fraser, analityczka prywatności, edukatorka cyfrowa, dziennikarka technologiczna. Hakerzy mają wiele sposobów na ich złamanie. Odpowiedzią na ten problem może być biometria. Ale i ona nie jest pozbawiona wad.
Wydaje się, że każdy użytkownik smartfonu wie czym jest biometria, ale czy przypadkiem nie rozumiemy jej zbyt ogólnikowo?
Zacznijmy od tego, że biometria, czyli uwierzytelnianie dostępu użytkownika do systemów informatycznych, usług cyfrowych czy urządzeń elektronicznych z wykorzystaniem naszych danych behawioralnych i mierzalnych cech fizycznych, obecnie jest czymś, co rewolucjonizuje dotychczasowe myślenie o uwierzytelnianiu. Jest wygodna, jest skuteczna, i ma szansę znacznie podnieść standard bezpieczeństwa w przypadku wielu usług, z których na co dzień korzystamy.
Czyli to nie tylko telefony?
Dzisiejsza biometria kojarzy nam się przede wszystkim z czytnikiem linii papilarnych w telefonie i rozpoznawaniem twarzy, które od niedawna służy do odblokowywania urządzeń, ale w wielu krajach stosowane jest również np. przy zautomatyzowanej odprawie lotniskowej.
Zabezpieczenia biometryczne mogą się jednak opierać również na rozpoznawaniu głosu, skanowaniu żył, czy też tęczówki lub siatkówki oka. Wiążą się z nią jednak pewne ryzyka, o których warto pamiętać – zarówno z perspektywy firmy, która takie rozwiązania chce wdrożyć w swoich usługach, jak i z perspektywy użytkownika.
Hasło możemy zmienić, ale nie jesteśmy w stanie wymienić siatkówki w oku, ani przebiegu linii papilarnych na opuszkach palców - przekonuje Małgorzata Fraiser.•Fot. Małgorzata Fraiser
Co masz na myśli mówiąc "ryzyka"?
Ryzyko, jakie moim zdaniem jest najbardziej istotne z punktu widzenia wdrożenia zabezpieczeń biometrycznych w praktyce, to nieprawidłowe przechowywanie danych pobranych od użytkowników danego systemu (zazwyczaj szyfrowanych), które służą do uwierzytelniania.
Naruszenie bezpieczeństwa takiego zbioru danych uwierzytelniających to wyciek wrażliwych informacji biometrycznych o nawet milionach osób (jeśli mówimy o np. bazie danych biometrycznych wykorzystywanych do uwierzytelniania dostępu do usług elektronicznych państwa przeznaczonych dla obywateli).
Jeśli w wyniku cyberataku na jakąś usługę hakerzy uzyskują dostęp do haseł, którymi posługujemy się np. do logowania na konto w mediach społecznościowych, możemy je zmienić. Zabezpieczenia biometryczne to jednak co innego – nie jesteśmy w stanie wymienić siatkówki w oku, ani przebiegu linii papilarnych na opuszkach palców.
Co jeśli takie dane wypłyną? Kto na tym skorzysta?
Dane biometryczne mogą być m.in. wykorzystywane przez kraje, w których panuje reżim autorytarny, do represjonowania dysydentów politycznych, dziennikarzy czy innych grup obywateli objętych ryzykiem, jak np. mniejszości etniczne czy religijne.
O takim przypadku możemy mówić w związku z tym, jak wygląda sytuacja Ujgurów w Chinach, którzy są śledzeni przez ChRL m.in. z użyciem zaawansowanego systemu rozpoznawania twarzy i dodatkowo, aplikacji na smartfonach.
Przecież to inwigilacja.
Tak, ale to nie wszystko. W przypadku gromadzenia danych o DNA klasa możliwych nadużyć rozszerza się o nowe możliwości, gdyż informacje zawarte w naszych genach to ogrom wrażliwych danych np. o dziedziczonych przez nas chorobach, co może posłużyć do dyskryminacji algorytmicznej, ale i tej dokonywanej świadomie przez człowieka.
Za przykład może posłużyć pracodawca, który nie zatrudni kandydata ubiegającego się o pracę na danym stanowisku ze względu na wysokie prawdopodobieństwo, iż przyszły pracownik zachoruje na raka bądź cierpi na cukrzycę lub choroby autoimmunologiczne.
