Вокруг Света - Журнал «Вокруг Света» №01 за 2009 год

Конечно, с муляжами и другими подделками пытаются бороться. Так называемая «проверка на живость» (liveness check) позволяет биометрическому устройству определить, имеет оно дело с живым человеком или ему подсовывают фальшивку. К сожалению, обойти эти проверки часто не сложнее, чем украсть сами данные. Например, в сканерах отпечатков пальцев есть температурные сенсоры и емкостные датчики. Первые легко обмануть полиэтиленовым пакетом с теплой водой или подогретым воском, вторые — специальным щупом или просто другим пальцем.

Книги и фильмы, в которых биометрические системы с удовольствием применяют банки и военные организации, создают впечатление, что это окончательное решение вопроса о безопасном доступе к данным. На практике же часто оказывается, что результатам их работы можно доверять не более чем подписи под документом, отправленным по факсу.

Крупные утечки персональных данных в 2008 году

23 марта в Интернете опубликована база данных по большинству граждан России, Украины и ряда стран СНГ. Она включает паспортные данные, адреса, телефоны, данные ГАИ, приводы в милицию и судимости, владение недвижимостью, участие в юридических лицах. Сайт, зарегистрированный на гражданина Панамы, продолжает работать, доступ к свежей информации платный. Поэтому на территории бывшего СССР защиты персональных данных на сегодня не существует. В развитых странах утечки персональных данных считаются серьезным ЧП, но все равно регулярно происходят. Вот самые крупные события всего за несколько месяцев 2008 года, по данным сайта InfoWatch.ru.

24 июня, Германия. Обнаружено, что базы данных 15 госучреждений с информацией по 500 000 граждан (имена, семейное положение, вероисповедание) три месяца находились в открытом доступе: служащие не сменили пароль, использованный в документации как пример.

19 августа, США. Холдинг Dominion Enterprises обнаружил, что в начале года из-за хакерской атаки произошла утечка кредитных анкет 92 000 клиентов.

27 августа, Великобритания. На интернет-аукционе продан подержанный компьютер компании Graphics Data с финансовыми данными (номера счетов, подписи, телефоны) около миллиона человек.

29 августа, США. Bank of New York признал, что в мае потерял при транспортировке 10 магнитных лент с незашифрованными именами, адресами, датами рождения и номерами социального страхования 12,5 миллиона клиентов.

8 сентября, Южная Корея. Украдена база данных по 11 миллионам клиентов интернет-провайдеров с персональными номерами (аналог паспорта), телефонами, адресами. В числе пострадавших — министр внутренних дел, спикер парламента, руководитель секретной службы.

18 сентября, Норвегия. Государственное налоговое управление по ошибке разослало журналистам диски с данными налоговых деклараций 4 миллионов граждан за 2006 год.

13 октября, Великобритания. В Министерстве обороны пропал жесткий диск с данными 600 000 военнообязанных, включая адреса, банковские реквизиты, номера паспортов, водительских прав и телефонов.

На помощь контролерам, следящим за камерами видеонаблюдения, уже приходят автоматические системы распознавания лиц. Фото: SPL/EAST NEWS

Проверено электроникой

Идентификаторам доверяют. Да и как не поверить официальной бумаге с подписью должностного лица и печатью соответствующего органа? Но именно поэтому идентификаторы подделывают, когда стремятся выдать себя за другого человека. В английском языке такие преступления называют identity theft — «кража идентичности». Это, кстати, не очень удачный термин, поскольку идентичность-то как раз украсть нельзя, можно лишь примерить на себя чужой идентификатор. В России подобные деяния попадают в обширную категорию мошенничества.

Самый универсальный международно признаваемый идентификатор человека — это номер его паспорта. А, как мы помним, в схеме паспортной идентификации самое слабое звено — связь документа с физическим телом его владельца. После событий 11 сентября 2001 года правительства многих стран решили в числе прочего заделать и эту брешь в безопасности, внеся в документы своих граждан биометрическую информацию. Соответствующие стандарты и технологии были согласованы через Международную ассоциацию гражданской авиации ICAO, поскольку вне собственной страны человек чаще всего предъявляет документы именно в аэропортах.

Теперь в новые паспорта, отмеченные специальным символом, впечатан электронный чип, несущий стандартизованные персональные и биометрические данные. Из последних, правда, широко используют пока только и так имеющуюся внутри документа фотографию, но некоторые страны уже готовы записывать на чип отпечатки пальцев и сканы радужной оболочки. Если на контрольном пункте обнаружится, что их рисунки не соответствуют вашим, это будет все равно что подать пограничнику паспорт с явно чужой фотографией. Подделать такой рисунок куда труднее фотографии: даже если научиться подменять впечатанную микросхему, записанные данные должны быть заверены электронной цифровой подписью, которая есть только у органов, выдающих биометрические паспорта. Прочитать подписанные данные можно свободно, а вот сгенерировать их без секретного ключа цифровой подписи не получится.

Это весьма надежная привязка. Пытаясь продемонстрировать уязвимость биометрических паспортов, хакерская группа The Hacker’s Choice изготовила в 2006 году поддельный документ на имя Элвиса Аарона Пресли. Оказалось, что в терминале аэропорта Амстердама данные из паспорта были без помех прочитаны и показаны на экране. Однако это не обеспокоило официальные органы. В отличие от сканеров пограничного контроля использованный хакерами терминал был лишь справочным устройством, он считывал данные из паспорта, но не проверял их цифровую подпись. Так что для создания полноценного поддельного биопаспорта злоумышленникам по надобится украсть секретный ключ, которым МВД той или иной страны подписывает данные в чипах паспортов, а это уже шпионаж высокого полета. Но рано или поздно и такое должно случиться, поэтому в будущем ключи планируется периодически менять, и тогда добропорядочным гражданам придется обновлять свои паспорта.

Прощай, приватность

Каждая проверка идентификатора может порождать след — запись в базе данных об обстоятельствах этого события. Предъявляя паспорт в аэропорту, гостинице или полицейскому, составляющему протокол о ДТП, будьте готовы к тому, что ваши данные останутся в электронном документальном отчете. И если органы власти проявят к вам интерес, эта информация будет извлечена на поверхность. Но так было и раньше, до введения в обиход биометрических документов. Что же изменилось?