Odyseja biometryczna. Odc. 1

Odyseja biometryczna. Odc. 1

Czy jest bezpiecznie ?

Miliony logowań dziennie do wszelkich rodzajów serwisów jakie możemy sobie wyobrazić. Miliony operacji w internecie, miliony euro/dolarów/złotych transferowanych, miliony informacji i danych potrzebnych, żeby to wszystko zrealizować. Skomplikowana i złożona struktura, przesyłająca miliony wrażliwych i poufnych danych. Miliony ludzi powierzających (w dobrej wierze) swoje dane systemowi, który praktycznie stoi otworem dla tych, którzy nie powinni mieć do niego dostępu.

Każdy system jest bowiem tylko tak silny jak jego najsłabsze ogniwo. Przez lata przyzwyczailiśmy się do pewnej fikcji. Żyliśmy w przekonaniu, że jesteśmy bezpieczni, że nic nam nie grozi – a w sferze wirtualnej nie ma realnych zagrożeń.

Wielka fikcja.

Okazuje się jednak, że wszystkie operacje, dane, informacje, miliony euro/dolarów/złotych podane są na tacy cyberprzestępcom i tylko od ich fantazji i kaprysu zależy, które z nich staną się ich łupem.

Czemu ? Przyczyn jest kilka:

1) zaadoptowany został system, który pozwala na wykorzystywanie we wszystkich operacjach w sieci informacji, które mogą zostać wykradzione i wykorzystane przez osoby niepowołane

2) wykazaliśmy się brakiem wyobraźni i pewną beztroską jeśli chodzi o dbałość o własne bezpieczeństwo

3) skonstruowaliśmy niezwykle skomplikowany system oparty na niezwykle słabej podstawie.

Wiele razy w historii ludzkości rozwiązania słabe brały górę, jeśli chodzi o powszechne użycie, nad tymi bardziej rozwiniętymi technologicznie (weźmy choćby przykład VHS i BETACAM).

Podobnie jest z systemem logowania się do serwisów, potwierdzania transakcji i innych operacji w sieci, które przeprowadzamy na co dzień, wykorzystującym nazwę użytkownika i hasło.

System słaby i podatny na ataki stał się powszechnie obowiązującym standardem.

W końcu jednak przyznano, że system się nie sprawdził, że nie jest niebezpieczny, że naraża użytkowników na ogromne straty: zarówno finansowe, jak i moralne. Konkluzją w wielu wypadkach było niestety raczej szukanie sposobów na przerzucenie odpowiedzialności na poszkodowanych, niż podejmowanie działań mających zlikwidować problem.

Jeśli nie hasło, to co ?

Dziesiątki milionów wykradzionych haseł, tożsamości, biliony euro/dolarów start finansowych. Taki jest bilans wykorzystywania systemu identyfikacji opartego na nazwie użytkownika i haśle. I znów, jak już wielokrotnie się zdarzało, zamiast zmienić system i wyeliminować słabe ogniwo, zaczęto je… ulepszać.

Zwrócono się w stronę najbardziej (wydawałoby się) wyjątkowych, niepowtarzalnych danych, powiązanych z użytkownikiem. Zdecydowano się na technologie wykorzystujące dane biometryczne, czyli dane niepowtarzalne dla każdego człowieka, takie jak: odcisk linii papilarnych, tembr głosu i sposób mówienia, obraz twarzy, obraz siatkówki oka…

Postanowiono w ten sposób połączyć „przyjemne z pożytecznym”: zapewnić wygodę użytkowania systemu logowania i potwierdzania tożsamości, oraz podnieść poziom bezpieczeństwa transakcji w trosce o użytkownika. I tak, systemy biometryczne zaczynają wchodzić na stałe do codziennych naszych interakcji w sieci. Wykorzystanie technologii biometrycznych do procesu identyfikacji użytkownika oraz autoryzacji transakcji w internecie miało zapewnić jedną podstawową rzecz: pewność, że osoba podająca się za uprawnionego użytkownika faktycznie nim jest i ma prawo dokonywać danej operacji w sieci. Jest, a przynajmniej ma być, łatwo, szybko, atrakcyjnie i bezpiecznie.

Tyle, że .. tak nie jest. Nie jest ani szczególnie łatwo, ani bardzo szybko, ani w pełni bezpiecznie. Może tylko trochę atrakcyjnie – dla lubiących gadżety.

Simon Phoenix says…

Część z czytelników pamięta może scenę z filmu „Demolition Man”, w której Simon Phoenix ucieka z wiezienia. Jak tego dokonuje ? Stosując starą zasadę „plus ratio quam vis” i wykorzystując nowoczesne technologie. Otóż system dokonywał autoryzacji dostępu do stref strzeżonych za pomocą skanu siatkówki oka. Można się łatwo domyśleć, że Simon Phoenix pozyskał odpowiednią siatkówkę by zostać zidentyfikowanym jako ktoś inny, ktoś uprawniony do poruszania się w strefie ograniczonego dostępu. Sciene-fiction? Już nie do końca. Rozwiązania takie są zaczynają być powszechnie dostępne. Niektóre serwisy i operatorzy wprowadzają technologie biometryczne jako narzędzia do identyfikacji użytkowników.

Niestety, cyberprzestepcy też pewnie widzieli film „Demolition Man”, a jeśli nie, to doskonale sobie zdają sprawę z okazji, która się właśnie dla nich tworzy.

Załóżmy bowiem, że korzystamy z tradycyjnej technologii logowania i identyfikacji użytkownika za pomocą nazwy użytkownika i hasła. Hasło i/lub nazwa użytkownika zostają skradzione przez cyberprzestępców. W wyniku tej kradzieży, mają oni dostęp do wszystkich informacji o nas, do naszego konta bankowego, kart kredytowych, prywatnej poczty elektronicznej i wielu innych, cennych dla nas informacji, którymi nie chcemy dzielić się z całym światem. Pomimo tych słabości i mankamentów systemu hasło takie możemy (i powinniśmy!) regularnie zmieniać. Oczywiście zakładając, że nie zmieniamy hasła „12345678” na hasło ”01234567”, tylko rzeczywiście stosujemy się do zasad bezpieczeństwa i dbamy o to, żeby hasła były jednak silne. Przyczynia się to do podniesienia poziomu zabezpieczenia naszych danych. Nawet w przypadku włamania do serwisu, możemy takie hasło zmienić i używać serwisu w dalszym ciągu.

Co dzieje się jednak kiedy system logowania opiera się na technologiach biometrycznych? Czy jesteśmy rzeczywiście bezpieczni? Czy technologie biometryczne są panaceum na wszystkie bolączki związane z zabezpieczeniem identyfikacji i autoryzacji w sieci?

O tym, w następnym odcinku.

 


 

Autorem jest Marek Ostafil – COO Cyberus Labs.

Wpis oryginalnie ukazała się na LinkedIn.