Brzmi drastycznie.
Z mojego punktu widzenia problemem jest to, że coraz powszechniejsze użycie biometrii pozwala na tworzenie gigantycznych baz danych o ludziach, którzy korzystają z rozwiązań na niej bazujących, dobrowolnie lub nie – np. korzystając z systemów biometrycznych przy przekraczaniu granic państwowych czy na lotnisku niekoniecznie możemy mieć wybór.
Systemy nadzoru elektronicznego zbudowane w oparciu o dane biometryczne to zagadnienie bardzo kompleksowe, jednakże to co można o nich powiedzieć w skrócie to to, że pozwolą na bardzo szczegółowe śledzenie użytkowników (przez np. monitoring miejski który dzięki analizie nagrań wideo i rozpoznawaniu twarzy będzie w stanie szczegółowo określić, gdzie i o jakiej godzinie się znajdowaliśmy).
Co na to prawo? Są już jakieś regulacje?
Obecnie biometria nie jest uregulowana w żaden wiążący sposób na poziomie międzynarodowym, w USA pojawiają się regulacje stanowe (np. w Kalifornii).
To istotne w przypadku próby np. wymuszenia odblokowania telefonu przez organy ścigania. W demokratycznym kraju nikt nie ma prawa zmusić cię, abyś na komisariacie przyłożył palec do czytnika linii papilarnych i odblokował telefon.
W USA w tym zakresie chroni cię poprawka do konstytucji, dzięki której masz prawo do nieobciążania samego siebie podczas składania zeznań. Ale jak sytuacja wygląda w krajach, którym do demokracji daleko?
Jeśli się nie zgodzisz, mogą jakoś sami złamać te zabezpieczenia?
W 2017 roku w Japonii w Narodowym Instytucie Informatyki przeprowadzono badania, które udowodniły, że da się wyekstraktować odcisk palca ze zdjęć zrobionych z odległości trzech metrów.
Przekształcenie powielonego odcisku w funkcjonalny druk 3D, który może posłużyć do odblokowania urządzenia lub systemu, nie jest problemem. Dlatego obecnie proste zabezpieczenia biometryczne, polegające do tej pory np. jedynie na czytniku linii papilarnych, uzupełniane są o inne czujniki, np. temperatury czy wykrywające puls.
Znane są również przypadki odblokowania niektórych telefonów wykorzystujących biometryczny skan twarzy jako zabezpieczenie dostępu; w 2018 roku podczas eksperymentu wykazano, że w przypadku smartfonów Samsunga, OnePlusa i LG skuteczny był również druk 3D ludzkiej głowy. Szersze badania wykazały, że te zabezpieczenia można oszukać w różny sposób we w sumie 30 modelach smartfonów z Androidem.
Można coś zrobić, żeby poprawić tę technologię?
W tej kwestii moim zdaniem najbardziej istotnym elementem jest uregulowanie biometrii pod względem standardów dla bezpieczeństwa przechowywania danych, które służą do uwierzytelniania, jak i dla tego, jakie w ogóle dane, przez kogo i jak długo mogą być gromadzone.
Nadużycia z wykorzystaniem zgromadzonych danych to coś, co powinno stanowić naszą największą obawę i kwestia tak samo istotna jeśli chodzi o wielkie koncerny, jak i instytucje rządowe w różnych krajach świata.
Jakie są alternatywy dla biometrii?
Pytanie powinno brzmieć, odpowiedzią na co jest biometria? Na hasła, które – jako metoda zabezpieczania danych – są bezużyteczne. Cyberprzestępcy wykradają dziś hasła z użyciem takich metod, jak phishing, cross-site scripting (XSS) i inne. Niestety, wielu z nas używa tych samych haseł do logowania się w wielu usługach jednocześnie.
Hasło zabezpieczające dostęp do jakiejś sieci społecznościowej może być również przez wielu wykorzystywane np. do logowania w bankowości elektronicznej. Raz pozyskane przez hakerów dane mogą wywołać naprawdę bardzo wiele szkód.
Na szczęście korzystanie z zabezpieczeń dwuskładnikowych (two factor authentication, 2FA) jest coraz popularniejsze, choć i ta metoda na zwiększenie bezpieczeństwa w przypadku korzystania z haseł nie daje stuprocentowej pewności.